现如今,工业控制网络已经在诸多重要的基础设施领域得到广泛的应用,由于与外部互联网缺少明确的隔离边界,加之传统基于已知特征库的安全防护策略和网络内设备缺乏专用安全防护资源等安全设计的局限性,近年来,针对工业控制网络的安全攻击引起的严重生产事故时有发生。本文采用旁路监听的方式接入专用的网络流量传感器,将所采集的网络运行状态指标特征数据汇总至专用的消息中间件,以满足对工业控制网络安全运行状态监控和异常识别建模的需要。根据不同业务子网内通信协议的协议栈结构,设计深度包检测程序提取通信数据包中的目标字段用以构造各状态指标的特征数据。基于组件化的设计思想,分别对网络中当前接入节点、数据通信连接、网络数据流量、节点控制操作、控制行为序列等网络运行状态指标设计专用的特征数据采集程序,并将所得的特征数据汇总至专用的消息中间件。通过订阅配置指令和心跳数据机制实现对网络流量传感器的功能参数调整和运行状态监控,并以电力SCADA系统中常用的IEC104规约通信协议为例介绍整个采集过程的实现。结合不同网络自身的工作特性,对各网络流量传感器设置白名单阈值等运行参数,自适应生成各网络内的接入节点白名单、通信连接白名单、节点操作白名单用以识别网络中出现的非法操作与异常接入。结合不同控制子网内生产业务的差异性,采用语义向量模型分别对各网络内的控制行为序列完成数值化、向量化表达的建模,保留控制行为序列内控制操作的频域特性和上下文关系。由于实际生产环境中难以获得异常样本数据,加之对工业控制网络的异常工作状态缺少明确的定义,采用单类支持向量机算法对各个控制子网内基于语义向量模型获得的行为序列特征向量进行建模,实现异常行为序列的识别。最后,在实验环境中对深度包检测程序的性能效率、参数配置与心跳上传功能以及不同的行为序列识别建模方式对准确性的影响进行验证评估。