入侵检测只是工业控制系统中安全体系的起始部分。由于工业控制系统的重要性,工控领域内的重要的有关安全的决策必须由相关的工控安全专家做出。因此,简单的入侵警报在工控领域的安全系统中的作用非常有限。同时,由于模型缺乏可解释性,基于深度学习的入侵检测模型在发出入侵警报后,难以提供更多与入侵相关的线索,这大大限制了深度学习方法在工业控制网络入侵检测中的应用。为了解决上述问题,本文研究了有关的模型解释方法,选取有关的角度,最终从信息的角度分析了深度学习模型在计算过程与分类过程的关联性。发现可以分析深度学习分类模型的隐藏层,得到模型在计算过程中隐藏层的输出变化与分类线索之间的关系。针对这个发现,本文利用近似推导的方法,设计了一种逐层传递方法用于异常映射。该异常映射方法将输出的异常值以贡献度的方式,逐层传递直至输入层。这样就可以获得输入层中的各个特征差异对输出异常的贡献度,及入侵线索。同时,考虑到数据集中可能已经包含一些先验信息,为了更好的利用这些先验信息,本文设计了新的归一化方法,可以解决数据范围被过度缩小的问题同时增加线索发现的可读性。对于数据集收集过程中可以获得的先验知识,本文针对一种可以低成本获得的数据集设计了过滤规则,从而以更准确的方式呈现计算结果,从而应该可以帮助工控安全专家更快地锁定并应对入侵威胁。经过实验验证后可以发现,本文设计的方法可以从模型的计算过程中提取模型输出之外的入侵线索,提取入侵行为的关键特征,并且经过简单的处理后可以以图形化方式直观的表达结果。而且具有合理的应用数据集收集阶段得到的先验知识,对线索发现的结果进行进一步的精简和提升。