随着互联网等信息技术在工业领域中的广泛应用,使工业控制系统与企业信息安全管理系统相结合,在提升工业控制系统网络化、信息化的同时,也导致网络安全威胁逐步向封闭独立的工业控制系统网络蔓延。工业控制系统作为国家基础设施的核心,广泛应用于石油、化工、电力等行业,在过去的几年中,对工业控制系统的攻击变得越来越频繁、越来越复杂。这些攻击的最常见目标是控制/监视物理过程,操纵可编程控制器或影响软件和网络设备的完整性。工业控制系统入侵检测技术作为一种典型的安全防护技术,能有效检测外部攻击,提高工业控制系统安全性。对于工业控制系统的入侵检测主要集中在基于IP/TCP协议研究,对于基于以太网通信的工业控制系统协议没有针对性的检测方法。本文从安全性角度分析了EtherCAT现场级通信原理,研究表明EtherCAT协议像其他的基于以太网通信的协议一样缺乏必要的安全性参数,例如身份验证,通信加密和授权,并且极容易受到MAC地址欺骗,数据注入和其他高级攻击。为了防止,检测和减少对基于EtherCAT通信的关键系统的攻击,本文在总结现有研究的基础上,提出了基于EtherCAT通信的工业控制系统入侵检测方案,主要工作如下:首先,通过分析Snort框架的工作原理,改进了开源Snort入侵检测系统,增加了对EtherCAT协议包解码模块,以支持未经传输层和网络层处理的数据包。其次,通过对EtherCAT脆弱性分析,设计了针对于EtherCAT协议的入侵检测模板以及对异常流量报警的EtherCAT动态预处理器。最后,提出了一种称为信任配置的新颖方法,并将该方法应用到了动态预处理器中。EtherCAT动态预处理器与其他研究中受支持的ICS预处理器(例如DNP3和Modbus/TCP)有很大不同。除了支持传统的规则扩展之外,它还能够处理第二层数据包,并使用信任配置方法对EtherCAT数据包进行深度数据包检查。该方法首先根据EtherCAT网络信息(ENI)配置文件识别工程师站批准的通信节点,然后根据协议规范深入检查传入的数据包。利用扩展后的Snort和提出的信任配置方法对工业控制系统中流量进行检测,成功的检测到相关攻击或异常并对异常流量进行报警,从而可以对基于EtherCAT实现的系统上提供基本的安全防护。