本文研究将现成的大语言模型（LLM）应用于能源工业控制系统（ICS）的入侵检测，旨在提供一种可解释、可审计的辅助检测层，以弥补现有监督式检测器可解释性不足的问题。研究将问题建模为二分类任务（正常/关键），在两个公开的ICS Modbus数据集上进行评估。方法是将每个Modbus通信实例的协议字段离散化后转换为紧凑的token字符串，并通过提示配置的LLM输出正常/关键告警，同时附带基于token的简洁审计记录，供分析师审查。实验结果表明，在共享事件信息和评估划分下，该基于LLM的检测流程在两个基准上均取得高预测性能，与强监督基线相当，且无需任务特定的参数更新。此外，研究者通过干预诊断（充分性和必要性测试）验证了审计记录中引用的token通常与模型的预测决策相关，这些记录旨在作为审计信号而非完整的人工解释。本研究为ICS环境下的可解释入侵检测提供了新思路，适合安全分析师和工控安全研究人员关注。