随着工业化、自动化向着网络化、信息化的发展,工业控制系统已经成为国家关键基础设施的重要组成部分。目前,ICS已经深深地融入人们的生活、工作等各个方面,被广泛地应用于工业、能源、交通、市政等重要领域,在国家发展和人民生活水平提高的过程中扮演着重要的角色。此外,工控的安全引起了广泛的关注,然而,工控入侵检测技术的研究还处于起步阶段,虽然可以在一定程度上识别工业控制网络中的异常行为,增强ICS的安全性,但是仍存在一些问题。其中,异常检测技术存在误报警现象,而误用检测技术的漏报现象频繁发生,传统模式匹配算法计算负载大,准确性低,影响检测的性能。有鉴于此,从Modbus TCP协议的特征出发,结合误用检测和异常检测的思想,提出了SD-IDS入侵检测分析算法。该方法由协议深度解析、规则提取、深度检测三部分组成,在精测精度、误报率和漏报率等方面有了很大的改善。首先,阐述了当前检测技术的思想,对比了各种检测模型的优势和不足。并针对工业控制系统的脆弱性,从系统组件和协议两个方面进行分析,为SD-IDS方法的研究奠定了理论基础。其次,在协议解析原理的基础上,提出了协议深度解析方法。详细地介绍了协议解析流程,从中提取数据包的时间戳、协议类型、数据包长度,并从数据包的网络层、传输层、应用层三个层次进行解析,获取各层协议报文的关键字段信息。再次,为了弥补当前检测技术的不足,提出了规则提取方法。深入地发掘网络信息流之间的关系,从数据包内协议字段关系、主/从通信数据包间关系、同一功能行为类内载荷各个字段变化规律、及其周期特性、以及整体数据包可靠通信这四个层面来分析,结合工控网络协议的语义、语法、时序等特性,建立规则模型。同时,提出了深度检测方法,对工控流量进行实时检测。最后,对提出的SD-IDS方法进行建模,在仿真实验环境和真实实验环境下,模拟常见工控攻击来测试SD-IDS。结果表明,本文的SD-IDS算法能够满足现有攻击行为的检测需求,检测精度有了很大的提升,同时其误报率和漏报率大幅度降低。