随着信息技术的快速发展,工业控制系统(Industrial Control System,ICS)打破了传统的物理隔离的形式,越来越多地与外界网络连接。虽然这样做使得工业控制系统生产效率得到了很大的提高,但同时也让它更容易遭受攻击。近几年,国内外发生多起工业控制系统入侵事件,造成了十分严重的后果,甚至威胁到了国家安全。因此,在智能化、自动化的现代工业发展要求下,工业控制系统入侵检测研究成为了信息安全方面的研究热点之一,其中异常检测研究是入侵检测研究中的重要部分。本文在分析和研究多种现有工业控制系统异常检测方法的基础上,主要以数据采集与监视控制(Supervisory Control and Data Acquisition,SCADA)系统和西门子 S7 工业控制系统网络协议为研究对象,完成了以下三个部分的研究工作:(1)针对具有高度周期性特点且多路复用的工业控制系统网络流量,本文在研究流量本身的周期性基础上结合领域知识提出了基于I/O通道分离和频谱分析的工控系统流量异常检测建模方法,通过识别流量数据I/O地址并进行分组,使用优化后的频谱分析方法构建流量模式的自动机模型。实验表明,该方法在模型构建及模型检测方面优于其他建模方法,并且在一定程度上减少了人工干预。(2)已知的工控流量符号引起的异常情况相对于未知的工控流量符号更难被检测,为了更好地表示工控系统网络流量的模式、降低异常检测模型的漏报误报,本文结合工业控制系统的物理层次将流量划分为不同维度,从而进行工控系统网络流量多级异常检测建模的研究。实验结果显示多级异常检测模型能够有效提升异常检测效果。(3)本文基于上述提出的I/O通道分离和频谱分析建模方法以及多级异常检测模型,设计并实现了一个工控系统流量模型构建与异常检测系统。