随着网络与信息化的不断推进,工业控制系统(Industrial Control System,ICS)越来越多的接入信息网络,提高了工业生产效率,但是也增加了ICS网络的安全风险。近年来,随着针对ICS网络的有组织攻击越来越频繁,并且ICS网络安全关系到国家安全,使ICS网络安全的研究成为了信息安全领域的重点问题。通过分析国内外的研究现状,目前工控入侵检测方法主要包括基于流量统计特征、流量模型、和协议应用层字段及字段关系的检测方法。但这些方法不能很好的检测篡改行为数据或控制程序的攻击,因此,提出了基于行为模型的工控异常检测方法。此工控异常检测方法主要包括三大部分:首先,提出了基于Modbus TCP的行为数据序列提取方法。根据ICS中Modbus应用层的地址值列表,获取控制行为和过程行为的行为数据地址值列表,从ICS网络流量中过滤包含行为数据地址值的会话流量,再根据Modbus TCP的协议格式及数据编码方式,从行为数据地址值对应的寄存器或线圈中提取行为数据序列。其次,提出了基于数据依赖关系的行为模型构建方法。从正常的ICS网络中提取行为数据序列,根据行为模型的结构估计算法计算结构参数值,根据行为模型的参数估计算法计算参数估计值,再将行为模型转化为状态空间方程形式。最后,提出了基于绝对误差的阈值检测方法。从待检测的ICS网络中提取行为数据序列,利用正常行为模型预测输出行为数据序列,计算预测输出行为数据序列和实时提取的行为数据序列的绝对误差序列,选取合适阈值,再通过阈值检测算法匹配阈值短序列,检测是否存在异常入侵行为。论文根据提出的基于行为模型的工控异常检测方法,构建了工控异常检测模型,设计与实现了基于行为模型的工控异常检测系统。并进一步,搭建了基于水槽液位控制系统的仿真实验环境和基于化工混合反应工艺的真实物理环境的测试实验环境,通过攻击实验双重验证了提出的基于行为模型的工控异常检测方法能有效实现对篡改行为数据或控制程序等攻击的异常检测。