Ethernet estándar (IEEE 802.3 y el conjunto de protocolos TCP/IP) se aplica gradualmente en sistemas de control industrial (ICS) con el desarrollo de la tecnología de la información. Rompe el aislamiento natural de los ICS, pero no contiene mecanismos de seguridad. Un sistema de detección de intrusiones (IDS) mejorado, que está fuertemente correlacionado con escenarios industriales específicos, es necesario para los ICS modernos. Por un lado, este documento describe tres tipos de modelos de ataque, incluidos los ataques de infiltración, los ataques de falsificación creativa y los ataques de inyección de datos falsos. Por otro lado, se propone un IDS de dos etapas, que contiene un modelo de predicción de tráfico y un modelo de detección de anomalías. El modelo de predicción de tráfico, que se basa en el promedio móvil integrado autorregresivo (ARIMA), puede predecir el tráfico de la red ICS a corto plazo y detectar ataques de infiltración con precisión según los cambios anormales en los patrones de tráfico. Además, el modelo de detección de anomalías, utilizando una máquina de vectores de soporte de una clase (OCSVM), es capaz de detectar instrucciones de control maliciosas mediante el análisis del campo clave en los paquetes Ethernet/IP. La matriz de confusión se selecciona para probar la eficacia del método propuesto, y se utilizan otros dos IDS innovadores para la comparación. Los resultados experimentales muestran que el IDS de dos etapas propuesto en este documento tiene un rendimiento sobresaliente en la detección de ataques de infiltración, ataques de falsificación y ataques de inyección de datos falsos en comparación con otros IDS.