随着工控系统与传统信息通信技术的深度融合,以及层出不穷的新型网络攻击手段,工控系统面临着日益严峻的信息安全问题。同时工控系统作为典型的物理信息系统,仅从网络层面检测系统不足以满足安全监测的需求,因此以工控协议深度解析为技术手段提取工业过程数据从而进行异常检测已成为研究重点。针对工控系统信息安全监测问题,本文通过研究系统通信数据的高速无扰采集、已知与未知工控协议的深度解析、工业网络与工业过程行为的异常检测方法,构建出具有一定通用性的工控系统异常检测框架。依据此安全分析框架,首先对工业网络中的通信数据进行无扰采集技术研究,然后研究工控协议的深度解析并提出总体方案,通过选取合适的多模式匹配算法与构建完备的过滤与解析规则库,对已知协议进行深度解析,其次研究并设计未知协议的语法语义逆向方案与“关键字+协议树”的快速增添协议的设计方法,进一步完善工业协议解析的准确性;最后基于解析提取的数据,提出基于网络流量的时间序列异常检测与工业过程行为基线检测两种分析方法,实现对工控系统的信息安全监测功能。本文在系统安全监测框架的深入研究基础上,设计实现了系统监测软件并在实际工控系统仿真平台中完成了其异常检测与预警的功能验证,证明了该框架的有效性与准确性,可为工控系统的安全运行以及安全策略决策提供依据。