1.一種基于機器學習的不可解析網絡數據特征選擇的攻擊檢測方法，其特征在于，包括如下步驟：

步驟1：實時抓取工控系統通信過程中控制層與現場設備層間通信網絡數據包，完成網絡數據包預處理；

步驟2：特征提取與構建，即深入解析工控系統中中間人、重放大流量攻擊這兩種攻擊模式，由于數據包協議不可解析性，在數據包周期、長度信息的基礎上構建新的數據特征，該數據特征包括發送周期內數據包之間的長度差值、周期間相同長度數據包的時間差值、數據包收發頻率；根據數據包周期、長度信息構建的新的數據特征與數據包原有的數據特征共同組成用于模型訓練的數據特征，所述數據包原有的數據特征包括數據包幀頭信息，所述數據包幀頭中具有時間t、數據包長度length兩種數據信息；從數據包周期出發，選擇每相鄰的兩個相同長度數據包i和j的時間間隔作為數據包i的特征量，與原有特征綜合得到現有不可解析數據包的特征向量：

考慮到一個周期內相同長度的數據包數量共有n個，第n個數據包序列設為σ_n，特征向量：

同時考慮數據包在一個周期內的位置序列，通過比對周期內相鄰數據包長度差值，即可確定該數據包周期內序列是否正確，將作為數據包i的新特征量：

考慮到周期內可能具有相鄰長度差相同的數據包對共m對，特征向量：

從數據包收發時間特征出發，提取數據包收發頻率特征f，f為數據包i前ΔT時間內通信過程中收發數據包個數，構成特征向量：

基于周期內相同長度數量數據包個數n，具有相鄰長度差相同的數據包對m對，最終用以下向量表示協議不可解析數據包i的數據特征：

步驟3：在步驟2)的基礎上，完成數據包預處理以及攻擊數據包和正常數據包標定，建立工控網絡訓練集；

步驟4：基于機器學習方法建立工控網絡攻擊檢測模型，并利用步驟3)得到的工控網絡訓練集訓練所述模型；

步驟5：利用步驟4)訓練好的工控網絡攻擊檢測模型判斷網絡數據包是否異常，完成工控網絡的攻擊檢測。