1.一種基于網絡流量實時檢測工控主機狀態的方法，分為主機狀態檢測知識庫模塊、流量采集模塊、流量分析模塊、告警模塊，方法實現主要包含以下步驟：

步驟一：在監測審計設備上對要檢測的主機建立狀態知識庫，分別配置主機在線狀態檢測規則庫、主機非法外聯狀態檢測規則庫和主機網絡攻擊規則庫(避免在多臺主機部署及維護防護軟件)；

步驟去二：采用旁路接入方式，對要檢測的所有主機流量進行鏡像配置（避免對網絡或主機造成資源消耗）；

步驟三：流量采集，對流量數據包進行獲取，主要涉及抓包、解包等操作，只將和主機關聯的數據包送往流量分析模塊(可以提高主機流量分析效率)；

步驟四：流量分析，采取多線程和多模匹配算法對數據包流量進行實時分析，并與主機知識庫里面的規則進行匹配，分析主機在線狀態、主機非法外聯、主機網絡攻擊的狀態；

步驟四：告警分析，當檢測到主機離線、主機非法訪問外部網絡、主機被入侵攻擊時，進行實時告警。