1.一種用于電網企業的網絡攻擊行為仿真系統的仿真方法，所述用于電網企業的網絡攻擊行為仿真系統包括，數據包分配模塊（1），用于對進入仿真系統的數據包分配路徑IP地址；若干個數據模擬模塊（2），用于對接收的數據包進行模擬運行，每個數據模擬模塊（2）內設置有程序調用接口（21）、數據通訊接口（22）和安全探針接口（23）；預設程序數據庫（3），用于存儲預設程序，通過程序調用接口（21）與數據模擬模塊（2）通訊連接；安全探針監測模塊（4），通過安全探針接口（23）與數據模擬模塊（2）連接，用于對攻擊行為進行監測；攻擊行為特征監控模塊（5），通過數據通訊接口（22）與數據模擬模塊（2）連接，用于對攻擊行為特征進行提取和比對；

其特征在于包括以下步驟：

A、數據模擬模塊（2）根據仿真需求通過程序調用接口（21）向預設程序數據庫（3）調取相應的程序數據，同時通過數據通訊接口（22）將執行預設程序的數據模擬模塊（2）按照仿真需求進行通訊連接，并將數據包分配模塊（1）與對應的數據模擬模塊（2）通過數據通訊接口（22）通訊連接；

B、數據包分配模塊（1）分配路徑IP地址給數據包，數據包根據分配到的路徑IP地址進入對應的數據模擬模塊（2）進行仿真運行；

數據模擬模塊（2）進行仿真運行包括以下步驟，

B1、數據模擬模塊（2）對原始數據包進行存檔；

B2、數據模擬模塊（2）根據調取的程序數據對數據包進行運行，對運行過程中產生的中間數據進行存檔，中間數據包括目標IP、數據類別和數據置信度；

B3、對存檔的中間數據按照目標IP和數據類別進行二維聚類；

C、攻擊行為特征監控模塊（5）通過數據通訊接口（22）對攻擊行為進行特征的提取和比對，得到攻擊行為特征集合；

攻擊行為特征監控模塊（5）對攻擊行為進行特征的提取和比對包括以下步驟，

C1、攻擊行為特征監控模塊（5）采集數據模擬模塊（2）的輸入流量數據和輸出流量數據；

C2、對輸入流量數據和輸出流量數據按照步驟B3得到的聚類組別進行比對，得到可疑數據；

對每一組輸入流量數據和輸出流量數據進行比對包括以下步驟，

C21、建立輸入流量數據和輸出流量數據的關聯函數集；

C22、對輸入流量數據進行部分替換，使用替換前后關聯函數線性度閾值作為約束條件，得到輸入流量數據最大替換閾值；

C23、在輸入流量數據最大替換閾值內對輸入流量數據進行替換，根據關聯函數集計算輸入流量數據替換后對應的輸出流量數據，使用原輸出流量數據與輸入流量數據替換后對應的輸出流量數據進行比對，根據比對規則確定可疑數據；

C3、對可疑數據進行樣本篩選和分析得到攻擊行為特征集合；

對可疑數據進行樣本篩選和分析包括以下步驟，

C31、分若干次向可疑數據中加入噪聲數據分量，每次加入后進行數據重組，噪聲數據分量的比例呈線性增加；

C32、對重組前的可疑數據分別進行聚類處理，得到若干個聚類中心，使用對應聚類組數據的平均數據置信度作為聚類中心的置信度，刪除低于置信度閾值的聚類中心和對應的聚類組數據，然后使用得到的聚類中心對重組后的可疑數據進行聚類處理；

C33、在重組后的可疑數據中選定隨著噪聲數據分量增加，變化率不超過設定閾值的聚類分組，將選定的聚類分組對應的聚類中心集合作為攻擊行為特征集合；

D、安全探針監測模塊（4）通過安全探針接口（23）向數據模擬模塊（2）部署安全探針，對攻擊行為進行監測。