工业控制系统ICS（Industrial Control Systems）作为国家的重要基础设施,被广泛地运用在能源化工、智能农业、交通等重大工业生产领域。与传统工业控制系统处于封闭和独立的环境不同,现代ICS信息化进程中加入了许多计算机相关的技术,使其变得开放、便捷和互联,但同时也带来了许多信息安全问题。工业控制系统采集的是工业的时序数据,具有数据量大、采集时间长、数据类型多的特点,不适合大规模人工标记标签做有监督学习,因此ICS的异常检测通常是采用无监督的学习方式。然而基于无监督的算法往往需要大量的数据去学习,但有的工业系统在短时间内并不能产生足够的数据量,而时间越长被入侵的风险就越大,本文要解决的是针对短时间内ICS采集到的数据流的异常检测;其次,若使用基于时间的循环神经网络模型,如果模型中的时间步较长,则会带来梯度消失和梯度爆炸等问题。为解决上述的问题,本文将提出一种新颖的异常检测混合模型,并为对比常用无监督学习算法异常检测性能进行了数据集选取和预处理研究,最后为验证本文提出解决方案可行用于实际工业控制系统当中,本文的主要研究内容从以下几个方面展开:（1）本文首先叙述了 ICS对社会和国家具有重大的意义,接着介绍了目前常用处理异常检测问题的相关算法,比如:基于统计学方法、基于规则信息方法以及基于无监督、半监督和全监督的机器学习相关算法。针对ICS采集数据流的特点和单个模型处理局限性,本文提出了一种聚类加循环神经网络的混合模型来解决上述提到的问题。（2）选用两个常用的数据异常检测的数据集:CCF数据集和SKAB数据集。在大多数工业控制系统中,通常观察者不清楚传感器采集到的数据具体物理意义且采集数据的属性特征较多,这个特点正好与CCF数据集中的特征背景信息被抹除,且特征维度较大相符合,所以选用该数据集来研究模型使用的广泛性。而SKAB数据集则是标准的工业数据集,且每一个特征维度的信息都是已知的,因此可以用它来研究模型使用的特殊性。本文对以上两种数据集进行相应的数据的预处理和特征提取步骤,以用于对后续学习算法模型的训练和测试。（3）在ICS中通常选用无监督方式进行异常数据流的检测,而且CCF数据集与一般工业数据集有相似之处并且数据量足够大,并有部分分类标签,因此可以用其对聚类算法K-means和LOF进行相应的性能测试和对比。而SKAB数据集则是特定工业背景下的时序数据集,具有明确的特征背景信息和分类标签,可用于LSTM算法性能测试。为解决ICS异常检测难题,本文提出了基于K-means、LOF和LSTM的混合模型,并用两种数据集验证其性能,结果表明混合模型在整体上的性能要优于单个子模型。最后将提出的混合模型投入到实际的工业系统中,证明其能满足真实场景应用需要。本文主要探讨了短时间内ICS采集到的数据流的特点,以及现有算法在处理在方面问题的弊端,并提出了一种混合模型来解决相关问题。且通过两种代表性的数据集来验证混合模型的性能,能满足ICS异常检测实际应用。