1.一種工控系統安全防護方法，其特征在于，包括：

實時監測并獲取工控系統網絡信息，并根據工控安全基線識別安全風險；其中，所述工控安全基線在終端層安全基線、網絡層安全基線的基礎上結合漏洞數據庫、威脅情報數據庫建立；

其中，

所述工控安全基線的建立方法包括：根據所述終端層安全基線建立終端層異常行為知識庫、終端層合法行為知識庫；根據所述網絡層安全基線建立網絡層異常通信/流量知識庫、網絡層合法通信/流量知識庫；根據所述終端層異常行為知識庫、所述終端層合法行為知識庫、所述網絡層異常通信/流量知識庫、所述網絡層合法通信/流量知識庫、所述漏洞數據庫、所述威脅情報數據庫建立所述工控安全基線；

所述終端層安全基線的建立方法包括：采集終端指紋數據，所述終端指紋數據包括操作系統版本、開放端口Web開發框架；根據終端歷史通信特征建立終端通信行為模型，所述終端通信行為模型至少包括時間、賬號、操作、訪問對象四個維度的信息，所述終端通信行為模型用于判斷終端的類型，并結合終端加全流量分析系統邊緣計算方法，實現終端安全畫像的低時延與低能耗的建模；根據所述終端指紋數據及所述終端通信行為模型，建立所述終端層安全基線；

所述網絡層安全基線的建立方法包括：

對異常工控協議、流量威脅進行檢測，包括：對工控協議、常規TCP/IP協議棧報文進行監測，及時發現惡意偽造的異常畸形報文，獲知入侵行為；對重要系統的網絡流量進行持續性的監測，采用全文檢索、應用目錄枚舉、圖片文件檢查手段對重要系統進行敏感信息檢測，并定位敏感信息所在系統；對終端通信面臨的典型攻擊類型、漏洞方式和攻擊路徑進行分析和梳理，并結合網絡拓撲結構，對原始數據連接進行跟蹤和預處理，利用聚類方法對不同業務指令行為進行識別，實現對異常流量的威脅檢測；

對異常通信、攻擊進行檢測，包括：通過從網絡、終端、應用、數據不同層次特征進行攻擊檢測并引導流量，實現對攻擊者的精確引導和捕獲；

根據檢測結果建立所述網絡層安全基線。