随着互联网的快速发展,网络应用中的协议技术研究也在迅速增加。计算机网络中的协议理解对维护网络安全具有重要的意义。但越来越多的网络协议属于私有协议,缺乏公开的规范文档。因此,协议逆向技术在协议分析领域具有重要的研究价值。协议逆向包括协议报文格式、语义逆向和协议状态机逆向两个方向。报文格式、语义逆向是对通过网络嗅探获取的协议报文或者通过动态污点分析获取的实体程序执行的指令流进行分析,挖掘报文的内部结构特征,并进一步推断字段之间的约束关系的过程。协议状态机逆向是在获取了报文内部结构信息的基础上,分析协议外部各个报文之间的时序约束关系,进而挖掘协议的行为特征的过程。本文中针对二进制协议格式固定,可能存在变长字段的特点,提出了基于多序列比对和基于值分布统计相结合的报文类型字段挖掘,利用多序列比对来识别变长字段,并对变长字段做剔除处理,再采用值分布统计的方法来挖掘报文类型字段。获得报文类型字段后,将网络嗅探获取的协议会话从报文序列流的形式转换成报文类型序列流的形式,以报文类型序列流作为状态机输入构建初始APTA树,并使用启发式算法对状态机状态进行标注,然后对相似的状态进行合并得到最终的DFA。推断出的状态机的性能很大程度上取决于状态合并的准确性以及合理性。由于EDSM算法具有准确度高、速度快、数据处理能力强等优点,所以本文采用了EDSM算法并进行改进来实现状态合并,并且给出了全新的评分机制。本文选取了TCP、SMB和DHCP三种典型的二进制协议对状态机逆向系统进行实验。实验表明本系统对报文变长字段具有很好的识别能力,使用EDSM算法逆向的结果准确率和召回率相比于当前传统算法较高。同时与EXBAR算法进行了对比实验,实验结果表明:在初始样本数据较少的情况下,EDSM算法逆向的结果召回率比EXBAR算法略低,但是EDSM速度快;在初始样本数据较多的情况下,EXBAR算法运行时间极为漫长,甚至最后完全运算不出来,而EDSM算法依然能够保证在多项式时间内完成,并且数据的增加使得EDSM算法能够相对的避免早期的一些局部合并错误,使得最终的协议状态机比较精准。