工业控制系统在电力、石油、化工、交通等许多关键基础设施领域广泛使用,对保障工业生产稳定运行和国家经济安全具有重大意义。然而,随着工业化和信息化的深度融合,互联网技术越来越多的应用于工业控制系统中,导致广泛存在于IT系统的安全事件也出现在工业控制系统中。工控系统通过传感器、执行器等现场设备与物理过程交互,针对工控系统的攻击,最终将会对物理世界产生影响,如造成设备故障,生产过程中断,人员伤亡等严重后果,因此研究工控系统中的攻击及其检测算法是保护工控系统安全的一种必要而且有效的手段。为此,本文在工控系统安全研究方面做了以下工作:(1)首先分析了工控系统安全与传统信息安全的区别,其次给出了工控系统典型层次结构,结合工控系统安全特点,提出生产控制层。然后建立其线性数学模型,利用该模型对生产控制层进行威胁分析。最后以传感变量为研究对象,对控制层存在的攻击模式进行数学建模分析。(2)详述了工控系统中常用的基于知识、数学模型和数据驱动的过程监测方法的各自特点,分析了将数据驱动方法用于欺骗攻击检测的可行性。在研究了故障和欺骗攻击的异同点后,提出将主元分析方法用于欺骗攻击的检测,并建立其在线检测算法。(3)在TE平台上的仿真研究表明偏差攻击等一般性欺骗攻击的攻击伤害有限,同时PCA方法可以实时检测出三类一般性的欺骗攻击,基于以上不足之处,提出正弦欺骗攻击。首先以控制系统的典型回路为研究对象,建立正弦攻击数学模型,介绍了其工作原理,研究分析了正弦攻击的可行性和攻击作用点。然后利用傅里叶变换从时-频域证明其在攻击能力和隐蔽性方面与一般性欺骗攻击的不同特性,最后在TE平台上验证正弦欺骗攻击的攻击能力及其隐蔽性。(4)考虑到正弦攻击的多尺度特性,而传统的主元分析属于单尺度建模方法,因此提出将多尺度主元分析方法用于正弦攻击检测,并建立其在线检测算法。由于工控系统对实时性要求非常高,分析了该算法的时间复杂度,以及如何平衡算法的检测实时性与窗口大小之间的关系。另外,考虑到化工过程的非线性、时变性、动态性等特性,为了提高检测精度,改进多尺度主元分析方法,提出基于多尺度动态核主元分析方法的正弦攻击检测算法,用以解决过程数据中存在的非线性和动态性。最后在TE平台上,通过仿真实验验证了两种算法的有效性。