本发明公开了一种应用于工业控制环境的攻击监测方法、系统，该方法通过双队列模式记录ARP请求和响应的过程，正常的ARP请求与响应是一一对应的。但是，在发生ARP攻击时，存在一个ARP请求对应多个ARP响应，而进一步利用学习期构建的知识库进行鉴证，可以有效地识别真实的ARP响应，从而能够提高攻击检测的精度和准确性，解决了ARP扫描环境中ARP攻击机误判的现象。另外，通过请求和响应队列方式，也可以及时发现ARP响应包攻击，立即发现ARP攻击主机，而且采用队列的方式记录请求或者响应信息，对于了解整个攻击过程和构建攻击欺骗链也有很大的帮助，非常适合应用于工业控制环境。