工业控制系统广泛应用于电力、水利、冶金、石油等行业,它由各种自动化控制设备组件和实时数据采集、监测的网络系统共同构成,是国家关键基础设施的核心,一旦遭受攻击,容易造成国家经济损失,甚至威胁到人民生命财产安全。随着工业控制系统逐渐使用更加公开和通用化的协议,工业控制系统所受到的网络安全威胁与风险也在不断加大,因此亟待研究工控安全技术,以此来确保工控系统的安全运行。入侵检测技术是工业控制系统中最重要的安全预防措施之一,它能有效检测已知和未知攻击,提高工业控制系统识别攻击和预警的能力。但是由于工业控制系统实时性要求、设备资源受限,现有的针对工业控制系统的入侵检测仍存在检测效率低下、无法有效识别未知攻击等缺点,因此需要设计合理的入侵检测方法和框架来提高工控系统的入侵检测率、降低漏报率和误报率。本文在现有研究成果的基础上,分析工控系统网络安全特性,针对基于网络流量的入侵检测展开了研究,进行以下主要工作:(1)提出了一种基于改进ABC算法的特征选择方法,能够实现工控网络数据降维。根据工控网络数据多源性、复杂性和高维性的特点,提出了适用于工业控制系统信息管理层数据降维的特征选择方法。该方法将禁忌搜索算法嵌入到ABC的邻域搜索策略中,改良ABC的局部和全局优化能力;并针对ABC的观察蜂阶段,设计了一种新的轮盘赌选择概率公式,使全局最优值在群体值中凸现出来,快速地找到工控网络数据的最优特征子集。(2)对工控网络数据进行特征选择后,按照最优特征子集提取新的数据集,基于新的数据集训练SVM入侵检测模型。首先,按照最优特征子集来提取新的数据集,用于SVM入侵检测模型的训练,经训练得到SVM入侵检测模型;然后采用覆盖工业控制系统信息管理层入侵检测特性的数据集KDD Cup 99,来验证所设计的SVM入侵检测模型的有效性;实验结果表明,经过特征选择后提取新的数据集用于SVM训练,对入侵检测的检测率有明显的提升作用。(3)考虑到特征选择和SVM模型参数优化之间的相互依赖性,提出了特征选择和模型参数同步优化的方案。首先,设计了两种不同的选择概率公式,分别应用于ABC算法迭代进化的不同时期,以保证在获得最高检测率的前提下,得到的最优特征子集所含特征个数最少;其次,基于优化得到的最优特征子集和模型参数构建了SVM工控入侵检测模型;在仿真实验中除了采用KDD Cup 99数据集以外,同时采用了美国密西西比州立大学开发的天然气管道入侵检测标准数据集验证以上方法的有效性。实验结果表明,与传统方法相比,本文方法检测率更高,达到97.6%,并在建模时间、检测时间上具有较高的优势。