随着工业互联网建设的大力推进,工业控制系统网络逐渐从封闭式向开放式转变,但工控安全系统的发展相对而言却有些落后。近年来,工业控制领域的攻击事件逐年上升。由于工业控制系统重点应用于许多与民生紧密相关的领域,一旦这些领域的工业控制系统遭到攻击,将会产生非常恶劣的影响。而入侵检测是一种可以保护系统安全的有效措施,可以有效地发现安全威胁。因此,近年来,针对工业控制系统的入侵检测受到了相关从业人员和研究学者的广泛关注。虽然Web等领域的入侵检测技术较为成熟,大多是基于误用和基于异常的方式实现的,但是工业控制系统中几乎没有基于误用的入侵检测算法,且工业控制系统中基于异常的入侵检测仍存在一些缺陷。首先,现有的基于误用的入侵检测算法的入侵特征库内存占用大、计算复杂,不适用于存储和计算资源受限的工控设备。其次,现有的入侵检测算法检测时间较长,无法满足工业控制系统高实时性的要求。最后,虽然已有不少可应用于工控的基于异常的入侵检测算法,但存在检测率低、误报率和漏报率高的问题。本文分别针上述问题,设计并实现对应的工控入侵检测算法,主要创新工作如下:考虑到基于误用的入侵检测算法具有检测率高、检测速度快的优点,针对工控设备资源受限,没有较多资源可以存储入侵特征库以及进行复杂计算的问题,本文提出基于改进布隆过滤器的工控入侵检测算法（Intrusion Detection Algorithm for Industrial Control System Based on Improved Bloom Filter,IDA-ICS-IBF）。本文使用一次哈希以及多次位运算替代多次哈希运算的方式对布隆过滤器进行改进,以提高检测的速度。并使用改进的布隆过滤器作为入侵特征库,以降低空间占用。通过实验及比较分析,结果表明,该入侵检测算法的内存占用低、检测速度快,适用于工控环境。针对基于误用的入侵检测算法不具有检测未知攻击的能力,且基于异常的入侵检测算法检测率低的问题,本文提出基于改进灰狼优化算法的工控入侵检测算法（Intrusion Detection Algorithm for Industrial Control System based on Improved Grey Wolf Optimizer,IDA-ICS-IBF）。本文使用对立学习策略初始化灰狼种群,并利用Levy Flight对每轮迭代中适应度最优的三只灰狼的位置进行扰动,以加快算法的收敛,同时防止算法陷入局部最优。本文利用改进灰狼优化算法实现特征选择,并使用该算法对SVM的参数进行寻优,以此实现入侵检测。实验结果表明,该工控入侵检测算法具有较优的检测率。最后,本文基于上述算法设计并实现了一个入侵检测系统Intrusion Warn。该系统可以快速有效地检测入侵,且能发现未知攻击,可以满足入侵检测的需求。