随着“工业4.0”和“互联网+”概念的提出与发展,工业控制系统的安全状况日益受到重视。目前,工业控制系统总体从封闭孤立的简单内网系统向开放协同的复杂联网系统转变,系统接口数量迅速增长,防护压力随之增大。除去必备的工业控制系统SCADA和互联网的通用安全技术之外,工控系统的入侵检测(Intrusion Detection)也成为必不可少的一种安全措施。入侵检测技术是一种重要的安全技术,在互联网和工控网络中均有应用。主流的入侵检测算法主要有基于误用检测和异常检测的方法,但随着网络环境复杂程度的提高和攻击手段爆发式的增长,上述各算法均存在检测能力严重不足的情况。本文构造了基于时序逻辑的工业控制系统攻击模型。该时序逻辑通用模型属于基于模型检测的入侵检测技术,但普通基于模型检测技术只能针对特定的几种入侵方式进行建模分析。而本文提出的时序逻辑通用模型的优势在于,能够针对工业控制系统网络攻击的通用过程进行建模,可以突破攻击类型的广度限制,把多种类型的攻击方式囊括入攻击模型中。本文在使用该时序逻辑攻击模型进行异常行为检测分析时,引入深度学习(Deep Learning)增强模型匹配精度,使得检测进程不仅具有相关性决策能力,更具有一定程度的自学习能力。由于深度神经网络通过Layer-wise Pre-training(即“逐层初始化”的非反向传播算法)方式实现隐层节点训练,其时间复杂度远少于基于反向传播算法的神经网络,适用于基于时序逻辑攻击模型的异常行为快速决策,因此本文实现检测分析时采用深度学习算法。本文工作相比较于过往的工业控制系统攻击模型研究,将典型的工控系统攻击流程提取细化为动作序列,并将动作序列分解为逻辑上的原子动作行为。结合已知的攻击方式,给出每一种特定攻击的时序逻辑表达式,并构造其对应的攻击模型公式。其奠定了各类入侵检测方法性能比较的基础,为具体实现入侵检测系统提供合适的算法架构。本文通过实验对提出的时序逻辑模型进行验证,实验结果表明算法具有较好的实时性效率与检测成功率。同时本文实验搭建基于Hadoop的分布式处理框架,检测系统具有良好的可拓展性。