现在越来越多的工业生产过程由工业控制系统进行控制,工业控制系统为工业生产提供便利的同时也带来了很大的安全隐患。越来越多的研究表明使用人工智能技术构建基于网络流量的入侵检测系统可以有效的保护工业控制系统。但是使用人工智能技术构建基于网络流量的工控入侵检测系统需要大量的带有标签的工控攻击流量数据,然而实际中却没有足够的带有标签的工控攻击流量数据用来构建基于网络流量的工控入侵检测系统,导致构建工控入侵检测系统会面临三个问题,第一个问题是数据没有标签,第二个问题是缺乏新攻击数据,第三个问题是在没有攻击数据的情况下进行冷启动。并且由于工业控制系统不具有通用性,导致工业控制系统的网络流量数据也不具有通用性,网络流量数据的不通用导致两个问题,第一个问题是不同的工业控制系统流量数据不能互相用来构建入侵检测模型,流量数据不能得到充分的使用;第二个问题是导致基于网络流量的工控入侵检测系统也不具有通用性,需要为每一个工业控制系统构建一个基于网络流量的入侵检测系统。而且随着针对工控系统攻击的发展,出现了更为隐蔽的过程攻击,该攻击每一条指令都是正常的,但执行的顺序异常时会对工业生产过程造成损害。本文首先提出了基于迁移学习中的微调方法和门控循环单元的工控入侵检测模型。在该模型中,将数据集中的一种攻击假设为新攻击,将新攻击流量和一部分正常流量作为目标域数据集,将剩余的攻击流量和其余的正常流量作为源域数据集。实验表明本文提出的模型能在新攻击数据不足的情况下构建一个有效的工控入侵检测系统,并且能够检测过程攻击。由于将迁移学习中的微调方法应用于工控入侵检测领域只能一定程度上缓解构建入侵检测模型时新攻击数据不足的问题,并不能解决工控入侵检测领域中的数据标签缺乏问题、没有攻击数据时冷启动问题、数据不通用问题,本文提出使用自编码器同构特征空间和使用迁移学习中对抗域适应方法以及门控循环单元构建基于网络流量的工控入侵检测系统,此处的源域和目标域分别是不同的工业控制系统的网络流量。实验表明,本文提出的模型有效的解决构建入侵检测模型时的数据标签缺乏问题、没有攻击数据时冷启动问题、数据不通用问题。