随着互联网技术的迅速发展,越来越多的工业控制系统设备通过互联网进行工业数据的采集、传输、存储及处理,工业控制系统由最初简单封闭变成网络化、复杂化的开放系统。传统工控系统自身脆弱性及安全防护措施不足,再加上与互联网信息技术的融合进一步加剧了工控网络的安全问题。入侵检测技术作为一种可以实时监控并感知工控网络异常的信息安全技术,是目前研究者们针对工控系统安全防护的研究热点。现有的工控入侵检测技术主要针对应用层以下的攻击,不能充分检测出应用层协议内容的异常。因此本文通过分析工业控制系统特征及应用层攻击特点,提出一种基于相位感知的隐半马尔科夫模型（phase-aware hidden semi-Markov Model,p HSMM）的应用层入侵检测方法,并且考虑了模型训练时的数据安全和隐私问题,提出基于联邦学习的工控系统入侵检测系统。主要研究内容如下:1)针对工业互联网应用层攻击,提出了一种基于p HSMM工控入侵检测方法,该方法可分为两个阶段:模型训练和异常检测。在模型训练阶段,利用p HSMM模型对正常的应用层工控协议进行建模,通过描述字段之间的转移规律和字段内部的相位之间的演变规律,自动获取数据包格式的宏观框架和数据包字段的微观结构;在异常检测阶段,提出了一种基于数据包上下文相似性的异常检测方法。通过p HSMM模型获取数据包似然概率,从而推断出数据包类型,获取正常工控协议的轮廓特征,进一步利用数据包类型标签作为时间序列构建概率后缀树模型,分析上下文的相似性,通过比较新的数据与正常数据的上下文相似性来检测异常。采用多个公共工控协议数据集验证了该方法的有效性,结果表明,该入侵检测方法能够准确地检测出应用层异常。2)为了保护工业用户数据隐私和安全,本文提出基于联邦学习的工控系统入侵检测方法。利用联邦学习的框架,对入侵检测模型进行分布式学习,将各个参与方的数据保留在本地对p HSMM模型进行训练,上传本地模型更新后的参数到中央服务器聚合,实现多方协同训练模型。实验结果表明,该方法与传统训练方法相比,模型准确率基本不变,并且保障了各方数据的隐私和安全。