随着工业控制现代化的高速发展,使得传统的生产制造与互联网紧密的结合,从而得到更加智能化的工控系统。工控系统智能化不仅提升了企业的生产制造力,而且方便了对远程生产现场的控制管理,但与此同时也带来了一系列网络安全问题。外部非法的攻击者可以通过网络更加轻易破坏工控系统。论文研究的目的便是解决此类问题,改善工控系统的安全。论文在分析现有入侵检测技术上进一步研究,针对现有技术的不足,提出了一种基于工业控制网络混合多类检测入侵检测方法。此外,对于海量报警日志影响操作人员正确及时处理报警信息的问题,提出了基于报警日志去重与优先分组处理方法,论文具体工作包括:(1)针对数据样本的数据不平衡以及未知类型的攻击,提出了一种多种算法结合的检测方法。分别通过KPCA、SMOTE算法对不平衡数据进行降维和平衡处理,进而基于随机森林算法对攻击类型实施划分,在此基础上,进一步对剩余未知类型数据通过KNN算法分类,从而实现了异常数据的检测。实验结果表明该混合多类检测方法对于不平衡样本数据以及未知攻击类型具有较好的检测效果,同时也明显降低了所需要的训练时间。(2)针对冗余无序的异常报警日志,提出了报警日志去重与优先级分组方法。该方法通过引入PN图建立多类报警日志之间的关联性,建立去重规则库进行去重处理,然后为了进一步加强工控环境的安全对剩余的Modbus TCP报警日志进行优先级分组处理,方便管理员快速发现解决异常入侵行为。最终实验结果表明,该方法显著提高了Modbus TCP工控系统的入侵响应能力。(3)设计并实现了基于Modbus TCP的入侵检测系统。该系统主要有五种不同的模块组成,通过这些模块将数据以图形化的方式显示,方便管理员更好的监控系统运行状态。最终实验表明,上述方法在系统中不经可以检测出未知的攻击类型,而且管理员能够及时发现并处理异常的攻击类型,使得工控系统的安全得到了保障。