工业控制系统最初只是一个封闭的以太网网络环境,不会与互联网有太多的交集。但是随着互联网的飞速发展,工业化和信息化逐步融合,原本封闭的工业控制系统网络环境逐步向互联网开放。工业信息化给工业带来了很大的便利,但是在推动了工业快速发展的同时,也带来了很大的信息安全问题。由于对工业控制系统安全的轻视,导致了针对工业控制系统的入侵变得相对容易,同时也带来了更大的危害。国内外对工业控制系统安全的相关研究也都处于起步阶段。工业控制.系统的入侵检测研究大部分都是基于统计或者流量分析的异常检测,并没有很好地针对工业控制系统的相关特性。本文在对工业控制网络进行研究的基础上,提出了一个基于工控以太网状态差异性度量的入侵检测算法,并以此为核心,设计并实现了一套工控以太网入侵检测系统,并且对这套入侵检测系统进行功能性的测试。本文首先提出了课题的研究背景和研究意义,简述了工业控制系统的发展趋势,调研了国内外研究现状。分析了工业控制网络和传统IT网络之间的异同,对工业控制网络的入侵途径进行讨论,阐述了目前常见的工业控制网络的入侵方式以及入侵检测算法的研究。然后,本文通过前人的调研结果,总结了工业控制网络的特征。基于工业控制网络中节点的周期特性、主从关系特性、节点的通信协议以及网络节点的拓扑结构,对工业控制网络进行状态的描述,同时给出了工业控制网络状态差异度量的相关定义。本文提出了周期特性和主从关系特性的提取算法,再利用现有的基于数据挖掘的协议分析算法和第三方的网络拓扑探测插件,可以提取到工业控制网络的状态。利用当前网络状态和标准网络状态的差异,进行入侵检测的判定,由此提出了一套基于工业控制网络状态差异性度量的入侵检测算法,给出了完整的入侵检测的算法步骤和检测模型。最后,本文基于所提出的算法,设计并实现了一个基于工控以太网的入侵检测系统,并对其进行测试分析,论证了算法和系统的有效性。