一种基于特征关联的有限知工业通信协议异常行为检测方法，该方法面向有限知工业通信协议的消息格式具有已知部分和未知部分这一特点，通过关联两部分信息对有限知工业通信协议的通信行为进行异常检测，具体包括决策树构建阶段和异常判定阶段，其中决策树构建主要实现对控制系统中原始通信数据进行特征提取，通过特征关联标识绑定已知特征和未知特征，构建特征关联决策树，获得未知特征空间的质心和距离门限；异常判定对数据预处理后的特征信息进行决策树查找和马氏距离计算，通过与距离门限对比，完成对有限知协议通信行为的异常检测。该方法能够对工控通信数据进行分析、建模与检测，实时发现此类工业通信行为异常并产生报警，保障网络安全。