控制系统在化工、能源和电力等领域中都有应用,是工业基础设施的重要组成部分。随着信息化的日渐深入,计算机网络技术越来越多地应用于工业控制系统中,带来行业进步的同时也埋下了很多安全隐患。工业控制系统分布在各种生产过程中,与物理过程强交互,一旦出现异常很可能会造成设备故障、生产中断甚至人员伤亡等严重后果。若能及时发现异常并采取安全措施,可以尽量降低危害程度,因此研究工业控制系统的异常检测技术具有重要意义。本文针对工业控制系统网络安全方面的异常检测研究从以下几个方面展开。(1)介绍课题研究背景及意义,分析了工业控制系统与传统信息系统的区别。总结了工业控制系统网络安全研究现状,说明异常检测技术中基于知识、机理模型和数据驱动方法各自的优缺点和适用场景,针对现代工业控制系统的业务特性及规模大、结构复杂、非线性和时变性等特点,本文选用数据驱动方法并结合网络安全态势感知思想提出一种工业控制系统网络异常检测方案。(2)给出工业控制系统典型层次结构,考虑到系统自身脆弱性和业务特性,本文重点研究现场控制层和现场设备层组成的生产控制回路。建立该回路的数学模型,根据其工作原理分析系统易受攻击类型及位置,对这些攻击进行建模分析,以各自特点和后果严重性为依据选定假数据注入攻击为本文重点研究异常。(3)分析主元分析类方法用于工业控制系统异常检测的可行性,介绍主元分析(PCA)方法和核主元分析(KPCA)方法的基本原理、异常检测统计指标和过程模型。选取具有代表性的TE过程作为仿真平台,以反应器内压强这一关键变量作为攻击对象实施几类假数据注入攻击,观察对生产过程的影响并进行检测。异常检测结果表明,KPCA方法更能适应系统的非线性特性,整体检测效果优于PCA方法,但是仍存在两个问题:第一个问题是不能有效检测小幅值偏差攻击和随机数据攻击;第二个问题是若系统在运行过程中发生工况的改变,该方法会将此正常情况判定为异常,产生严重的误报警。(4)针对小幅值偏差攻击和随机数据攻击的检测,采用基于小波变换的阈值去噪法对采集的系统数据样本进行预处理,尽量去除系统噪声对KPCA方法模型建立和在线异常检测过程的影响。仿真结果表明该方法能够有效提高数据样本信噪比,基于去噪后数据样本的KPCA方法可以有效检测小幅值偏差攻击和随机数据攻击造成的系统异常。(5)传统KPCA方法模型固定,无法适应变工况系统。针对此问题本文提出了一种改进思路,基于滑动窗口机制和遗忘因子实现了可以随系统工况的变化动态更新模型的自适应KPCA方法。仿真结果表明该方法可以明确区分系统正常的变工况运行和异常情况,在系统变工况运行的过程中有效检测各类假数据注入攻击导致的异常情况。