随着工业4.0时代的到来,工业控制系统(Industrial Control System,ICS)遭受攻击破环会造成重大的社会经济损失甚至威胁个人生命财产安全。目前面向ICS物理过程数据的异常检测手段主要是机器学习、相关性分析以及基于统计学的数据分析。但由于ICS的非线性数据之间存在依赖关系且包含大量噪声,上述异常检测方法存在精度不佳以及因其结果解释性不高而难以确定异常原因等问题。本文针对这些问题,提出基于因果关系的ICS异常检测方法,主要工作如下:(1)针对现有异常检测算法对非线性数据解释性不强的问题,设计基于最大信息传递熵的因果关系建模算法,以因果关系突变反映系统异常从而提高结果解释性。首先,针对实际ICS物理过程数据常为连续非线性数据的特点,采用最大信息系数构造系统设备间的相关性关系架构;其次,针对ICS中相关性关系繁杂的情况,设计筛选因子过滤弱相关关系,减少后续分析主要关系时的干扰因素;随后,引入传递熵将相关性架构转变为稳定且单向的因果关系网络,并优化估值算法提高其计算效率;最后,设计异常溯源规则,在单向稳定的因果关系网络中得到明确的异常传播路径。(2)对因果关系建模中定位的异常设备,设计混合差分累积的单变量异常检测方法,以精确检测异常。首先,针对ICS物理过程数据含大量噪声的情况,通过扩展区间阈值策略在检测时加入噪声允许误差,以降低算法误报率;其次,针对基于线性边界的常规算法容易漏检中间异常数据的问题,利用簇间态势感知策略对异常簇间数据进行审查,以降低算法漏报率;最后,考虑到传统算法不易识别具体异常类别的情况,利用三值化异常识别策略根据异常序列的单调性区分异常类型,从而向ICS管理者反馈更多异常相关信息。(3)利用田纳西-伊斯曼仿真平台的攻击测试数据和故障数据,测试本文提出的因果建模算法及异常检测算法的有效性。实验结果表明,本文提出的因果建模算法能够定位异常源并溯源异常传播路径,在同类算法中具有较好的准确性和稳定性;本文设计的异常检测算法可有效识别单体设备中的异常数据并对异常类型做出识别,相比于对比算法,具有较好的准确率。