随着信息化程度不断推进,工业控制系统的开放性越来越强,其信息安全也越来越受到人们的关注。Modbus TCP是应用在工业控制系统的典型协议,但是由于Modbus TCP协议本身的脆弱性,对于应用Modbus TCP协议的工业控制系统的防护就显得格外重要。本文针对Modbus TCP协议存在的安全缺陷,应用深度包检测技术对Modbus TCP协议进行链路层到应用层的全面检测,设计了深度包过滤模型和异常检测方法。其中深度包检测模型基于白名单模式,提供了mac地址、IP地址、端口、协议标识符、功能码、设备标识符、数据地址和数据内容等规则选项,白名单内的规则可根据用户需求自行配置。进一步的深度检测采用异常检测的方法,选取功能码与线圈或寄存器的起始地址作为特征,通过统计总结Modbus通信时的流量特征规律,基于SVM算法建立异常检测模型,并对该模型进行了仿真。本文还针对Modbus双向通信这一机制,选取请求与响应数据包中的功能码,对功能码进行双向检测,基于神经网络算法建立异常检测模型,发现通信中的异常。在本文的最后,通过扩展Linux系统中的Netfliter/iptables防火墙框架,实现Modbus TCP协议的深度包检测与过滤,并且对基于SVM的功能码与起始地址的异常检测、基于神经网络的功能码双向通信异常检测,分别进行了实现与验证,证明了有效性。