随着工业化与信息化的不断融合和工业4.0的快速推进，在技术上，工业控制系统(ICS)越来越多地使用公开软件和开放协议;在管理上，工业控制系统的操作层与IT层融合日益紧密(即所谓OT与IT的融合），这使得传统上较为封闭的工控系统面临日益严重的网络威胁，并且已造成了较为严重的后果，加强工控系统的安全检测与防护已迫在眉睫。入侵检测技术作为重要的信息安全防御手段，是工控系统继防火墙之后的第二道防线。本文针对工控系统网络层流量数据，对基于机器学习的入侵检测方法进行研究，对一些隐蔽性的攻击行为进行检测，以提高工控入侵检测方法的有效性。　　本文首先对工业控制系统进行了信息安全分析，综述了目前国内外ICS入侵检测技术的研究现状。本文主要基于ICS网络层标准数据集，首先进行了数据预处理研究，然后分别采用改进的案例推理和深度学习分类算法构建了入侵检测模型并验证了其有效性。论文主要内容如下:　　(1)在数据预处理方法上，针对冗余属性会降低分类准确度和效率，提出一种基于二进制灰狼算法(bGWO)和邻域粗糙集(NRS)的特征选择方案，并在UCI标准数据集上验证了其有效性。　　(2)研究了优化的案例推理(CBR)分类器在ICS入侵检测中的应用。在案例检索阶段，属性权重将直接影响分类精度，采用基于重要度(SIGN)的权重分配方案。同时，为提高分类效率和精度，采用遗传算法(GA)对历史案例库和参数进行优化;在案例重用阶段，采用基于可信度(CR)的案例重用策略。最后在工控标准数据集上验证了特征选择算法和SIGN-GA-CBR-CR分类算法的有效性。　　(3)针对传统入侵检测方法无法有效处理ICS海量高维的网络数据，本文探索了深度学习在工控入侵检测中的应用，提出基于长短时记忆网络(LSTM)的入侵检测方法，首先通过改变一种参数并固定其他参数不变的方式来确定较优的网络模型，然后在工控标准数据集上与标准递归神经网络(RNN)和传统的机器学习方法如人工神经网络(ANN)，决策树C4.5算法等进行对比，结果表明基于LSTM的入侵检测比传统方法具有更高的准确率。