传统的IT网络是基于互联网协议组成的计算机网络,数据交换协议使用TCP/IP协议栈,对实时性要求不高,安全技术、产品、方案相对成熟,预防病毒、补丁管理等防护能力较强。而工业控制系统基于PLC、DCS、SCADA等工业控制设备,使用专用通信协议或规约,对实时性要求高,但是对安全性普遍考虑不足。基于传统IT网络系统与工业控制系统的差异性,不能将已有适用于传统IT网络的完善的安全防护技术直接应用于工业控制系统,所以需要研究一套适用于工业控制系统的安全防护技术。工业控制系统安全措施包括边界安全能力、攻击检测与预防、周期性安全检测、安全态势感知、内生安全能力等,而入侵检测作为一种动态防御技术,可在工业控制系统受到危害之前拦截入侵,是解决工业控制网络安全的可行方法之一。本文针对工控网络异常行为的特点,分析了 Modbus TCP工业控制网络通信协议并对异常检测流量进行特征提取,包括从工控网络流量数据中直接提取的通信数据特征及根据异常行为模式结合实际流量数据特征构造反应操作差异的检测特征,形成数据集。通过分析数据特征发现工控网络流量数据呈现正常数据多、异常数据少的特点,故为降低漏报率和误报率,并为提高异常检测的准确率,本文利用单类支持向量机仅需一类样本即可训练模型的特点,提出了基于单类支持向量机的双轮廓模型异常检测方法。构建正常的单类支持向量机模型和异常的单类支持向量机模型,分别模拟工控系统通讯的正常模态和异常模态,通过协同判别机制实现工控系统网络的异常检测。为使单类支持向量机模型能更好的实现检测工控异常行为的作用,本文使用粒子群智能算法对决定单类支持向量机分类器性能的关键参数进行寻优,需要寻优的重要参数包括单类支持向量机的惩罚因子和径向基核函数的宽度参数等。同时,为减小单类支持向量机建模时间与检测时间,选取自编码网络对提取的网络流量数据进行输入自变量降维和压缩处理,并且抑制了单类支持向量机模型的过拟合现象。本文基于自编码网络的单类支持向量机双轮廓模型的异常检测方法,通过对模型的仿真验证,可以看出工控系统网络的漏报率和误报率明显降低,检测时间有所缩短,对工控系统异常检测的研究有较大的应用价值。