随着工业控制系统网络和物联网环境变得更加开放与多变,工业控制系统则相对变得更加脆弱,工业控制系统的安全性面临巨大的挑战。现有工业控制系统过去在设计、研发、部署中没有完全考虑信息安全的问题,导致许多工业控制系统中存在着诸多的问题。因此对于入侵检测系统的研究对于工业控制网的安全具有重大的意义。本文研究了 Snort入侵检测系统,分析其工作流程、插件机制、规则库。并结合工业控制网络的特殊应用场景,分析出Snort入侵检测系统的弊端。本文采用数据挖掘技术中的K-means算法对Snort系统改进。由于传统的K-means算法对于所研究的领域未能完全满足,本文结合实际应用场景对K-means算法改进,使其具有较好的聚类效果,从而使得入侵检测系统具有较低的误报率以及漏报率。最后本文将改进之后的K-means算法应用到Snort中,并在智能变电站网络中应用,实现监控、统计、策略、报表、探针、日志模块。本文实现的智能变电站入侵检测系统在充分考虑工控系统对于业务的连续性及高实时性等要求的基础上,实现对工业控制系统内部流量的实时监测、并对监测到的异常事件进行告警,提升企业工控安全防护及事件响应能力。