本发明公开了一种基于网络流量的工控协议逆向分析方法，包括以下步骤：1)捕获正常通信流量和功能点击流量；2)数据集群，进行控制字段识别，满足阈值条件则按控制字段进行集群，不满足则直接进行字段语义识别；3)字段语义识别，包括增量序列、地址字段、校验字段、长度字段、功能码的语义识别；4)字段边界识别，在语义识别的基础上进行边界划分，最终得到工业通信协议的格式。本发明能够基于流量自动分析出重要字段语义信息以及协议格式信息，对复杂、嵌套工控协议语法语义识别也有较高的准确率，充分证明了本发明对工控协议的逆向能力。