工业控制系统(ICS)作为国家关键基础设施(如发电厂、污水处理系统)的重要组成部分,保证其安全运行具有重大意义。随着计算机技术的飞速发展和“互联网+”、“工业4.0”等思想的普及,原本处于隔离状态下的工控系统开始更多地接入到复杂的外部网络环境中,攻击事件愈演愈烈。对工控系统信息安全问题的研究变得越来越重要,入侵检测技术是其中一个重要研究方向。根据数据来源的不同,工控系统的入侵检测技术主要分为两种:基于网络流量的入侵检测方法和基于系统过程参数的入侵检测方法。在前者的研究中,存在对Modbus串行通信安全性研究不足的问题;而在后者的研究中,由于工控系统要求高实时性,一些采用了机器学习方法的检测算法存在检测效率不够高的问题。本文在前人研究的基础上,就基于网络流量的入侵检测和基于系统过程参数的入侵检测两个方面展开了进一步研究。本文的主要贡献与两个创新点包括:1.将Modbus串行链路上的典型异常行为总结归纳为六个类别:非法协议消息、侦察攻击、潜在的拒绝服务、拒绝服务攻击、响应注入攻击和命令注入攻击,并进一步列举了细化的共计19种异常行为及其可检测特征。然后针对异常行为提出了用于Snort的检测规则模型,并给出了测试结果。2.提出一种计算合适的最近邻数量k值方法,以避免人为错误以及处理效率低的问题。在基于过程参数聚类的工控入侵检测方法中,其评分技术中的最近邻数量k值是通过经验设定的,而本文通过建立数学模型,将此问题转化为求跳跃点的过程,从而计算出更为合适的k值。改进方法使得对正常数据的评分值和异常数据的评分值有更好的区分,正常数据的评分值集中于评分值较小的区间,而异常数据的评分值处于分值较大的区间。也使得划分的微簇半径尽可能大,从而减少了检测规则的数量,提高了检测的实时性。3.提出一种通过重新调整微簇而减少微簇数量的方法,以达到减少检测规则数量的目的,在保障检测准确性的同时,提高检测效率。原有方法采用固定宽度聚类技术来划分微簇并提取检测规则,在选择宽度参数w(即微簇的宽度)的过程中采用的是经验值,可能导致因为宽度选择过小而得到较多的检测规则,需要更长检测时间的问题,与工控系统有限的硬件资源以及高实时性要求的特性相悖。本文对此过程进行了改进,并通过仿真实验验证了改进方法的优越性。