本发明提供了一种工控设备异常检测方法及系统，提取待处理数据包序列中待处理数据包的属性特征；判断待处理数据包的基本属性是否符合预设规则；若否，判定工控设备的交互行为异常；若是，确定待处理数据包序列的交互模式；判断待处理数据包序列的交互模式是否为交互模式集合中的交互模式；若否，判定工控设备的交互行为异常；若是，针对待处理数据包序列中每种交互模式对应的子序列，解析得到上行数据包的上行数据值，确定其上行数据值的模型预测值；若上行数据值和模型预测值的差值不在预设范围内，判定工控设备的交互行为异常；将异常行为记录在区块链上。多层次判断交互行为是否为异常行为，提高ICS的网络攻击检测能力和效率。