工业控制系统(ICS, Industrial Control System)的网络安全问题正在变得日益突出,其面临的入侵威胁也正在变得更加复杂。ICS系统随着其开放性、复杂性、外部连接性等方面的不断发展,其网络安全风险和入侵威胁正在不断加深。为了抵御针对ICS系统愈加复杂和多样的入侵威胁,探索目前处于刚起步阶段的面向ICS系统的入侵检测研究,本文针对ICS网络安全的需求特性、主要入侵类型及其脆弱性特点,在面向ICS系统的入侵检测方法的研究和设计方面主要进行了以下工作：(1)分析了面向ICS系统的入侵检测的基本问题,包括了网络安全需求、主要入侵类型及其脆弱性、入侵检测的分层与协同。首先,系统性地分析了ICS系统的网络安全需求；然后,针对系统的直接检测对象,分析了ICS系统面临的主要入侵类型及其脆弱性；最后,分析了ICS系统的入侵检测的结构层次与协同优化,包含了网络拓扑分析、信息与资源协同分析、各层的特性与差异分析。(2)设计了基于多分类SVM的入侵检测方法,其根据ICS过程监控层的网络特性和入侵特点而设计,适用于ICS过程监控层的入侵检测。首先,进行了基于SVM的二分类算法的基本分析；然后,重点进行了多分类SVM的算法设计,详细阐述了面向ICS的多分类入侵检测方法的设计；最后,采用匹配过程监控层的入侵种类特点的数据集,测试和验证了所设计的多分类入侵检测方法的有效性。(3)设计了基于协议分析和通信模型的入侵检测方法,其根据ICS现场设备层的网络特性和入侵特点而设计,适用于ICS现场设备层的入侵检测。在方法设计中,选取现场控制层的典型网络Modbus为代表,基于其协议特性和主要入侵特点,设计了基于单独报文字段分析、字段关联分析、通信模型分析的三层入侵检测方法,并将其转换成Snort入侵检测规则进行了实际的测试,验证了所设计的面向现场设备层的入侵检测方法的有效性。