【目的】工业互联网是国家关键基础设施的重要组成部分，其安全性直接关系到国家安全、经济稳定和社会秩序。随着工业互联网的广泛应用，工业控制系统的网络攻击频发，造成了严重的经济损失和社会影响，因此，开发高效的实时入侵检测系统显得尤为重要。传统的入侵检测系统在处理高维度网络流量数据时，往往难以有效区分正常流量和异常流量，尤其是在缺乏异常流量样本的情况下。【方法】为了解决该问题，本研究通过分析某油气集输管线工业控制系统真实网络流量特性，提出了一种结合Suricata的滑动窗口密度聚类工业网络实时异常检测方法。该方法针对工业网络流量特性，利用Suricata的开源性、可扩展性以及滑动窗密度聚类算法的动态检测能力，建立从流量采集解析到实时入侵检测的全过程入侵检测模型。本研究通过分析真实工业控制系统环境中的网络流量特性发现工业网络流量存在一定的周期性，利用基尼系数选取能体现工业网络流量特性混杂程度的特征，实现对工业网络流量降维处理，对降维后的数据使用滑动窗口分组构建工业网络正常流量特征阈值。利用改写Suricata实现实时流量采集与解析，并将实时解析结果输入到所构建的滑动窗口密度聚类入侵检测算法中，通过与工业网络正常流量特征阈值进行对比，快速筛选绝对正常流量组和绝对异常流量组。针对正常流量与异常流量掺杂的组别，通过密度聚类算法将异常流量分离，完成异常流量检测。【结果】将入侵检测方法在油气集输全流程工业场景攻防靶场中应用并开展大量实验，该方法能够有效识别异常流量，检测率达到96%以上，误报率低于3%。所提出的方法可以满足工业网络中异常流量检测高效性、可靠性和实时性需求。【结论】本研究的创新之处在于提供了一种新的工业网络异常流量检测方法，结合Suricata和滑动窗口密度聚类算法，建立了从流量采集解析到实时入侵检测的全过程入侵检测模型，对工业互联网安全防护具有重要的实践价值，为工业网络实时入侵检测提供一种新的研究思路。