本申请涉及一种基于网络层报文相似度的工控网络异常检测方法，包括以下步骤：在模型训练阶段，通过采集工业控制系统的网络流量，按照周期对流量进行分包，得到PCAP数据包数组P。将P进行网络特征提取，得到网络层数据特征数组；对P中的数据包进行深度协议解析，得到应用层数据特征数组。通过系列计算，得到网络层数据特征向量和应用层特征向量，分别送入训练好的模型M1和M2，得特征哈希yt1和yt2，计算两向量之间的欧氏距离，超出阈值代表工控网络异常，否则为正常。本发明可在只有正常训练数据集的情况下完成模型训练，解决了工业控制系统中缺少优质异常训练样本的问题。不需要对训练数据集进行人为分类和标记，节省人力成本。