随着互联网技术的飞速发展,为了监控、管理更加方便,工业控制系统也接入到了互联网中,但是风险也随之而来。近年来,工业控制系统信息安全事件数量大幅上升,工业控制系统的入侵检测得到了广泛的关注,目前的研究主要集中在分类、匹配算法的改进或是根据某种基于TCP/IP进行通信的工控协议的特点设计相应的检测规则。但是对基于以太网进行通信的工控协议,并没有提出有针对性的入侵检测方案。本文研究了当前流行的入侵检测框架Snort在工业控制系统中进行入侵检测的方法,具体内容有:1.首先对Snort框架进行了扩展,针对工控中常用的PROFINET协议中的PROFINET-RT和PROFINET-DCP改进了 Snort的包解码引擎并设计了检测模板及预处理器,使其能支持基于以太网层的常用工控协议的检测。2.针对于常用的工业控制系统可编程逻辑控制器西门子PLC S7-200/300/400系列,提出了为Snort添加程序检测模块的检测方法。此模块通过下载PLC程序块并计算散列值来检测PLC内程序是否被篡改,从而达到保障工业控制系统安全的目的。3.利用扩展后的Snort检测了工业控制系统流量以及常见计算机网络中的流量,成功的识别出了其中的异常流量并报警,从而达到了入侵检测的目的。