现阶段,工业控制系统（Industrial Control Systems,ICSs）已经广泛应用于国家生产和发展的各个关键领域和行业。然而,随着工业化和信息化的高度融合,工业控制系统面临愈来愈多具有时间持续性、手段综合性和目标特定性的定向攻击和高级可持续性攻击（Advanced Persistent Threat,APT）,并且传统的IT信息安全技术并不能很好的适用于工业控制系统。因此,基于工业控制系统的独特性,本文以典型的工业Modbus/TCP控制网络为研究对象,提出基于行为特征的通信异常检测方法,完成对工业通信行为进行特征提取,设计相应的异常检测引擎,从而实现工业通信行为的异常判别与检测。首先,本文对Modbus/TCP工业网络中的通信行为进行分类,并对不同的通信行为进行特征提取:针对Modbus/TCP功能控制行为,结合其时序性和有限性的特点,通过分析各个功能码在序列中的分布情况和相关关系,提出一种基于加权关联分析的功能控制行为特征提取方法;针对Modbus/TCP过程数据行为,结合其周期性和时序性的特点,通过分析各个过程数据序列在不同维度和不同尺度下的复杂性,提出一种基于多元化分析的过程数据行为特征提取方法。其次,基于上述提取的两类Modbus/TCP工业通信行为特征,本文提出一种改进参数优化的支持向量机（Support Vector Machine,SVM）异常检测方法。该方法以SVM为异常检测分类器,通过设计改进的人工蜂群算法（Artificial Bee Colony,ABC）进行参数优化,从而实现了一种基于双变异的动态调整ABC-SVM异常检测引擎,能够对Modbus/TCP工业通信中的异常行为进行有效的检测。最后,搭建Modbus/TCP工业控制网络模拟实验环境,进一步对本文所提出的行为特征提取方法和异常检测引擎进行验证分析。大量实验结果表明,对比不同异常检测方法以及不同的参数优化方法,本文提出的检测方法,无论是在功能控制行为的异常检测上还是在过程数据行为的异常检测上都有较高的分类准确率和较低的检测时间。