目前，工业控制系统的网络安全问题已经吸引了世界各国的目光，尤其是自2010年发生的蠕虫病毒事件后，各国家在政策、技术方案等方面展开了积极的应对。然而由于工控系统相对封锁的运用环境，开发时更重注系统的功能实现，对于安全的关注度比较低，使得在工控系统网络安全方面并没有太多的研究成果和实践经验，本文通过以下文献分析了当前的研究状况：82942

文献[12]设计了一种基于IEC60870-5-104远动规约的监听与测试系统，利用Socket编程实现对控制主站与从站设备间的传输数据的检测分析，能在第一时间发出故障报警。但此系统的异常检测功能比较单调，只对重复传输的数据进行检测。并不能抵御系统面临的其他安全威胁。

文献[13]利用系统的正常参数建立状态矩阵，并在此基础上设计了异常检测模型。通过分析工控系统的异常行为信息，采集异常行为导致变化的参数，建立正常参数状态矩阵。进行异常检测时监测各个参数的变化情况，若超出了正常参数阈值则产生告警。该方法的适用性非常好，但在不同环境下需要设定不同的阈值，而阈值的设定直接影响了检测效果。

文献[14]设计了一种具有认证功能的协议，通过使用加密函数以及哈希链表对通信双方进行验证，从而可以避免攻击者伪装成主机进行攻击。这种方式虽然通过增加认证过程保证了通信双方的安全，但同时也增加了通信负担。通信双方的每次数据交换都需要进行加密认证，会对工控系统的实时性造成影响。论文网

文献[15]提出了一种在通信系统基础上增加信息安全层的方法，无需改变底层的传输系统。可以增强通信双方的认证，通信的完整性以及保密性。安全层作为软件层置于通信系统之上，能否防御网络攻击但并不能完全保护设备的安全。

文献[16]在文献[14]基础之上增加了基于角色的权限认证机制和用户ID安全审查功能，从而解决了非法用户登录和违规越权操作的问题。但增加认证模块和用户ID审查同样是以整个系统的通信实时性为代价。

文献[17]提出了一种多通道组播安全认证的方法，实现了变电站的自动化系统中从站设备之间的认证以及密钥的及时更新。但该方法只能针对从站设备节点数目较少的情况，对跨地域、多通信节点的系统则不适用。

文献[18]分析了重放攻击，采用了卡尔曼滤波检测系统是否受到攻击，文献[19]分析了完整性攻击。但在使用检测方法之前需要构造物理模型，基于模型设计检测算法时还需要考虑平台的计算能力与计算速度。

文献[20]针对DOS攻击和欺骗攻击，设计了物理模型并简化成线性系统，最终形成安全控制器，使得系统能检测出欺骗攻击抵御拒绝服务攻击。但安全控制器需要精确更高的模型，在实际运用中还不成熟。

综上所述，由于工控系统的特殊性在保密性和实时性方面很难做到平衡。目前工控系统安全研究比较零散，研究人员从多个方面对工控系统安全进行探索，尚未形成系统的研究体系和公认的研究方向。尤其是对于通过建立异常检测模型以及异常检测规则，并针对应用层传输数据信息进行异常检测方面，仍然没有相关的深入研究。