工控系统（Industrial Control Systems,ICS）作为关键基础设施的核心,关系着国家的生产与生计。随着工业信息化的推进,工控系统漏洞和工业网络病毒数量激增,工控系统面临着严重的安全威胁,亟需有效解决方案。工控入侵检测则是有效的方法之一。但工控网络数据质量差、检测模型效率低等问题严重影响着入侵检测系统的防护能力。针对这一情况,本文分析工控系统的特点,从数据质量和模型性能两方面入手研究ICS系统入侵检测技术,提出了基于特征增强和集成学习的工控系统入侵检测方法。首先,本文对相关机器学习理论进行介绍。分析了目前常用的机器学习算法,选择了集成学习来构建最终的检测模型。根据工控入侵检测的特点与集成学习的需求,选取支持向量机（Support Vector Machines,SVM）、极限学习机（Extreme Learning Machine,ELM）与逻辑回归（Logistic Regression,LR）算法作为主要使用算法与被集成对象,并对这三种算法进行介绍。然后介绍本文使用的工控入侵检测标准数据集,并对数据集进行初步预处理。本文对ICS入侵检测数据进行改进。针对ICS入侵检测系统数据质量低的问题,通过使用对数边际密度比变换（Logarithm Marginal Density Ratios Transformation,LMDRT）对原始数据特征进行增强。并使用一对剩余策略（One-Vs-Rest,OVR）将该变换方法进行多分类情况拓展,提出了OVR-DT的数据特征增强方法。分别构建基于SVM、ELM和LR的单一算法入侵检测模型。对增强后数据进行实验验证。结果表明,LMDRT可有效提高检测准确率等性能指标,OVR-DT增强数据在检测MFCI和Do S等攻击方面有着更优表现。本文对单一入侵检测模型中的SVM检测模型进行优化。为解决粒子群算法在SVM参数优化过程中易陷入局部最优等问题,本文提出一种结合自适应权重和粒子重构的粒子群算法（AWPRPSO）。首先使用佳点集法保证初始种群多样性,然后采用种群聚集度指导权重自适应变化平衡了种群的全局与局部搜索能力,最后使用粒子重构策略解决了原始算法易陷入局部最优的问题。构建基于增强数据与AWPRPSO优化的SVM入侵检测模型。实验证明,AWPRPSO算法与其它优化算法相比,提高了SVM入侵检测模型性能。最后,本文将各单一入侵检测模型聚合,构建了基于集成学习的入侵检测模型。由于集成学习已被证明比单一机器学习方法具有更好的泛化能力与检测精度,因此,为进一步提高检测系统效率,本文提出了一种新的集成学习工控入侵检测方法,使用支持向量机对各SVM、ELM和LR分类器进行聚合,构建基于该方法的入侵检测模型,进行实验。结果表明,构建的入侵检测模型在多攻击的检测精度与效率上均有改善。