工业控制系统不仅广泛应用于工业生产领域，而且遍布于关系国计民生的公共服务领域。在信息化与工业化深度融合的环境背景下，越来越多的工控系统使用分布式架构，连接到外部企业网络和互联网，增加了工业控制系统的安全风险，工业控制系统遭受安全攻击的事件层出不穷。入侵检测是一种积极主动的防御技术，是继工控防火墙之后的第二道安全防线。本文从两个角度研究工控系统入侵检测，即基于应用层的入侵检测和基于网络层的异常检测，为工控系统安全防护领域构建多重检测技术并用的入侵检测方案提供应用价值。　　本文分析了工业控制系统存在的漏洞及安全性问题，介绍了工控系统入侵检测的研究现状。针对攻击者以攻击工控系统上位机为目的的攻击场景，从工控系统应用层提取关键数据，应用核独立成分分析(KICA)算法进行入侵检测研究。首先对TE过程进行攻击建模，通过不同的攻击场景验证了KICA算法的有效性。研究结果表明:针对某些特定攻击KICA较PCA算法具有很好的检测效果。但是由于攻击行为的多样性，工控系统的复杂性，以及“智能”的攻击可以在应用层掩盖攻击行为，使得单一的基于应用层的入侵检测技术对于工控安全防御具有一定的局限。基于此，本文针对工控系统网络层数据进行异常检测，采用工控网络提取的关键数据作为数据集，设计了异常检测模型。研究了PSO-SVM算法在工业控制系统异常检测的应用，应用密西西比州立大学关键基础设施保护中心提供的工控数据集进行仿真实验，结果表明，该算法具有较高的检测准确率。为了对攻击类别进行检测，采用多分类算法进行检测研究，取得了较好的分类效果，能准确识别攻击类型。针对实际应用中由于攻击类型较多引起的“组合爆炸”问题，设计了多SVM的递阶结构，提高了基于网络层异常检测的实时性和针对性。