工业控制网络作为工业控制系统的核心组件,其安全问题随着网络攻击事件的持续增加而成为人们关注的焦点。入侵检测作为主动安全防御措施,可以在攻击行为发生作用前有效检测入侵行为,实现对工业控制网络安全状况的实时监测。本文以工业控制网络入侵检测为背景,以工业控制系统网络数据为支撑,结合工业控制网络入侵检测需求以及机器学习技术,针对现有技术存在的问题,研究适用于工业控制网络的入侵检测方法。首先,分析并明确了典型工业控制网络的结构以及通信特点;分析了工业控制网络脆弱性以及存在的安全威胁,比较了其与传统IT网络的区别;分析了基于机器学习的入侵检测技术要点及流程,明确了入侵检测方法的评价标准;最后分析了用于本文方法仿真验证的数据集。其次,针对工业控制网络入侵检测对于高准确性和高实时性的要求,结合标签数据集下监督学习算法准确率较高的特点,提出了基于LightGBM的入侵检测方法。基于python建模、仿真,在准确率、精确率等指标下与其它机器学习模型进行比较,验证模型的优越性。针对LightGBM建模存在的数据不平衡和调参困难问题,采用Nearmiss对多数类进行欠采样,并采用贝叶斯算法进行参数寻优。基于python环境下进行建模、仿真,并对优化后所提方法的效果进行了评价。然后,针对LightGBM无法有效检测未知攻击,并且现实环境中缺乏标签数据,人工标注成本高等问题。基于无监督学习技术,提出了基于AE-1SVM的入侵检测方法。该方法利用网络正常状态数据来构建异常检测模型,通过将深度学习与传统机器学习算法结合,在深层次上进行特征提取,并采用随机傅里叶特征近似高斯核函数的改进的OCSVM进行分类,通过Adam优化进行端到端的训练,实现对入侵行为特别是未知入侵行为的准确识别。基于python建模、仿真,验证了本文所提方法在检测准确率、精确率等指标上表现较优。最后,考虑单一模型无法有效检测各类攻击的问题,结合LightGBM在已知攻击行为识别和AE-1SVM在未知攻击行为识别上的优势,提出了一种混合入侵检测方案,利用LightGBM进行第一阶段已知攻击识别,AE-1SVM进行第二阶段未知攻击识别,并基于Stacking框架对方案进行实现。基于python进行了模型搭建、训练以及测试。