随着工业化和信息化的深度融合,近年来的工业控制(简称工控)系统安全事件不时发生。而工业通信协议的脆弱性是造成工控系统安全事件发生的重要原因之一。入侵检测是常用信息安全技术之一,但是传统信息技术中的入侵检测技术无法直接应用于工控系统中。因此,本文针对工控系统的特点,研究适用于工控系统的入侵检测技术。首先,本文对Modbus/TCP协议进行研究,分析了该协议存在的安全性问题。然后对工控系统入侵检测数据集进行描述,并对该数据集进行预处理,包括样本标签数值化、归一化和属性约简。然后,本文分析比较了五种机器学习算法,选取了具有较强泛化能力的极限学习机和支持向量机两种算法用于构建入侵检测模型,以工控系统入侵检测数据集进行仿真实验,实验结果表明:两种算法的准确率较高,但各有优缺点,极限学习机模型在训练时间方面优于支持向量机模型,而支持向量机的准确率则高于极限学习机模型。为了提高极限学习机模型的准确率和降低支持向量机模型的训练时间,本文提出了一种混合自适应量子粒子群优化算法,用于两个模型的优化。该算法首先使用差分策略对粒子的随机位置的更新进行改进,然后采用参数自适应的方法对参数α进行控制,最后在粒子位置更新中加入Levy飞行策略。新的算法解决了原始算法易陷入局部最优的问题,典型函数的测试结果说明改进是有效的。经过优化之后的极限学习机模型的准确率有一定的提高,支持向量机模型在训练时间上有一定的降低。在机器学习中组合分类器的准确率通常比单个分类器的更高,Stacking是组合分类器方法中的一种。为了提高工控系统入侵检测模型的性能,本文将优化的极限学习机、支持向量机和Extreme Gradient Boosting作为基学习算法,线性回归算法作为元学习算法,构建基于Stacking组合分类器的入侵检测模型。实验结果表明,该模型相比于单体分类器模型,准确率有一定的提高,误报率和漏报率有一定的降低。