在工业4.0和“两化融合”的背景下，大量传统IT技术、通信协议和通用设备被引入工业控制系统(Industry Control System，ICS)中，使得工控系统更加开放。同时，工业控制系统与上层管理系统甚至互联网实现了数据交换，这虽然给企业运营带了的较大的经济效益，但同时也增加了工控系统信息安全的风险，特别是大量的工控系统漏洞对工控系统的安全运行构成了严重威胁。入侵检测技术作为一种主动的信息安全防御手段，能够有效弥补防火墙静态防御的不足。本文研究面向ICS网络层数据的入侵检测方法，能够有效地克服基于应用层数据入侵检测方法的不足，实现对具有一定隐蔽性的攻击行为进行有效检测，为ICS入侵检测系统的研究与设计提供参考。　　本文基于工控入侵检测标准数据集，主要从浅层学习和深度学习两个方面进行ICS网络入侵检测研究。研究了基于支持向量机(Support Vector Machine，SVM)浅层学习模型的ICS网络入侵检测算法。针对SVM分类器参数选择困难的问题，提出了一种改进的速度自适应蝙蝠算法(Velocity Adaptive Bat Algorithm，VABA)用于SVM分类器的参数选择，构建了基于VABA-SVM的ICS入侵检测模型，整体上取得了良好的检测效果。但由于数据集中拒绝服务(Denial of Service，DoS)攻击样本量少，导致了SVM对DoS的检测率低。提出了一种改进的局部K-means合成少数类样本过采样技术(LocalK-means Synthetic Minority Over-sampling Technique，LKSMOTE)用于处理样本不平衡问题。基于LKSMOTE对DoS攻击样本进行过采样处理，有效提升了SVM分类器对DoS攻击的检测性能。研究了基于深度神经网络的ICS网络入侵检测算法。使用深度信念网络(Deep Belief Network，DBN)构建ICS网络入侵检测模型，采用深层和浅层结构的DBN对ICS入侵检测数据集进行仿真研究。结果表明，深层结构DBN在总体检测效果上具有一定优势，能够对包含DoS攻击在内的大多数攻击类型的样本数据进行有效检测和识别。但其对恶意功能码命令注入(Malicious Functioncode Command Injection，MFCI)攻击的检测效果仍不理想，并且MFCI攻击的样本量亦较少。基于此，使用改进的LKSMOTE算法对MFCI攻击样本进行过采样处理，改善了DBN的入侵检测性能。