工控系统的攻击检测方法、装置和终端设备

本申请涉及一种工控系统的攻击检测方法、装置和终端设备，该工控系统的攻击检测方法包括：对目标数据集进行分类，得到异常数据；对异常数据进行规范化处理，得到多个告警事件，并对多个告警事件进行聚合处理，生成超告警事件；基于多个预设的约束规则，对多个超告警事件进行关联分析，并根据分析结果在多个超告警事件之间添加链接，生成告警片段；对告警片段进行攻击模式匹配，识别与告警片段对应的攻击意图，并根据攻击意图，生成预警信息。通过本申请，解决了相关技术中对工控系统中的APT攻击的检测效率和准确度较低的问题，实现了提高对工控系统中的APT攻击的检测效率和准确度的技术效果。