随着工业化和信息化的不断融合,工控系统作为两化融合的纽带,其重要性不断地提高,但其安全性也不断地受到挑战。越来越多的恶意攻击者通过发现工控系统的脆弱性攻击工控系统,如何维护工控系统的安全成为了急需解决的问题。流量异常检测技术是工控系统安全防御的主要方法之一。该技术通过对流量数据类型的判断发现攻击事件并做出相应的防御策略以达到让工控系统处于安全环境的目的。然而,流量数据的维度增加会导致流量异常检测的精度降低。单类支持向量机（One-Class Support Vector Machine,OCSVM）算法只需正常流量数据即可建立检测模型,OCSVM算法应用于工控系统中能起到一定的检测防御作用。但是,其应用于工控流量异常检测技术中不仅存在精度还存在分类单一导致对异常数据具体类型不能进一步判断的问题。因此,本文针对以上问题提出了一种降维方法,在此基础上提出了OCSVM算法模型参数的寻优方法以及OCSVM和KMeans结合的算法（OSCVM and K-Means,OCSVM-KM）来提升工控系统流量异常检测精度。本文主要研究内容和创新点如下:首先,为了降低工控系统流量数据维度以提高检测效果,本文提出了一种混合特征选择（Hybrid Filter,HF）算法。该算法基于特征本身和特征之间的关系去除冗余特征且不改变特征含义,可以实现对无标签的工控系统流量数据降维。通过实验验证,HF算法对应工控流量数据具有良好的降维效果。其次,由于基于OCSVM的工控系统流量异常检测方法的检测精度受到OCSVM模型参数v和g的影响较大。为此,本文提出了一种混合群体智能优化（Hybrid Improved Particle Swarm Optimization and Artificial Bee Colony Algorithm,HIPA）算法优化OCSVM参数。HIPA算法通过启发式搜索的方式可以快速找到目标解。通过实验证明,HIPA算法具有良好的寻优性能并且对OCSVM算法模型的参数具有良好的优化效果。通过HIPA算法优化OCSVM模型的参数v和g,可以提高基于OCSVM的工控系统流量异常检测方法的检测精度。最后,针对基于OCSVM的工控系统流量异常检测方法的分类预测精度不够高、误报率不够低、不能对异常数据进行类型分析的问题,本文提出了一种OCSVM-KM算法。该算法将OCSVM模型的检测结果使用K-Means算法进行再处理,实现对异常数据的聚类。通过实验验证,OCSVM-KM算法可以提高流量异常检测精度、降低误报率且对异常数据的多分类结果具有一定的参考意义。