工业控制系统主要用于工业生产过程中的各种监督和控制,被广泛应用于能源、电力、化工、污水处理等大型国家基础设施行业。近年来,由于远程管理控制的需求不断扩大,之前相对封闭独立的控制系统已经变得更加开放化和互联化,这一方面提升了操控者远程管理的能力,另一方面却也将其自身暴露在各种网络攻击的威胁之下。2010年Stuxnet震网蠕虫攻击事件,表明工业控制系统不仅容易遭受传统的网络攻击,而且也面临着一种新型攻击方式的威胁——“语义攻击”。传统的网络入侵检测方法只能检测单一的非法数据包,针对基于消息序列的语义攻击却无能为力。针对工业控制系统中现有异常检测方法在语义攻击检测方面存在的不足,本文提出一种基于混合马尔科夫树模型的ICS异常检测方法,主要工作如下:(1)基于工业控制系统的周期性和稳定性特征,利用无监督自学习的方式,构建系统正常运行时的行为模型——混合马尔科夫树,当被检测行为与正常行为模型存在明显偏差时,检测出异常。该模型基于动态自适应的方法增强了状态事件的关联度,在必要时将决定当前状态合法性的历史状态从一维追溯到多维,从而将一阶马尔科夫模型扩展为混合马尔科夫模型,并且引入了消息序列的时间间隔信息,从而使得该模型能够检测出更加复杂的语义攻击,提升异常检测方法在语义攻击检测方面的能力。(2)针对特殊工控场景下异常检测方法可能存在的模型规模过于复杂、误报率、漏报率高等问题,设计了多种改进优化策略:提出一种指令与数据相结合的状态事件定义方法,从而对状态事件的定义进行扩充;针对建模阶段所引入的噪音以及冗余信息,设计一种去噪剪枝策略,从而简化系统模型,降低系统的漏报率;设计一种基于权重的异常报警优化策略,在进行异常判断时引入权重因子,并在报警前对异常进行危险系数评估,从而方便操作人员根据异常的危险程度对一些高危异常进行优先处理,由此降低系统的误报率和漏报率。(3)基于OMNeT++网络仿真环境构建一个简化的水处理系统对异常检测方法进行功能验证,并利用真实物理测试床的数据集对方法的检测准确度进行性能验证。验证结果表明,相比于现有的异常检测方法,本文方法不仅能够检测出传统的非语义攻击、Time-based以及Order-based简单语义攻击,对各种复杂语义攻击表现出更完整的检测能力,并且通过多种改进优化策略有效降低了异常检测方法的误报率以及漏报率,简化了方法模型,提高了方法的检测效率。