工业控制系统逐渐进入信息化和智能化发展阶段,大量的工控系统和设备接入互联网,网络安全问题延伸到工控系统。工控系统遭受攻击事件不断增多,攻击手段层出不穷,研究针对工控网络的防护技术成为热点。本文首先介绍工控系统的结构分层及其功能,对比与IT系统信息安全的区别,凸显工控系统信息安全的特殊性。对工控系统脆弱性分析、对通用的Modbus TCP协议和通讯脆弱性详细分析,并从安全管理和技术层面介绍现有工控系统的安全防护措施,描述工业防火墙在工控系统的防护作用。然后,介绍PLC工业防火墙的系统结构,以及软件框架整体设计思路。重点说明基于支持向量机(SVM)的工业防火墙规则自学习方法。利用SVM算法对工控数据的行为特征学习,生成识别模型,对工控数据进行识别。针对工控数据表现出不均衡特征,通过分析不均衡数据集下SVM算法的解决方案,提出优化生成识别模型的方法。一是在样本层面优化,特别提出针对工控网络的异常数据生成方法,改善训练样本的不均衡性;二是采用改进的网格搜索法对模型参数优化。利用生成的识别模型将预测为合法的数据按一定模式加入规则表,完成自动学习工控数据生成过滤规则的目的。最后,模拟真实工业生产过程搭建简单的工控系统仿真实验环境,采集工控数据并做处理。分别使用优化前后的LIBSVM算法生成不同的识别模型。通过实验结果分析优化前后识别模型分类效果,表明本方法生成的识别模型对正常数据和异常数据都有较高的预测精度。从而生成准确率高的过滤规则,提高工业防火墙的性能。