工业控制系统广泛应用在石油化工、电力水利、交通运输等关乎国计民生的关键基础设施上。随着近年来不断增加的工控安全攻击事件,为了确保工业控制系统安全运行,工控网络安全问题的研究是十分必要的。Modbus TCP协议在工控网络中有着广泛应用,但其存在明显的安全缺陷。入侵检测技术是网络防护的有效手段,本文针对Modbus TCP协议进行了三个方面的入侵检测技术的防护研究。第一在控制器与上层网络之间,应用了基于深度包检测的白名单防护方法。使用深度包检测技术对Modbus TCP数据包深度解析,得到网络数据和工控数据。通过配置白名单规则,对不满足规则的数据包进行报警。第二在工控网络旁路,采用基于网络的异常检测,进行了基于机器学习的异常检测算法研究。首先对包含7种入侵攻击的原始数据进行数据预处理,然后选取了 18种特征属性,包含了入侵攻击将会造成变化的各个变量。通过对比14种机器学习算法的分类结果,进行多个指标评判,甄选出性能最优秀的C4.5决策树分类算法。第三针对被控对象状态,本文提出了一种改进CUSUM异常检测方法。首先设计了以对象模型的预测值和实际值的差值作为检测序列,然后根据3σ原则设计偏移常数β，并决定门限值τ的取值。通过恶意命令注入攻击实验,检验了改进CUSUM异常检测方法的性能。研究表明,基于深度包检测的白名单防护可以有效对非法的数据包进行报警。在工控旁路采用筛选出最优的C4.5决策树可以有效的对网络特征进行异常检测。针对被控对象状态,本文提出改进CUSUM异常检测方法,能够在较短的时间内检测到被控对象的异常。通过三个部分的入侵检测技术,可以有效的检测到面向Modbus TCP协议的工控网络的入侵行为。