工业控制系统广泛应用于电网、水利、能源、交通等领域。计算机和通讯技术驱动工业控制系统的发展,使得工业控制系统呈现出网络化、智能化的趋势,也导致工业控制系统面临严峻的网络安全挑战。持续的网络攻击会导致工业生产流程破坏、工业基础设施损坏、工业信息泄漏。实时高效的工业控制系统入侵检测方法研究具有重要意义。工业控制系统入侵检测方法的核心是对系统数据进行实时准确地分类,在此基础上进行入侵研判。现有的入侵检测方法在检测的实时性和效率方面依然无法满足工业控制系统的安全防护需求。工业控制系统海量数据标注代价高、分类算法实时性差、工业控制系统数据分布不平衡、异常数据样本少、传统入侵检测算法分类效果差等都是现有方法亟需解决的问题。针对数据标注代价高、入侵检测算法实时性差的问题,本文采用了主动学习的思想,提出了显著性特征数据样本的主动选择方法和专家标注方法;引入在线学习方法,提出了分类模型的在线快速训练方法。针对数据样本分布不平衡的问题,本文提出了基于集成学习框架AdaBoost的在线分类方法,该方法有效地降低了标注成本,满足了工控入侵检测系统的实时性需求。为了评估算法的有效性,本文以经典的在线学习分类器算法为基准,在多个常用的UCI分类数据集上进行了对比实验。实验结果初步验证了本文所设计的算法在普通分类任务上的有效性。进一步地,针对数据样本不平衡的分类问题,本文所提出的算法在不降低正常行为识别率的前提下,实现了在线环境下工业控制系统异常行为的有效识别。实验结果表明,本文提出的算法在降低标注样本的同时也满足了工业控制系统在线环境下入侵检测的实时性需求,并且可以为其他领域的不平衡样本分类任务提供技术支撑。