本发明涉及工业控制系统网络流量检测技术领域，旨在提供一种基于可信模型的工控网络异常行为检测方法。该方法在充分解析工业控制系统网络流量的基础上，采用基于时间自动机算法来建立检测模型。经分析，采用工控协议传输的网络数据包，具有控制信道固定，数据包长度固定，数据包状态机固定，传输的数据包符合一定时间规律的特点。在检测过程中，一旦出现陌生的信道、陌生的数据包种类，和不符合时间约束的数据包，即产生告警。该方法区别于传统的基于签名和白名单的检测方法，引入了时间维度这一特征向量，能够检测出更高级的攻击行为。本发明为检测工控系统中的异常行为提供了新的解决方案。