随着工业控制系统的发展,ICS开始使用TCP/IP技术、开放的工业通讯协议、通用的操作系统等,以及工业控制系统本身存在的漏洞未能得到足够的重视,使得目前ICS面临的安全威胁日益严重。而近年来相继出现的一系列针对工控网络的攻击行为,更加说明了工控网络安全在整个国家信息安全防护中的重要性和迫切性。通过分析国内外的研究现状可知,目前基于工业控制网络的入侵检测主要分为异常入侵检测和误用入侵检测。而攻击者为了能够躲避检测,在一些原有的攻击特征上不断地进行修改或衍生新功能,以制作出更多的变种攻击,从而导致检测手段失效。因此,以Modbus TCP协议为主,提出一种针对工控网络变种攻击的入侵检测规则生成方法。首先,从当前工业控制系统的安全风险和其遇到的可能的变种攻击进行分析,说明ICS安全的重要性。并分析了Modbus协议的脆弱性以及当前检测技术现存问题,为该方法的研究提供了理论基础。其次,为了弥补当前检测技术的不足,提出了基于遗传算法的规则生成方法。其通过对协议进行深度解析,分别从数据包的网络层、传输层、应用层三个层次进行解析,获取各层协议报文的关键字段信息,为定义本文的规则形式奠定基础。之后,算法中定义了四个指标来计算评判个体的适应值,分别为规则完全匹配,规则不完全匹配,语法检查以及攻击变种特点,用于优化产生的规则集。最后,根据提出的规则生成方法,构建了工控入侵检测模型,设计并实现了工控入侵检测系统。通过对比实验,说明该方法能根据攻击变种特点有效检测到变种攻击,且误报率低。