工业控制系统（Industrial Control System,ICS）内控制信息和状态信息都需要工控协议进行传输。工业控制协议中存在很多厂商自己定义的私有工控协议,且私有工控协议的使用越来越广泛。然而,私有工控协议很少公开协议规范,并且设计上欠缺考虑安全性,存在隐藏的安全问题,研究工控私有协议的安全性需要了解协议规范,而协议逆向工程则是挖掘其协议规范的有效解决方案。本文整体目标是提取私有工控协议的协议格式,通过研究工控协议网络流量聚类方法、工控协议字段格式提取方法和工控协议语义信息提取方法,结合三种方法逆向分析私有工控协议网络流量,最终提取协议格式。针对工控协议与传统网络协议差异,以及传统基于网络流量协议逆向分析技术在逆向工控协议时存在的问题,提出私有工控协议逆向的关键技术研究方案并展开系统实现。本文主要工作和创新点包括以下四部分:1.研究工控协议消息类型分类问题,提出多指标评估的K-Means聚类算法,集成聚类算法内部评价指标:DVI、DBI、SC、CHI、SSE,综合选取最优聚类k值。对同一种私有工控协议的网络流量进行聚类,得到不同类型协议报文的分类集合,从而得到私有工控协议的消息类型种类,继而可对同类型的消息展开逆向分析,解决工控协议中不同类型消息混杂对序列比对的影响,从而提高序列比对的效率和精度。2.研究工控协议格式提取问题,提出基于多序列比对的字段格式提取算法,对每种消息类型的网络流量集合,使用Smith-Waterman算法得到相似度矩阵、UPGMA算法构建系统引导树、Needleman-Wunsch算法进行全局序列比对,从而提取每种消息的协议格式。3.研究工控协议字段语义信息提取问题,总结常见公开工控协议的字段语义信息,在已获得的协议字段格式的基础上,设计了语义信息提取方法提取字段对应的细粒度的语义信息。4.设计并实现私有工控协议逆向分析系统,通过逆向分析IEC104协议、ModbusTCP协议、TPKT协议,提取其协议格式。提取的工控协议格式与其他研究方案的提取结果进行对比,验证本文提出协议逆向方案的有效性。