工业控制系统(Industrial Control System,ICS)是涉及国计民生的能源、电力、化工、市政、交通等领域的核心系统,其安全性直接关系到生产安全、环境安全、生命安全甚至国家安全。一旦ICS信息安全出现问题,将对国家关键基础设施的生产运行造成重大安全隐患。随着信息化与工业化深度融合以及物联网的快速发展,ICS突破了自身的禁锢,开始逐步采用互联网的通信协议,使用更为通用的软件与硬件,致使ICS遭受日益严峻的安全问题。ICS的安全问题已经引起世界各国普遍重视,是当前信息安全领域研究的重点。该文从主机行为和网络行为两个方面,对木马检测算法展开研究。首先,深入分析了ICS的基本组成及信息安全现状,指出了当前工业控制系统安全防护的不足,研究了主流的木马检测技术;其次,介绍了行为分析技术在木马检测中的重要性,总结了常用的行为分析算法及其优缺点,概述了行为分析中行为特征提取的关键技术;针对模糊模式识别算法的不足,引入了信息熵的概念,通过计算各个行为的权值,优化模式识别算法;针对单一检测技术检测率低,误判率高的情况,该文着重研究了网络行为识别算法,总结和设计了一种基于主机行为和网络行为的二次木马检测模型,将第一次检测的结果进行二次过滤,以便于提升木马的检测效果。在以上研究的基础上,设计了两套实验环境,分别是基于OpenStack的云平台环境和小型工业控制系统环境。在云平台环境中,利用设计的二次检测模型,对通用型木马进行实验,与单一检测技术相比,检测率提高了2%左右;在搭建的小型工业控制系统环境中,针对特定的工业控制系统木马进行实验,检测率提高了1%。实验结果验证了该二次检测算法具有较好的检测效果。