1.一種工控網(wǎng)絡(luò)流量實(shí)時(shí)入侵檢測方法，該方法為一種基于suricata和滑動(dòng)窗口均值聚類工控網(wǎng)絡(luò)流量實(shí)時(shí)入侵檢測方法，其特征在于，所述方法包括以下步驟：

(1)通過修改suricata源碼，改變suricata運(yùn)行模式，使其做到實(shí)時(shí)捕獲并解析全部的網(wǎng)絡(luò)數(shù)據(jù)幀，按照想要的格式將網(wǎng)絡(luò)數(shù)據(jù)幀解析成自然語言并進(jìn)行轉(zhuǎn)儲(chǔ)；

(2)通過步驟(1)提取工控互聯(lián)網(wǎng)中正常的網(wǎng)絡(luò)流量數(shù)據(jù)，分析流量特點(diǎn)，構(gòu)造正常流量特征，并設(shè)置正常流量哨兵；

(3)通過步驟(1)提取攻擊流量數(shù)據(jù)，分析流量特點(diǎn)，構(gòu)造異常流量特征，并設(shè)置異常流量哨兵；

(4)將修改后的suricata部署到工控互聯(lián)網(wǎng)網(wǎng)絡(luò)節(jié)點(diǎn)上，通過滑動(dòng)窗口分組聚類算法對(duì)采集的實(shí)時(shí)流量進(jìn)行檢測；

(5)將流量分析和檢測結(jié)果反饋到可視化平臺(tái)，對(duì)網(wǎng)絡(luò)內(nèi)部出現(xiàn)的攻擊行為及時(shí)報(bào)警并記錄異常流量；

所述步驟(4)中的實(shí)時(shí)流量檢測方法，對(duì)實(shí)時(shí)流量通過滑動(dòng)分組計(jì)算出組內(nèi)長度方差，然后與兩個(gè)哨兵進(jìn)行對(duì)比，若該組內(nèi)方差大于等于正常流量哨兵，則該組為正常流量組；若該組內(nèi)方差小于等于異常流量哨兵，則該組為異常流量組；這樣先快速過濾掉絕對(duì)正常流量和絕對(duì)異常流量，接著對(duì)位于正常流量哨兵和異常流量哨兵之間的流量組，也就是組內(nèi)既有正常流量也有異常流量，通過均值聚類將該組內(nèi)的正常流量和異常流量分離。