本发明属于工业现场检测领域，公开了一种针对工业控制系统攻击的双级检测方法：分布式的传感器网络进行数据实时采集，分别传输给工控系统PLC与独立的嵌入式攻击检测系统，PLC将收到的数据上传到SCADA系统，SCADA系统在对数据归类统计后也传送到嵌入式攻击检测系统；在检测投运前，嵌入式攻击检测系统直接读取传感器量测数据，提炼传感器正常运行的数据关联关系与概率分布特征，完成健康数据模型存储；在检测投运后，第一级对比传感器直采数据与SCADA统计数据判断SCADA系统受攻击情况；第二级对比实时在线统计的传感器直采数据特征与健康数据模型判断传感器受攻击情况。本发明有效的提高了工业控制系统的安全性。