1.基于IEC60870-5-104協議的SCADA網絡入侵檢測方法，其特征在于，所述方法包括：

確定待檢測的報文；

檢測報文中是否包含異常行為，檢測過程包括基于特征的入侵檢測過程和基于模型的入侵檢測過程，其中，基于特征的入侵檢測過程為：將待檢測的報文與攻擊特征的規則數據庫進行匹配，如果匹配，則產生相應的告警；基于模型的入侵檢測過程為：建立表征特定協議預期行為的模型，如果檢測的報文違背了這些模型，則產生相應的告警；

將檢測發現的異常行為記錄到日志文件中，并顯示為告警信息。

2.根據權利要求1所述的基于IEC60870-5-104協議的SCADA網絡入侵檢測方法，其特征在于：所述確定待檢測的報文包括：在線捕獲網口流入的數據包或離線導入PCAP數據報文。

3.根據權利要求1所述的基于IEC60870-5-104協議的SCADA網絡入侵檢測方法，其特征在于：在所述檢測報文中是否包含異常行為之前，進一步包括，對所述待檢測報文進行解析和處理。

4.根據權利要求1所述的基于IEC60870-5-104協議的SCADA網絡入侵檢測方法，其特征在于：所述基于特征的入侵檢測過程中，攻擊特征的規則數據庫包括以下檢測規則：

1)控制中心的客戶端與服務器之間已建立的連接被劫持或者欺騙；

2)服務器發送虛假報文，影響控制服務器以及調度人員的判斷；

3)未經授權的客戶端從現場設備讀取信息；

4)未經授權的客戶端向服務器發出詢問命令；

5)未授權客戶端向服務器發出遙控或者遙調命令；

6)通過發送帶類型標識69H的命令，強制服務器重置進程；

7)向服務器網絡發送廣播請求包；

8)報文長度超過正常報文長度。

5.根據權利要求1所述的基于IEC60870-5-104協議的SCADA網絡入侵檢測方法，其特征在于：所述基于模型的入侵檢測過程中，所述表征特定協議預期行為的模型包括以下幾種：

1)類型標識模型：所述類型標識模型中有256個可能的值，其中，數字0無效，數字1-127的類型標識值已定義，數字128-255的類型標識值未定義；

2)傳輸原因模型：所述傳輸原因模型中的傳輸原因字段有64個可能的值，其中，數字0未定義，數字14-19和42-63為保留值，傳輸原因值定義在1-13和20-41范圍內；

3)長度字段模型：所述長度字段模型中長度字段值的范圍是4-253；

4)關聯模型：所述關聯模型中的類型標識字段數值與傳輸原因字段數值相匹配；

5)基于流量模式的模型：所述基于流量模式的模型中，從客戶端發送TCP初始化連接請求到服務器，TCP初始化連接到服務器的端口號為2404，服務器的TCP連接包括授權的客戶端。

6.基于IEC60870-5-104協議的SCADA網絡入侵檢測系統，其特征在于：包括：

數據采集模塊：用于確定待檢測的報文；

檢測規則模塊：用于檢測數據包中是否包含異常行為，檢測過程包括基于特征的入侵檢測過程和基于模型的入侵檢測過程；其中，基于特征的入侵檢測過程為：將待檢測的報文與攻擊特征的規則數據庫進行匹配，如果匹配，則產生相應的告警；基于模型的入侵檢測過程為：建立表征特定協議預期行為的模型，如果檢測的報文違背了這些模型，則產生相應的告警；

檢查結果輸出模塊：用于將檢測發現的異常行為記錄到日志文件中，并顯示為告警信息。

7.根據權利要求6所述的基于IEC60870-5-104協議的SCADA網絡入侵檢測系統，其特征在于：數據采集模塊用于在線捕獲網口流入的數據包或者離線導入PCAP數據報文。

8.根據權利要求6所述的基于IEC60870-5-104協議的SCADA網絡入侵檢測系統，其特征在于：進一步包括數據處理模塊，所述數據處理模塊包括包解碼器和預處理器，所述包解碼器用于對數據包進行解碼，所述預處理器對所述解碼后的數據包進行處理，所述處理包括對分片的數據包進行重新組裝以及處理明顯的錯誤。