本发明属于工控网络安全领域，公开了一种工控网络入侵检测方法。通过TPFSM模型从宏观角度通过异常状态、异常状态跳转、异常状态持续时间、异常状态跳转间隔以及异常跳转概率五个维度进行异常检测，将TPFSM模型与CNN‑LSTM‑ATTENTION时序入侵检测模型结合，综合考虑工业控制系统的业务逻辑与时序性、周期性、稳定性特点，进行微观的关键传感器设备连续值预测，以此构建双重入侵检测机制，提高入侵检测算法的准确率，对WOA算法进行了改进，将其应用于对CNN‑LSTM‑ATTENTION网络的参数和结构进行训练以得到最优的网络模型，避免了主观经验设置的影响，有效提高了准确率与检测速度。