互联网高速发展的同时,也给传统工业的发展带来了新的契机。受IT互联网的影响,工控系统(Industrial Control System,ICS)由原本的物理隔离也发展到了如今的分布式控制、全面接入互联网。然而,互联网的引入固然加快了工控系统的发展步伐,但是来自互联网的威胁从来不会缺席,工控系统关系企业和国家的发展,是提高社会生产力的关键,如何应对攻击者五花八门的攻击来保证工控系统的安全是亟待我们研究的问题。建立攻击代码库耗时且费力,而且网络的攻击手段层出不穷,很难收集完全。如果对工控系统内的指令流建立模型,以此为依据对系统内的指令进行预测,通过比对估计的结果与实际接收指令的异同,就可以实现对工控系统的安全防护。本文提出了基于自适应DBSCAN的聚类方法用于分析工控系统的网络数据,不同于协议逆向工程的是,只需分析出协议的关键信息、能够识别出协议的数据段即可,而不必具体得出每个字段所代表的含义。首先对捕获的报文进行预处理,只保留我们感兴趣的协议内容,然后计算它们的全局相似度矩阵,即报文之间的距离信息。自适应DBSCAN从相似度矩阵中估计出一个合适的参数用于聚类,随后在每个簇内分析协议的信息、获得数据。使用自然语言处理中的n-gram模型对提取的指令进行学习建模,将不同阶别的模型线性组合起来使其兼顾高阶模型的可靠性和低阶模型的统计意义,同时解决模型了中的零概率问题。实验表明,自适应DBSCAN取得了很好的效果,且样本越丰富,分类越精确。行为预测也达到了较为理想的准确度。