1.一種工業控制系統網絡訪問安全性預警系統，其特征在于，包括：

a.工業控制系統網絡訪問白名單生成模塊；用于根據工業現場的具體要求，設定允許訪問該工業控制系統的網絡ip及其訪問權限，為某一工業控制系統生成其特有的網絡訪問白名單；

b.惡意ip組庫生成模塊；用于通過威脅情報分析，對已有的工業控制系統訪問ip進行惡意性計算，再根據訪問ip的惡意性計算相關ip組的惡意性，并最終生成惡意ip組庫，所述惡意ip通過威脅情報進行時空分析和惡意性分析；

c.工業控制系統訪問攔截和白名單驗證模塊；用于對申請訪問工業控制系統的ip進行攔截和白名單驗證，判斷其是否可以訪問該系統；當外部ip申請訪問某工業控制系統時，系統首先對該訪問ip進行白名單驗證，若該訪問ip在白名單范圍內，且擁有訪問權限，則允許其訪問工業控制系統；若不在白名單范圍內，則對該ip進行攔截；

d.訪問ip惡意性分析模塊；用于對不在白名單中的訪問ip進行惡意性分析，判斷其是否屬于惡意ip組庫；查找訪問ip在惡意ip組庫中對應的惡意ip組，計算出該惡意ip組中惡意ip的惡意性期望值E(M(I))；若訪問ip的惡意性M(I)大于該期望值E(M(I))，則將其判定為惡意ip，并對其進行安全預警和訪問控制；反之，則將其判定為可疑ip，對其進行訪問控制，等待進一步處理；

e.可疑ip保存和驗證模塊；將訪問ip與白名單和惡意ip組庫進行比對后，將既不在已有白名單列表中，也未被判定為惡意的訪問ip保存到可疑ip庫中，并當白名單和惡意ip組庫更新時進行重復驗證；

f.訪問ip訪問信息日志記錄模塊；用于對所有的訪問ip進行訪問信息日志記錄；所述訪問信息包括ip類型、訪問時間、訪問時長、訪問流量和訪問目的，其中，ip類型包括白名單ip、可疑ip和惡意ip；白名單ip是白名單包括的ip地址；可疑ip是指既不在已有白名單中，也不在惡意ip組庫內；惡意ip是指經過與惡意ip組庫比對被判定為惡意的訪問ip；

g.訪問模式學習模塊，用于根據訪問ip的訪問日志學習各類訪問ip的訪問模式特征；依據訪問ip的訪問時間、訪問時長、訪問頻率、訪問類型、訪問地點、訪問流量和訪問目標特性，學習各類訪問ip的訪問特點，最終形成相應的訪問模式；其中，訪問模式指各類訪問ip在不同訪問特性下的取值特征的組合；

h.訪問模式匹配模塊，用于將可疑ip的訪問模式與惡意ip和白名單ip的訪問模式進行匹配，判斷其所屬類別；將可疑ip的訪問模式與惡意ip和白名單ip的訪問模式進行匹配，從而判斷訪問ip的類別，即先將可疑ip的訪問模式與惡意ip的訪問模式進行匹配，若匹配程度達到閾值，則認為該訪問ip傾向于惡意ip，對其進行安全預警；若匹配程度未達到閾值，將可疑ip的訪問模式與白名單ip的訪問模式進行匹配，若匹配程度達到閾值，則認為該訪問ip傾向于白名單ip，將其推薦給白名單；

i.安全預警模塊，用于對發現的惡意訪問ip進行安全預警，并生成相關的分析報告；通過與惡意ip組庫進行比對或根據上述訪問模式匹配，被判定為惡意的訪問ip，系統對該訪問ip進行安全預警，并給出該訪問ip相關的惡意ip組的分析報告；

j.工業控制系統網絡訪問白名單更新模塊；將通過模式匹配和惡意性分析發現的新的正常ip添加到已有白名單中，并為其賦予相應的訪問權限。