1.一種基于通信模型的工業(yè)控制系統(tǒng)的入侵檢測方法，其特征在于：包括建立工業(yè)控制系統(tǒng)通信模型步驟和入侵檢測步驟：首先建立工業(yè)控制系統(tǒng)通信模型和通信規(guī)則，所述的通信模型包含節(jié)點(diǎn)信息和通信連接信息；工業(yè)控制系統(tǒng)通信模型建立之后，以通信模型為基礎(chǔ)產(chǎn)生合法通信規(guī)則集，在工業(yè)控制系統(tǒng)安裝調(diào)試階段以及尚未發(fā)生攻擊階段進(jìn)行學(xué)習(xí)，建立通信模型并生成通信規(guī)則集；然后在工業(yè)控制網(wǎng)絡(luò)中部署探測器，捕獲數(shù)據(jù)報(bào)，由數(shù)據(jù)報(bào)分析并提取通信連接信息，與所述生成的合法通信規(guī)則集進(jìn)行比對，若有違反該合法通信規(guī)則集的通信連接則產(chǎn)生告警；若發(fā)現(xiàn)入侵，則調(diào)用系統(tǒng)響應(yīng)模塊采取相應(yīng)的響應(yīng)策略，若實(shí)際檢測有誤，則進(jìn)行分析并重新進(jìn)行學(xué)習(xí)。

2.如權(quán)利要求1所述的一種基于通信模型的工業(yè)控制系統(tǒng)的入侵檢測方法，其特征在于：其中建立系統(tǒng)通信模型采用以下方法：

第一步，捕獲數(shù)據(jù)報(bào)；實(shí)時(shí)從數(shù)據(jù)鏈路層捕獲數(shù)據(jù)報(bào)；

第二步，將實(shí)時(shí)捕獲的數(shù)據(jù)報(bào)或由已有數(shù)據(jù)報(bào)文件取得的數(shù)據(jù)報(bào)，按照時(shí)間戳的順序存儲到數(shù)據(jù)報(bào)隊(duì)列中，然后進(jìn)行協(xié)議分析；

第三步，進(jìn)行通信周期分析，分析兩個(gè)節(jié)點(diǎn)之間每次通信連接的起始時(shí)間和結(jié)束時(shí)間，獲取通信周期；

第四步，生成通信模型：根據(jù)通信周期分析結(jié)果、通信記錄庫條目和預(yù)定義的節(jié)點(diǎn)描述文件生成通信模型，并將通信模型數(shù)據(jù)存入通信模型庫；

第五步，分析主從關(guān)系：實(shí)際工業(yè)控制系統(tǒng)中包含多個(gè)互不連通的子系統(tǒng)，則為每個(gè)子系統(tǒng)分別建立通信模型，生成通信規(guī)則以及進(jìn)行入侵檢測，設(shè)通信模型庫中存儲的信息為一個(gè)有向圖，對該有向圖進(jìn)行遍歷，獲取所有主從關(guān)系域信息，為每個(gè)主從關(guān)系與生成輪詢順序函數(shù)；

第六步，生成通信規(guī)則：由通信模型庫以及主從分析結(jié)果生成通信規(guī)則庫。

3.如權(quán)利要求2所述的一種基于通信模型的工業(yè)控制系統(tǒng)的入侵檢測方法，其特征在于：其中第一步中只捕獲感興趣的數(shù)據(jù)報(bào)。

4.如權(quán)利要求3所述的一種基于通信模型的工業(yè)控制系統(tǒng)的入侵檢測方法，其特征在于：其中第一步中預(yù)先設(shè)定過濾規(guī)則，采用捕獲前過濾的方式，過濾掉不符合規(guī)則的數(shù)據(jù)報(bào)。

5.如權(quán)利要求3所述的一種基于通信模型的工業(yè)控制系統(tǒng)的入侵檢測方法，其特征在于：其中第一步中捕獲數(shù)據(jù)報(bào)時(shí)為數(shù)據(jù)報(bào)打時(shí)間戳，對加有時(shí)間戳的數(shù)據(jù)報(bào)進(jìn)行實(shí)時(shí)分析，或?qū)⒓佑袝r(shí)間戳的數(shù)據(jù)報(bào)存儲為數(shù)據(jù)報(bào)文件。

6.如權(quán)利要求2或3或4或5所述的一種基于通信模型的工業(yè)控制系統(tǒng)的入侵檢測方法，其特征在于：其中第二步根據(jù)預(yù)定義的工控協(xié)議描述文件識別協(xié)議類型、信源地址、信宿地址、負(fù)載二進(jìn)制位串，對過濾后的協(xié)議進(jìn)行通信連接分析，通信模型中也只建立協(xié)議過濾后的通信連接關(guān)系，若報(bào)文格式與預(yù)定義工控協(xié)議描述文件中的任何一個(gè)協(xié)議均不匹配，則判別為未知協(xié)議數(shù)據(jù)報(bào)，此時(shí)只識別數(shù)據(jù)鏈路層地址，而將數(shù)據(jù)鏈路層的協(xié)議數(shù)據(jù)單元PDU直接作為負(fù)載二進(jìn)制位串；對每個(gè)通信連接加上時(shí)間信息，協(xié)議分析之后的數(shù)據(jù)報(bào)信息包含本次通信的開始時(shí)間和結(jié)束時(shí)間；對于面向連接的通信，結(jié)束時(shí)間大于開始時(shí)間；對于非面向連接的通信，結(jié)束時(shí)間等于開始時(shí)間。

7.如權(quán)利要求6所述的一種基于通信模型的工業(yè)控制系統(tǒng)的入侵檢測方法，其特征在于：第四步所述的預(yù)定義的節(jié)點(diǎn)描述文件依據(jù)工業(yè)控制系統(tǒng)設(shè)計(jì)文檔或系統(tǒng)組態(tài)文件編寫，包括節(jié)點(diǎn)上的所有“協(xié)議-地址”信息對。

8.如權(quán)利要求7所述的一種基于通信模型的工業(yè)控制系統(tǒng)的入侵檢測方法，其特征在于：其中采用“指導(dǎo)”與“探測”相結(jié)合的方法建立通信模型，所述的“指導(dǎo)”是以指先驗(yàn)知識為指導(dǎo)生成模型的部分信息，工業(yè)控制系統(tǒng)設(shè)計(jì)說明書中有控制部件、計(jì)算和信息部件以及通信部件的詳細(xì)設(shè)計(jì)說明，以此為基礎(chǔ)確定模型中的節(jié)點(diǎn)信息、節(jié)點(diǎn)之間的主從關(guān)系以及拓?fù)湫畔ⅲ凰龅摹疤綔y”是指使用探測工業(yè)控制系統(tǒng)通信數(shù)據(jù)報(bào)的方法獲取模型的部分信息；在工業(yè)控制系統(tǒng)部署探測器探測網(wǎng)絡(luò)通信數(shù)據(jù)報(bào)，對探測得到的網(wǎng)絡(luò)通信數(shù)據(jù)進(jìn)行分析和挖掘，提取通信連接信息。