当今世界,网络与信息技术日新月异,提高互联网的安全保障能力已成为我国构建强大网络战略的重要组成部分,信息战也成为决定现代战争胜负的关键因素,而可靠的信息交互依赖于通信协议,因此,对敌方通信信息进行分析,进而获得通信协议的结构,为通信情报的获取及有效的信息对抗手段的采取提供依据是一个重要的研究课题。论文研究的对象是具有固定帧头格式的未知通信协议,通过获得的大量未知通信协议的原始数据,寻找其隐藏的协议规律。从大量的比特流数据中对未知协议进行识别,首先需要实现对比特流数据中数据帧的完整切割,然后需要从切分得到的数据帧中提取正确的协议特征信息,最后基于协议特征对协议进行归类。为了解决上述关键问题,本文提出了零先验知识情况下的基于频繁串提取的帧定位方法和基于聚类的帧特征分析方法。论文的主要工作有:1、针对基于频繁串提取的帧定位方法,本文通过数据单元切分、Jaccard参数筛选和基于关联规则的频繁序列拼接来识别比特流数据中的同步码序列,利用汉明距离对流数据中的同步码进行定位,以此实现帧切割。2、针对基于聚类的帧特征分析方法,将频繁序列的位置信息作为参考条件,根据频繁串及其位置信息构建二维复合特征,实现降低特征序列维数的同时准确提取出协议的特征。3、通过对两种典型的聚类算法,K-means和DBSCAN算法进行研究和性能分析,考虑到未知协议分析中缺乏先验知识以及比特流序列缺乏语义的条件,对聚类算法进行改进以适用于比特流数据。依据提取出的特征对协议进行向量转化,通过改进的聚类算法将具有相似帧格式的协议聚为一簇。4、为了对本文所提算法的有效性和准确性进行验证,分别以标准数据集和采集的以太网通信数据作为输入数据,设计相应的实验进行验证和评估。采用两种典型的聚类算法对不同帧格式数据进行聚类,以准确率和计算时间为评价指标对聚类算法进行了比较,总结了算法的优点和局限性。实验结果表明,论文提出的方法,能够从大量的比特流数据中实现准确的帧定界和切分,对于结构相对简单的协议,可以有效的识别出不同格式的数据帧。