工业控制系统（Industrial Control System,ICS）在工业生产中处于核心控制地位。ICS正逐渐向开放、互联、通用的方向发展,与企业网乃至互联网的融合程度不断加深,传统的信息安全威胁不可避免地蔓延到工业控制领域。近年来,针对ICS的网络攻击对一些国家的核设施和关键基础设施造成了巨大破坏,恶意入侵严重威胁国家安全和公共安全,ICS安全需求日益迫切。入侵检测系统（Intrusion Detection System,IDS）能够监控网络活动,有效地生成潜在或企图入侵的警报。入侵检测是保证ICS安全的重要技术手段,是通信网络纵深防御策略中的重要一环。IDS在传统的网络安全中已经得到了广泛的研究,但针对ICS的入侵检测系统的工作仍然存在一些亟待解决的问题:（1）支持IDS研究工作的公开工控安全数据集数量有限,物理过程数据占比不高,包含数据类型不全面,正负样本不均衡;（2）基于误用的入侵检测方法不具备检测未知攻击的能力,基于异常的入侵检测方法建立模型对专家依赖性强,建模难度大;（3）在线部署的入侵检测系统数量有限。针对上述问题,本文首先建立了一个工控安全数据集,包含7类攻击,支撑IDS建模、测试与评估。其次,建立了四种基于机器学习的入侵检测模型,能够有效检测入侵行为并告警。最后,将多种入侵检测方法集成为在线检测系统,该系统检测率高,检测速度快,对未知攻击具备较好的检测性能。本文开展的具体研究内容如下:1.针对可支撑IDS研究的公开ICS安全数据集少的问题,本文建立了一个乙醇精馏系统（Ethanol Distillation System,EDS）安全数据集。该数据集包含41种不同攻击向量,从信息侧实施攻击,对网络通信、数据隐私、系统运行等方面造成影响,覆盖接入网络、解析通信、建立信息物理映射、直接接触等不同攻击阶段。数据采集于真实测试台,同时包含网络通信数据包和系统运行物理信息,正负样本数量差异小。2.针对ICS入侵检测系统建模难、对未知攻击检测难的问题,本文建立了机器学习的入侵检测模型。本文在分析ICS系统物理信息特征的基础上,分析了入侵检测和分类问题的相似性,基于树模型、集成学习、支持向量机（support vector machine,SVM）、神经网络等多种二分类方法,开发机器学习入侵检测方案。该方案无需专家知识,自动提取特征并分配权重、建立检测模型。实验表明,建立的入侵检测模型可以检测通过该方案提取的特征与直接遭受攻击的参数重合程度较高,对针对物理数据造成影响的攻击检测率接近100%,误报率低;对系统生产无直接影响的攻击被检出率较高;针对以同时实施命令注入和传感器篡改的多点位攻击,检测效果好,能够满足ICS入侵检测的需要。3.本文集成多种入侵检测模型,搭建了实时检测系统。该系统获取上位机与可编程逻辑控制器（Programmable Logic Controller,PLC）间通信数据包,自动解析数据包后通过检测子模块进行入侵检测,最终结果由子模块投票产生。其中,检测子模块为通过训练和检测的机器学习入侵检测模型。检测到攻击后,该系统发出警报;针对控制参数篡改类攻击,该系统自动响应恢复控制参数。实验表明,作为实时检测系统,该系统导入时间短,检测速度快,检测时延小,对未知攻击检测性能好,部署后对控制系统通信效率、控制过程无明显影响。