本发明公开了一种基于改进Suricata引擎的工控系统网络入侵检测方法。该方法是首先建立攻击数学模型，再构造网络攻击数据包并对其进行过滤，然后制定入侵检测规则，再对入侵检测规则的正则表达式进行正则分解，通过改进Suricata引擎将分解得到的模式串的存储结构进行重新构造，得到校验散列表并送入到匹配进程中；然后通过改进Suricata引擎对工控系统网络通信流量进行捕获、解码和散列运算，并将散列运算结果传入到匹配进程中，匹配进程会将校验散列表与散列运算结果送入到多个线程中，改进HashTries算法进行匹配，最后输出检测结果。本发明将改进HashTries算法与入侵检测引擎Suricata相结合得到改进Suricata引擎，既节省了空间资源，也加快了硬件的匹配处理速度，大幅降低了系统损耗。