一种针对路侧异构设备网络的入侵检测方法、系统及设备

本发明属于入侵检测技术领域，涉及一种针对路侧异构设备网络的入侵检测方法、系统及设备，所述方法包括：根据每一帧数据中的功能码，计算描述前后两帧数据中功能码变化情况的动作特征值，得到动作特征向量；计算每一帧数据中的各个功能码读取上一个相同编号的寄存器的时间间隔，得到时间间隔向量；通过动作特征向量和时间间隔向量，构建网络行为向量；通过基于聚类算法的异常检测模型对由正常网络数据构建的网络行为向量进行聚类，得到各个聚类簇的中心点和阈值距离；根据网络数据中的数据点的网络行为向量是否满足离群点的特征判断该数据点是否为异常数据。其算力需求小且可在较低的误报率下对零日攻击进行有效检测。