La integración de redes de comunicación y el internet del control industrial en los Sistemas de Control Industrial (ICS) aumenta su vulnerabilidad a ciberataques, causando resultados devastadores. Los Sistemas de Detección de Intrusiones (IDS) tradicionales dependen en gran medida de modelos predefinidos y se entrenan principalmente en ciberataques específicos, lo que significa que los IDS tradicionales no pueden hacer frente a ataques desconocidos. Además, la mayoría de los IDS no consideran la naturaleza desequilibrada de los conjuntos de datos de ICS, lo que resulta en baja precisión y altas tasas de falsos positivos cuando se utilizan. En este artículo, proponemos el método de detección de intrusiones NCO-double-layer DIFF_RF-OPFYTHON para ICS, que consiste en módulos NCO, módulos DIFF_RF de doble capa y módulos OPFYTHON. El tráfico detectado se dividirá en tres categorías por el módulo DIFF_RF de doble capa: ataques conocidos, ataques desconocidos y tráfico normal. Luego, los ataques conocidos se clasificarán en ataques específicos por el módulo OPFYTHON de acuerdo con la característica del tráfico de ataque. Finalmente, utilizamos el módulo NCO para mejorar la entrada del modelo y aumentar la precisión del modelo. Los resultados muestran que el método propuesto supera a los métodos tradicionales de detección de intrusiones, como XGboost y SVM. La detección de ataques desconocidos también es considerable. La precisión del conjunto de datos utilizado en este artículo alcanza el 98.13%. Las tasas de detección para ataques desconocidos y ataques conocidos alcanzan el 98.21% y el 95.1%, respectivamente. Además, el método que proponemos ha logrado resultados adecuados en otros conjuntos de datos públicos.