工业控制系统（industrial control system,ICS）广泛应用于水利、交通、化工等国家关键基础设施,一旦遭到攻击,将导致严重的国家安全问题。近年来,随着万物互联理念的不断深化以及工业互联网的不断发展,工控安全事件频发,从“震网”到“乌克兰大面积停电”,再到最近的以色列VPN漏洞,病毒入侵、设备故障等异常行为对人民生命安全、社会经济发展和国家安全造成严重威胁。因此,为了保障ICS安全,研究ICS异常检测技术具有重要意义。ICS具有明显的层次结构,在众多针对ICS攻击实现手段中,面向现场设备层和现场控制层的欺骗攻击通过作用于传感器、控制器回路干扰生产过程对ICS造成直接侵害,为了能够对此类攻击导致的ICS异常进行检测,本文提出一种基于自组织映射神经网络（self organizing map,SOM）的ICS异常检测方法,具体工作如下:（1）面向现场设备层和现场控制层建立欺骗攻击通用模型。以田纳西一伊斯曼过程（Tennessee Eastman,TE）作为典型工业控制系统,对四种欺骗攻击——浪涌攻击、偏差攻击、几何攻击以及方波攻击进行建模与仿真,并分析四种攻击对系统造成的异常情况。考虑到测量噪声对模型异常检测结果带来的影响,本文引入小波去噪方法,通过实验对比分析选择合适的去噪参数对数据进行预处理,为后续异常检测研究奠定数据基础。（2）针对目前基于机器学习的异常检测算法存在人为标注样本费时费力、检测性能较差、海量数据场景下模型训练成本高昂等问题,提出一种基于SOM的异常检测方法,并以四种欺骗攻击为例展开异常检测研究。本文提出的SOM异常检测模型以无监督聚类的方式构建ICS状态模型,通过计算未知样本所属系统状态与正常状态之间差异度实现异常检测;针对无监督异常检测算法在异常样本未知场景下异常可解释性差的问题,本文提出一种基于异常贡献度的异常变量定位方法,提高了异常处理效率。此外,针对恶意攻击下,若系统异常无法及时处理或保护装置失效导致系统崩溃甚至引发灾难的问题,本文设计一种基于有监督SOM的异常响应器,通过识别异常类型、修正欺骗信号的方式实现系统防护。（3）针对SOM异常检测模型难以检测系统状态变化异常的问题,引入隐马尔科夫模型（hidden markov model,HMM）对系统动态特性进行分析,刻画系统状态变迁行为模式,实现ICS状态变化异常检测。考虑到多变量时间序列以及隐状态数目未知场景下传统HMM参数学习方法难以应用的问题,本文提出一种基于SOM的改进HMM异常检测方法,使用SOM对ICS隐状态进行估计,并在此基础上训练HMM,实现系统状态变化异常检测。