本发明涉及智能终端安全技术领域，提供一种基于关联规则的工业控制系统复杂攻击检测方法，其包括以下步骤：S1：在数据库中启用关联规则；S2：配置关联规则粒度；S3：配置关联规则参数；S4：将逻辑规则转化为XML语言；S5：XML规则转化为规则树；S6：实时事件流插入待匹配队列；S7：复杂攻击检测算法与中间结果backlogs匹配；S8：复杂攻击检测算法与规则树directives匹配；S9：匹配成功计算事件风险值；S10：产生攻击树，向后台预警；S11：告警存储攻击数据库。本发明能增强云端对复杂攻击的识别和检测能力。