工业控制系统ICS遭受攻击的事件时常发生,受到攻击的ICS其异常状态最终通过现场设备的数据特征表现出来。现有基于系统特征的异常检测技术依赖于具体工控系统的行为特征并且难以对工控设备中所有数据进行全面的异常分析。现有基于数据特征的异常检测技术大多未充分考虑工控设备数据间的关联特征与时序特征。本文在分析对比现有ICS数据异常检测技术的基础上,针对其不足,研究ICS系统数据异常检测中的关键问题,提出一种兼顾ICS系统现场设备单属性数据自身独立异常与多属性数据间关联异常的检测模型。主要工作如下:(1)研究ICS现场设备数据的时序特征与关联特征。本文通过分析ICS系统的一般组织架构,在储水加热系统实例基础上,将遥测量与遥信量分为随时间推移离散变化的离散变化量与随时间推移持续变化的连续变化量,并研究互相影响的变量之间的关联性。(2)不同属性自身独立异常检测。对于离散变化量,在训练决策模型时,本文主要构建该变量的取值区间以及可能的取值集合;利用已训练的决策模型时,主要根据数据是否超出该变量取值区间或者不属于其取值集合来判断是否异常。对于连续变化量,在训练决策模型时,本文主要构建其取值区间和自回归模型,在建立自回归模型时主要利用最小二乘法与AIC法则来分别确定自回归模型的参数与合适的阶数;利用已训练的决策模型时,依据数据是否超出该变量取值区间或者违背卡方假设检验来判定其是否异常。(3)不同属性之间关联异常检测。本文在分析传统K均值算法与粒子群优化算法的基础上,根据粒子群优化算法全局搜索能力强的特点对传统K均值算法依赖聚类簇初始中心选择的不足进行改进,并设计了基于PSO_K-Means算法的ICS关联异常检测模型。在训练决策模型的过程中,本文通过计算聚类簇异常因子来剔除含有噪声样本的“异常簇”,并根据某个簇内对象平均距离的平均值和标准差来确定该聚类簇半径。利用已训练的决策模型时,依次比较测试对象和每个簇中心之间的距离与对应聚类簇的半径来判定测试对象是否异常。最后,本文通过在OMNeT++环境下搭建的仿真储水加热系统进行ICS异常检测实验,实验结果表明,与其他文献的同类检测模型相比,本文提出的模型检测异常数据的漏报率更低,对数据的考虑更为全面,具有一定的应用前景。