近年来,APT攻击席卷全球,面向工控领域的APT攻击直接对关系国计民生的关键基础设施进行破坏。自2010年伊朗布什尔核电站遭到震网病毒的攻击以来,针对工业控制领域的APT攻击已经成为各个国家安全机构、工业控制行业和该领域专家学者的关注热点。结合典型“震网病毒”案例的攻击特点和现有工控领域安全的文献研究,本文主要关注工业控制领域ICS系统特有的攻击类型:在网络通信数据包格式完全正常的情况下,仍会出现基于顺序或基于时间的序列攻击。本文提出一个基于离散马尔科夫链的层次化的时序感知入侵检测系统,分为数据处理和入侵检测两部分。数据处理部分使用Snort入侵检测软件,对基于Modbus协议的工控网络数据进行捕获并过滤,将过滤后的数据根据Modbus协议数据特性进行提取,结合马尔科夫链将提取后的数据抽象为状态和跳转关系,建立马尔科夫模型。在入侵检测部分,本文首先针对ICS系统特有的基于顺序和基于时间的序列攻击进行分类,并根据需要检测的类别提出异常检测算法。根据ICS系统控制网络中数据特点,在数据重要性、数据语义和数据规律三个方面,对异常检测算法进行改进,使入侵检测系统的误报率明显降低且能够区分入侵行为和可疑的安全行为。最后,本文通过实验室搭建的ICS系统模拟环境对本文提出的序列感知入侵检测系统进行测试。结果显示,改进后的算法相比于改进前的算法能够有效降低误报率,且有更高的检测效率和精确度。