协议逆向分析技术在提升工业控制系统的安全防护能力方面具有重要意义。在开展工控安全测试时,人工进行协议逆向分析和测试脚本开发的方式,在检测效率和广度方面均存在不足。协议自动分析技术能够快速对私有协议进行解析,从而快速响应网络安全事件以增强工控系统安全防护能力。本文研究目标是在不引入协议规格等先验知识的情况下,对捕获的未知工控流量能够进行协议格式提取及协议特征提取。具体研究内容如下:1.根据工控报文周期性高、协议结构化强等特点,本文提出了一种适用于工控协议的格式提取算法。对工控流量中具有相同有效载荷长度的报文序列使用结合Needleman-Wunsch序列比对和层次聚类算法的渐进多序列比对算法实现报文样本分类,分离出报文序列的可变域和不变域的同时生成可变分词。2.提出了一种基于可变分词的改进XGBoost未知工控协议逆向分析模型。采用灵活的N值选取方式,有利于解决二进制特征识别中半字节关键字识别效率不高的问题。将可变分词与聚类结果结合,使用XGBoost模型分析出工控协议候选特征词重要程度,进而调整特征权重参数,结合格式提取部分对于报文进行识别;无需先验知识即可完成数据包状态的标记,实现状态机模型的构建。实验结果表明,该方法能够有效地挖掘工业控制协议的初级语义信息。3.设计并实现了部署于web端的工控协议逆向分析原型系统。该系统可以通过用户的上传的pcap文件进行自动逆向分析,支持用户进行逆向分析任务参数调整操作;能够简洁明了地显示协议格式分析与关键词提取信息;能够提供直观的可视化结果。