本发明属于网络安全领域，提出了一种基于启发式聚类算法的工业控制网络攻击流量分类方法。该方法通过对工控网络攻击流量提取特征并格式化处理，输入至深度自编码器后进行降维处理，获得低维流量特征表示，基于密度的启发式聚类算法从中获取基础攻击流量分类器，并基于基础攻击流量分类器，采用测试数据构造自增长攻击流量分类器，持续检测和分类未知的攻击流量。本发明的主要目的在于解决仅基于正常工控网络流量对未知攻击流量进行实时分类的难题。针对缺乏足够的训练攻击样本、缺乏工业控制网络流量分布相关知识以及攻击流量的种类是不确定的，且是逐渐出现的特点，本方法实现对攻击流量进行持续性的、实时的检测和分类。