1.一种基于双轮廓模型的工业控制系统异常检测方法，其特征在于：在该异常检测过程中涉及的工业控制网络设备包括：安全网关、可编程逻辑控制器、现场传感器设备和安全管理平台、工程师站；所述安全网关包括异常检测子系统和数据包深度解析系统，该方法具体包括以下步骤：S1：工程师站对系统组态、运行，各区域所在PLC对其IO模块所接的受控设备进行鉴别，匹配受控设备信息列表，形成主、从站的周期性通信方式；

S2：PLC将数据信息实时反馈给安全网关，安全网关的数据包深度解析系统提取数据特征，去除多余的属性特征，只留下关于系统行为模式相关的特征，包括基于通信频率的协议特征、数据包传递方向特征以及寄存器值变化规律；

S3：异常检测子系统根据数据包深度解析系统所提取的特征向量，根据分类器进行测量和统计，进行异常检测，并对异常结果向安全管理平台发出警报。

2.根据权利要求1所述的一种基于双轮廓模型的工业控制系统异常检测方法，其特征在于：在步骤S2中，数据包深度解析系统针对Modbus TCP协议的报文格式规定数据包中应该存在的特征字段以及这些字段的期望值，逐层对报文进行深度解析，归纳协议的指令和状态特征；

对于数据包协议特征集，通过建立一个的主、从站通信的滑动时间窗口，由周期性时间窗口对重要特征进行频率标记，对数据包进行周期性采集与特征提取，建立特征向量；

根据在Modbus TCP协议的ICS中，现场设备层主站、从站之间的通信存在高度的周期性特点以及对从站设备的周期性读写操作，得出包到达时间间隔规律、事务处理标识符频率、读从站功能码频率、写从站功能码频率、从站通信地址频率、数据包的传递方向，从而基于通信频率对每一类有规律的特征值构造出特征向量X＝(x1,x2,x3…xn)。

3.根据权利要求2所述的一种基于双轮廓模型的工业控制系统异常检测方法，其特征在于：所述包到达时间间隔规律是指PLC对受控设备所发出的相同指令的时间间隔保持一致；所述事务处理标识符频率、读从站功能码频率、写从站功能码频率、从站通信地址频率指的是，通过Modbus TCP协议特征和周期性的规律分析，得出数据包各个字段的特征频率；

所述数据包的方向是指PLC与底层受控设备数据交互时，依据数据包的源地址、目的地址生成数据包的传递方向。

4.根据权利要求3所述的一种基于双轮廓模型的工业控制系统异常检测方法，其特征在于：在步骤S3中，当使用分类算法检测Modbus TCP协议的向量特征时，先用k-means聚类算法对协议特征向量预处理：随机选择k个对象，作为初始化聚类簇，计算各个聚类簇中数据的均值，通过使用标准准则函数，判断聚类簇中心是否稳定，该标准准则函数定义为：其中，xk表示聚类簇中的某一个点，ci表示某个聚类的均值；这样既缩短了分类时间，又提高分类准确度，满足ICS的实时性要求，一旦检测出异常情况立即产生警报通知安全管理平台。

5.根据权利要求4所述的一种基于双轮廓模型的工业控制系统异常检测方法，其特征在于：在步骤S3中，通过分析可编程逻辑控制器与现场传感器设备之间传感器寄存器值，主控PLC计数寄存器值的规律性变化，生成时间与寄存器值的关系映射表，分析巨涌攻击特点是攻击者在t时刻篡改正常值使其突然增大，对照寄存器值关系映射表，设定寄存器阈值β为正常情况下输出值的2倍，发现实时检测值θ一旦超过阈值β，立即向安全管理平台发出警报；只有当实时的寄存器值没有超过阈值β时，利用TCM-KNN算法分类器类进行判别，这样比仅仅运用算法分类器的检测方法更具有实时性；

考虑到寄存器值可能被攻击者以每次数值的增量很小的数据篡改，系统难以察觉的特点，并且在ICS中一个完整的周期性运行，在每一个周期的相同时间点上寄存器值是相同的或差别极小，依此规律，利用TCM-KNN算法分类器来检测每个对应时间点上实际寄存器值与映射表寄存器值的偏差，来实时监测寄存器值是否正常；寄存器值一旦遭到篡改，安全网关立即将异常情况报告给安全管理平台，记录异常情况所在区域以及该区域PLC编号，向该PLC发送控制指令。

6.根据权利要求5所述的一种基于双轮廓模型的工业控制系统异常检测方法，其特征在于：所述TCM-KNN算法是将经典的分类算法K-近邻与直推信度机(transductive confidence machines，TCM)相结合，以距离计算的方法(样本之间特征向量欧式距离)根据已分类的ICS寄存器数据集对待测数据进行分类；

为了量化实时寄存器值与映射表中寄存器值的差异程度，定义的奇异值来表示：

TCM中采用的置信度机制是基于随机性检测的，对置信度的估算采用随机性检测函数来进行，定义P值为检测函数的值实时寄存器值i相对于同类别y的P值：在待分类样本集中每个样本对应每类都有一个P值，P值可以计算为 一次处理一个样本，P值的取值范围为[0,1]，P值越大表明i归属于y的可能性越大。