本申请涉及一种工控网络流量异常检测方法、装置及系统，涉及网络安全技术领域，对工控网络流量数据中的请求报文和响应报文组成的报文对进行匹配；对匹配成功的所述报文对转换为携带时间戳的符号序列，所述符号序列中的每个符号指示一个唯一状态事件；按顺序依次获取携带时间戳的符号序列中的符号，并输入预先构建的异常检测模型进行异常检测；如果检测到当前获取的所述符号序列中的符号属于已知符号，则输入到对应的子周期DFA模型；根据子周期DFA模型接收所述符号后的状态转移结果，确定异常检测结果。可以解决目前针对SCADA系统的语义攻击，对工业设备或工业生产造成破坏的问题。