1.一種基于流量特征的電力終端漏洞攻擊防護方法，其特征在于，結(jié)合電力終端與主站通信特點，考慮到實際攻擊存在對數(shù)據(jù)包進行加密或重新編碼的場景，使用流量特征實現(xiàn)對攻擊行為的判斷與安全防護，具體為：將電力終端設(shè)備正常工作狀態(tài)下和受攻擊狀態(tài)下的通訊流量數(shù)據(jù)分類為正樣本、負樣本；再對正樣本、負樣本進行特征提取及選擇形成樣本特征向量；選取分類器進行機器學(xué)習(xí)，生成漏洞攻擊識別模型，利用所述漏洞攻擊識別模型對待測通訊流量數(shù)據(jù)進行判斷；

對通訊流量數(shù)據(jù)進行特征提取，包括如下19個特征：

1）對于一段包含n個數(shù)據(jù)包的序列，代表第i個數(shù)據(jù)包的包長，提取以下8個關(guān)于包長的特征：

包長均值

包長標準差

一階中心距

二階中心距

三階中心距

四階中心距

包長偏度

包長峰度

2）對于所述數(shù)據(jù)包的序列，每個數(shù)據(jù)包的到達時間為，還提取以下4個時間特征：

數(shù)據(jù)包到達平均時間間隔

數(shù)據(jù)包到達時間間隔標準差

最大數(shù)據(jù)包到達時間間隔

最小數(shù)據(jù)包到達時間間隔

3）還提取以下特征：

假設(shè)數(shù)據(jù)包序列中IP地址種類數(shù)為j，IP地址種類豐富度

假設(shè)數(shù)據(jù)包序列中占比最大的IP地址數(shù)量為n’，則獲得IP地址集中度特征

假設(shè)數(shù)據(jù)包序列中端口號種類數(shù)為k，端口號種類豐富度

假設(shè)數(shù)據(jù)包序列中占比最大的端口號數(shù)量為n’’，則獲得端口號集中度特征

數(shù)據(jù)包序列中數(shù)據(jù)包到達頻率

數(shù)據(jù)包序列中數(shù)據(jù)包最高到達頻率

數(shù)據(jù)包序列中數(shù)據(jù)包最低到達頻率 。