1.一種基于OCSVM雙輪廓模型的Modbus TCP通信行為異常檢測方法，其特征在于，包括以下步驟：

特征提取：分別采集工業控制系統中Modbus TCP正常通信流量和異常通信流量，并分別進行存儲并剔除不必要的信息，最終轉化為僅包含Modbus功能碼的兩個序列；

數據預處理：根據需要設定短序列的長度r，分別以長度為r的滑動窗口循環處理Modbus功能碼的兩個序列，分別將Modbus功能碼的兩個序列轉換為若干個長度為r的短序列，去除其中重復的短序列，獲得短序列集合并按照每一個短序列出現的順序進行排列構造成OCSVM正常通信特征向量和OCSVM異常通信特征向量；

建模：將OCSVM正常通信特征向量和OCSVM異常通信特征向量分別導入到matlab中，通過matlab調動libsvm工具箱分別生成正輪廓OCSVM模型和負輪廓OCSVM模型；

PSO優化：分別對正輪廓OCSVM模型和負輪廓OCSVM模型進行參數優化：將初始化的粒子傳遞給正輪廓OCSVM模型/負輪廓OCSVM模型作為OCSVM固有參數v和高斯徑向基參數g，將正輪廓OCSVM模型/負輪廓OCSVM模型返回的交叉驗證意義下的分類正確率作為PSO優化模型中的適應度值，并據此進行粒子群迭代更新；

雙輪廓OCSVM異常檢測：分別利用最優的OCSVM固有參數ν和高斯徑向基參數g，建立正輪廓OCSVM模型和負輪廓OCSVM模型進行異常檢測，并且分別返回交叉驗證意義下的分類正確率；

雙單類支持向量機協同判別規則：若正輪廓OCSVM模型判定結果為“正常”，負輪廓OCSVM模型判定為“正常”，則最終結果為“正常”；若正輪廓OCSVM模型判定結果為“異常”，負輪廓OCSVM模型判定結果為“異常”，則判定為“異常”；對于兩個判定結果不一致的情況，如果需要抑制“誤警率”，則判定為“正常”，如果需要抑制“漏警率”，則判定為“異常”。

2.根據權利要求1所述的基于OCSVM雙輪廓模型的Modbus TCP通信行為異常檢測方法，其特征在于，所述流量采集包括以下步驟：

通過wireshark抓包軟件抓取網絡中的正常的Modbus TCP通信流量數據包；當系統受到病毒攻擊時，通過wireshark抓包軟件抓取網絡中異常的Modbus TCP通信流量數據包；分別剔除正常數據包和異常數據包中不包含有Modbus功能碼的數據包，得到Modbus TCP客戶端和Modbus TCP服務器端的通信流量；剔除Modbus功能碼之外的所有其他信息，并將Modbus功能碼按照時間先后順序進行排列。

3.根據權利要求1所述的基于OCSVM雙輪廓模型的Modbus TCP通信行為異常檢測方法，其特征在于，所述數據預處理包括以下步驟：

根據需要設定短序列的長度r，以長度為r的滑動窗口循環處理Modbus功能碼，去除重復的序列，獲得短序列集合；

在任意的Modbus功能碼序列中，按照每一個短序列出現的順序進行排列構造成OCSVM特征向量；

對OCSVM特征向量進行歸一化處理，使其中的各元素屬于同一個數量級。

4.根據權利要求1所述的基于OCSVM雙輪廓模型的Modbus TCP通信行為異常檢測方法，其特征在于，所述PSO優化包括以下步驟：

設置PSO算法在終止條件始終無法滿足情況下的最大迭代次數k_max及粒子速度與位置的限定范圍；

隨機生成種群并分別根據正輪廓OCSVM模型和負輪廓OCSVM模型對PSO算法進行參數初始化，其中每個粒子包含兩個分量，分別為單類支持向量機固有參數v和高斯核函數核參數g，并對每一個粒子設置初始化速度和位置向量；

將粒子進行OCSVM訓練并作為單類支持向量機的固有參數v和高斯核函數參數g，并將返回的交叉驗證意義下的分類正確率作為粒子適應度值；

根據適應度值的情況不斷更新個體極值及群體極值：一旦出現了更優的適應度值則更新相應的個體或者群體適應度值；

判斷是否滿足退出迭代條件：如果超過最大迭代次數或連續N次適應度值的變化沒有超過設定閾值，則退出迭代過程，并且此時的群體極值即為所要求的最優參數，所述N為設定的最大連續限值；

按照粒子位置與速度更新公式進行粒子群更新，同時檢查各個粒子的不同維度是否在允許的限度之內，如果超出允許的范圍需要限定在事先設置的范圍區間之內。