工业控制系统广泛应用于核能、轨道交通、水利、电力、钢铁、石油等重要行业。工业控制系统安全性主要依赖于系统的封闭性,几乎没有考虑安全防护措施,随着与外部系统的互连,工业控制系统的缺陷暴露在外,容易遭受各种攻击。SCADA系统(监控与数据采集系统)作为工业控制系统的核心,更是攻击的主要目标。SCADA系统使用专有的通信机制和协议,与外部公共网络是隔离的,这保障了它的安全性;为了提高资源配置和生产的效率,SCADA系统变得愈发开放和协作,和外部公共网络开始互连,私有协议也逐渐公开、标准化,但安全问题也随之产生且日益严重。频频发生的工控安全事件,也表明了SCADA系统面临着越来越严峻的安全威胁。入侵检测是SCADA系统安全防护措施中不可缺少的一部分。由于SCADA系统特殊的网络拓扑结构和专有的工业协议,使得IT系统的入侵检测方法无法直接应用,研究适用于SCADA系统的入侵检测方法已然成为研究的热点。入侵检测主要分为误用检测和异常检测,面对层出不穷的攻击手段,能够检测新型未知攻击的异常检测方法成为了研究的重点和难点。本文主要对入侵导致的SCADA系统异常及其检测方法进行了研究。本文的主要研究工作包括:1.介绍了SCADA系统异常检测方法研究的背景和意义,综述了国内外SCADA系统异常检测方法的研究现状;介绍了SCADA系统并结合其网络体系架构和发展特点分析了其产生安全风险的原因,此外还详细阐述了相关方法。2.针对基于传统机器学习算法如SVM、C4.5、NN等的异常检测方法不能有效处理SCADA系统中大量、高维、时序性强的网络数据的问题,从深度学习的角度研究了利用Adam优化GRU神经网络进行SCADA系统异常检测的方法,对该方法的原理和异常检测流程进行了详细阐述,并在工控安全标准数据集上进行了对比实验和结果分析。3.为了满足SCASA系统的高实时性和分布式部署的需求,从集成学习的角度研究了使用信息增益改进孤立森林进行SCADA系统异常检测的方法,详细分析了方法的原理和异常检测模型,使用电力系统攻击数据集对所提方法进行了仿真实验和结果分析。本文的创新点包括:1.提出了一种基于Adam优化GRU神经网络的异常检测方法。利用GRU神经网络的深层结构对数据特征进行学习,通过更新门和重置门保存数据在时间维度上的信息,使用Adam算法优化神经网络的梯度训练过程,实验结果表明,提出的方法与SVM、C4.5、NN和RNN比较具有更高的分类准确率,与LSTM比较准确率基本相同但减少了训练时间。2.为了解决SCADA数据中大量冗余的特征影响孤立树分割异常点的问题,提出了一种基于孤立森林和信息增益的异常检测方法。将在每棵孤立树中具有较短路径长度的点识别为异常,使用信息增益对特征降序排序,取排名前面“学习价值大”的特征作为孤立森林的输入。该方法可以在线学习和检测,能够满足SCADA系统分布式部署和实时检测的要求。在电力系统攻击数据集上的实验结果表明,信息增益优化的孤立森林在准确率和召回率方面优于KNN、SVM、OneR、RIPPER、Na?ve Bayes和随机森林等方法,而且小样本训练就可以达到高AUC和低处理时间。