1.一種應用于工業(yè)控制環(huán)境的端口掃描檢測方法，其特征在于，包括以下步驟：

S1：抓取工業(yè)控制網絡中的網絡報文；

S2：提取網絡報文中帶有SYN標志的源IP、源MAC地址、目的IP、目的端口和目的MAC地址；

S3：利用所述源IP、源MAC地址、目的IP、目的端口和目的MAC地址構建工業(yè)控制網絡中每臺設備的端口連接，所述端口連接包括源IP、源MAC地址及其對應請求的目的IP、目的MAC地址、目的端口；

S4：判斷學習期是否結束，其中，所述學習期是預先設置的；

S5：如果學習期沒有結束，則將構建得到的當前設備的端口連接記錄為合

法端口連接；

S6：如果學習期結束，則將當前設備的端口連接與合法端口連接進行匹配；

所述步驟S6具體包括：

S61：如果學習期結束，則統(tǒng)計學習期內當前設備的端口連接的數(shù)量；

S62：判斷掃描檢測周期是否開始，如果沒有開始則等待掃描檢測周期開始，如果開始則進行步驟S63；

S63：判斷當前設備的端口連接的數(shù)量與已統(tǒng)計的端口連接的數(shù)量是否相同，如果不相同，則進行步驟S64，如果相同，則將下一個設備作為當前設備，并重復進行步驟S61；

S64：判斷當前設備的端口連接的源IP、源MAC地址是否存在于合法端口連接中，如果存在，則進行步驟S65，如果不存在，則進行步驟S66；

S65：判斷源IP、源MAC地址對應請求的目的IP、目的MAC地址、目的端口是否存在于合法端口連接中，如果不存在，則進行步驟S66；

S66：判定當前設備的端口連接與合法端口連接匹配不成功；

S7：如果當前設備的端口連接與合法端口連接匹配不成功，則判定當前設備存在端口掃描攻擊行為，并將當前設備的端口連接記錄為可疑端口連接。