1.一種對IEC61850數(shù)字變電站GOOSE報(bào)文的入侵檢測的方法，其特征在于：所述方法包括如下步驟；

1）GOOSE報(bào)文的快速過濾及數(shù)據(jù)結(jié)構(gòu)化：GOOSE報(bào)文的快速過濾及數(shù)據(jù)結(jié)構(gòu)化機(jī)制是為了從IEC61850數(shù)字變電站中網(wǎng)絡(luò)里各類報(bào)文中迅速提取出需要進(jìn)行檢測的GOOSE報(bào)文和對GOOSE報(bào)文內(nèi)容進(jìn)行數(shù)據(jù)結(jié)構(gòu)化處理；

2）GOOSE報(bào)文的數(shù)據(jù)單元的多級關(guān)聯(lián)檢測：GOOSE報(bào)文通過快速過濾和數(shù)據(jù)結(jié)構(gòu)化提取完成后，多級關(guān)聯(lián)檢測需要依次檢測報(bào)文中的單元數(shù)據(jù)項(xiàng)，以完成對GOOSE數(shù)據(jù)包報(bào)文的合規(guī)性檢測；

3）GOOSE報(bào)文的危害性評估：根據(jù)多級關(guān)聯(lián)檢測的方法將GOOSE的報(bào)文分為三個(gè)安全級別，安全級別“0”為可信，代表該GOOSE報(bào)文數(shù)據(jù)未包含任何威脅隱患，通過報(bào)文多級關(guān)聯(lián)檢測的報(bào)文歸為“0”級；安全級別“-1”代表可疑報(bào)文，包含失序報(bào)文和非合規(guī)報(bào)文，其中所述失序報(bào)文是所述檢測的方法中的報(bào)文狀態(tài)和序列數(shù)檢測所檢出的，所述非合規(guī)報(bào)文是所述檢測的方法中的報(bào)文時(shí)間檢測所檢測出來的；安全級別“-2”代表不可信報(bào)文，此類報(bào)文包含未通過數(shù)據(jù)項(xiàng)檢測的報(bào)文，未通過數(shù)據(jù)項(xiàng)檢測和報(bào)文狀態(tài)及序列數(shù)檢測的報(bào)文，未通過數(shù)據(jù)項(xiàng)檢測和報(bào)文時(shí)間項(xiàng)檢測的報(bào)文；

GOOSE報(bào)文過濾數(shù)據(jù)提取采用基于報(bào)文模板的多模式匹配，一次報(bào)文掃描完成GOOSE報(bào)文數(shù)據(jù)項(xiàng)的識(shí)別和數(shù)據(jù)的結(jié)構(gòu)化處理；

所述GOOSE報(bào)文模板由多個(gè)數(shù)據(jù)項(xiàng)模板單元組成，每個(gè)數(shù)據(jù)項(xiàng)模板單元定義在兩個(gè)“@”標(biāo)識(shí)符之間，數(shù)據(jù)項(xiàng)模板單元由四部分組成，每部分彼此以“：”隔開；第一部分為所述單元數(shù)據(jù)項(xiàng)對應(yīng)源報(bào)文的原始數(shù)據(jù)類型；第二部分為所述單元數(shù)據(jù)項(xiàng)在源報(bào)文中的數(shù)據(jù)長度，數(shù)據(jù)項(xiàng)長度不定時(shí)缺省為空；第三部分為所述單元數(shù)據(jù)項(xiàng)結(jié)構(gòu)化后的數(shù)據(jù)類型；第四部分為所述數(shù)據(jù)項(xiàng)模板單元對應(yīng)單元數(shù)據(jù)項(xiàng)的名稱；

所述多模式匹配采用多模式樹模板匹配技術(shù)，所述多模式樹為根據(jù)GOOSE報(bào)文模板建立一棵模式匹配樹，樹的節(jié)點(diǎn)為所述數(shù)據(jù)項(xiàng)模板單元，每個(gè)所述數(shù)據(jù)項(xiàng)模板單元定義GOOSE報(bào)文的單元數(shù)據(jù)項(xiàng)的匹配模式；

GOOSE報(bào)文的數(shù)據(jù)單元的多級關(guān)聯(lián)檢測中的單元數(shù)據(jù)項(xiàng)檢測包括GOOSE報(bào)文中的應(yīng)用協(xié)議單元數(shù)據(jù)項(xiàng)檢測。