本文研究将现成的大语言模型（LLM）应用于能源工业控制系统（ICS）的入侵检测，旨在提供一种可解释、可审计的辅助检测层，以弥补现有监督式检测器可解释性不足的问题。研究将问题建模为二分类任务（正常/关键），在两个公开的ICS Modbus数据集上进行评估。方法是将每个Modbus通信实例的协议字段离散化后转换为紧凑的token字符串，并通过提示配置的LLM输出正常/关键告警，同时附带基于token的简洁审计记录，供分析师审查。实验结果表明，在共享事件信息和评估划分下，该基于LLM的检测流程在两个基准上均取得高预测性能，与强监督基线相当，且无需任务特定的参数更新。此外，研究者通过干预诊断（充分性和必要性测试）验证了审计记录中引用的token通常与模型的预测决策相关，这些记录旨在作为审计信号而非完整的人工解释。本研究为ICS环境下的可解释入侵检测提供了新思路，适合安全分析师和工控安全研究人员关注。

本文针对工业控制系统（ICS）中跨工厂未知攻击检测的难题，提出了一种基于中值原型对齐（Medoid Prototype Alignment）的框架。在ICS环境中，不同工厂的网络流量高度依赖本地部署环境，标签稀缺，且部署后常常出现未知攻击，导致直接迁移入侵检测模型效果不佳。现有方法通常试图直接对齐源域和目标域的所有样本，但由于数据异构性强，容易引入噪声，导致迁移不稳定。本文的核心思想是：首先将异构流量压缩到可比较的表征空间，然后提取每个域中稳健的中值原型（medoid prototypes），这些原型概括了局部操作结构。接着设计了一个原型校准的迁移目标函数，将目标原型对齐到源原型，同时保留源域的判别性并鼓励对目标样本的自信预测。这一策略减少了跨域匹配中的噪声，提高了异构工业条件下的迁移稳定性。实验在天然气和水储存控制系统两个真实ICS数据集上进行，共设计了四个未知攻击迁移任务。结果表明，所提方法在所有对比模型中取得了最佳平均性能，平均准确率0.843，平均F1-score 0.838。研究还发现了明显的源-目标方向迁移不对称性，并证实原型引导在困难的逆向迁移设置中尤其有效。总体而言，该工作为领域漂移下的鲁棒工业入侵检测提供了一种实用解决方案。