4.動態多模異構冗余的工控安全網關入侵感知方法，其特征在于包括動態重組、數據包并發處理、數據包多模判決和入侵響應；

其中動態重組處理流程包含如下步驟：

步驟1：按照異構度較大原則，從異構的固件池、硬件池、策略池中選擇若干固件、硬件、調度策略進行異構資源動態組合，構建出一個包含若干個異構工控安全網關訪問控制模塊的異構模塊池；

步驟2：隨機選擇步驟1中多個異構網關訪問控制模塊進行組合，確定這些網關訪問控制模塊之間的網絡拓撲連接，構建工控安全網關訪問陣列；

數據包并發處理流程包含如下步驟：

步驟1：數據包外部IO分發模塊接收外部網絡的輸入請求，將數據包分別發送到工控安全網關訪問陣列中各訪問路徑；

步驟2：工控安全網關訪問陣列中各訪問路徑接收到數據包外部IO分發模塊輸入的數據包后，分別按照設定的配置規則對數據包進行解析處理和轉換，將處理后的數據包發送到流量記錄和輸出選擇模塊；

步驟3：流量記錄和輸出選擇模塊接收工控安全網關訪問陣列中各訪問路徑輸出的數據包，流量日志庫記錄所有訪問路徑輸出的流量數據，然后按照預先配置的選擇策略選擇其中的一條訪問路徑數據流量輸出到內部網絡；

步驟4：流量記錄和輸出選擇模塊接收內部網絡的數據包，分發到工控安全網關訪問陣列中各訪問路徑，處理后將數據包發送數據包外部IO分發模塊；

步驟5：數據包外部IO分發模塊接收工控安全網關訪問陣列中各訪問路徑的輸出數據包，將不同訪問路徑輸出的數據包按同一序號輸出最先接收并丟棄其余訪問路徑的方法進行處理，將數據包發送到外部網絡；

數據包多模判決和入侵響應流程包含如下步驟：

步驟1：多模判決模塊根據訪問序號讀取流量日志庫中各訪問路徑的流量數據包日志；

步驟2：檢查同一訪問序號下各訪問路徑的流量數據包日志是否相同；

步驟3：若不一致，則進行入侵響應；

步驟4：若各訪問路徑中多數輸出數據包相同，僅部分訪問路徑不同，則下線輸出不一致的所述部分訪問路徑中的工控網關訪問控制模塊，進行人工專家分析，同時進行清洗，轉到步驟6；

步驟5：若各訪問路徑中輸出不同數據包的比例一致，則計算訪問路徑可信度，保留訪問路徑可信度高的訪問路徑，下線其他訪問路徑中的工控網關訪問模塊進行清洗，轉到步驟6；

步驟6：從異構的固件池、硬件池、策略池中隨機選擇多個與下線模塊異構的固件、硬件、策略進行異構資源動態組合，構建出一個包含若干個異構工控安全網關訪問控制模塊的異構模塊池，在該異構模塊池中選擇與下線模塊數目相同的工控網關訪問模塊，加入到工控安全網關訪問陣列，構建出新的工控安全網關訪問陣列。