传统的工业控制系统一般以厂区为单位,相互之间是独立的,与外界之间没有物理连接。但是随着工业信息化和网络技术的迅速发展,工业控制系统越来越多的采用通用硬件和通用软件,工控系统的开放性与日俱增,系统安全漏洞和缺陷容易被病毒所利用。然而,工业控制系统又应用于国家的电力、交通、石油、取暖、制药等多种大型制造行业,一旦遭受攻击会带来巨大的损失,因此需要有效的方法确保工控系统的网络安全。本文重点研究了应用于工业控制系统中的Modbus/TCP通信协议规则,应用了一种基于模糊C均值聚类和支持向量机的工控网络异常检测算法。为了解决病毒、木马攻击工业控制系统应用层网络协议的问题,本文首先以Modbus通信协议为研究对象,重点分析了Modbus/TCP通信协议的规则,然后介绍了Modbus的异常行为,对安全性进行分析。根据工业控制系统通信行为的特性以及工控系统的周期性,提取工业控制系统Modbus/TCP协议的通信流量数据。最后将提取和构造的通信数据进行预处理,利用模糊C均值聚类得到聚类中心,计算通信数据与聚类中心的距离,将满足阈值条件的部分数据进一步由支持向量机分类。该模型将无监督的模糊C均值聚类和有监督的支持向量机相结合,实现了工控网络异常检测的机器学习。与传统的异常检测方法相比,该方法将无监督学习和有监督学习完美结合,并且在不需要提前知道类别标签的前提下即可有效的降低训练时间,提高分类精度。基于模糊C均值聚类和支持向量机的工控网络异常检测模型中,支持向量机参数的选取对模型的准确率有较大影响。为了提高算法在实际问题中的应用能力,研究了网格搜索算法、遗传算法和粒子群算法的参数优化方法,对支持向量机的惩罚因子和核函数参数进行优化处理,总结了每个参数优化算法对异常检测模型的优缺点。结果表明,利用智能算法优化支持向量机参数得到的分类精度比传统的根据经验选择参数的分类精度有了大幅度提高。经过参数优化后的工控网络异常检测模型,使得算法的检测精度和实用性都得到了非常大的提高,且不需要更改就能很好的应用于实际系统中,满足工业控制系统异常检测高效性的要求。