近5年来,世界各国都越来越重视工业控制系统信息安全研究,在工业控制系统信息安全领域应用蜜罐和蜜网技术进行主动防御来保护工业控制设备已经成为共识。蜜罐的本质就是一段程序代码或一台真实主机,通常伪装成存在漏洞的设备或服务器来达到诱惑攻击者对其进行攻击的目的,其价值在于被攻击和扫描。蜜网是由多个蜜罐组成的一个的诱捕网络,同时提供了多种工具以方便对攻击数据进行采集和分析。但是,常见的工业控制系统蜜罐大多存在协议层仿真不完整,极易被识别等问题;此外,由于设备资源有限、操作系统差异等因素导致蜜网存在难以快速部署和移植的问题。针对上述两个问题本文依托某实验室工业控制系统,研究现有蜜罐和蜜网技术,做出以下两点贡献。在低交互工业控制系统Conpot蜜罐的基础上进行深入的研究,完善了其协议仿真层;运用Docker容器技术实现蜜网的快速部署和移植,并且利用可视化技术实时展示蜜网诱捕的攻击数据,对工业控制系统面临的安全威胁做出评估。本文主要工作如下:首先,本文重点分析了西门子S7comm私有协议的报文和低交互工业控制系统Conpot蜜罐的源码。针对Conpot蜜罐中S7comm服务器的二次开发做了深入的探讨,添加了S7comm私有协议的读/写、启/停、上传/下载程序块功能,提升了Conpot蜜罐的交互性。然后,通过Docker容器技术在多个物理机上部署多个不同类型蜜罐,每个物理机上的蜜罐个数,蜜罐的交互程度都不相同。蜜罐镜像存储在Docker仓库中,可以直接下载运行,从而实现快速轻量化部署。在关键的物理机上除了部署蜜罐外,还部署了真实的PLC设备,提升诱捕能力。每台物理机都是蜜网中的一个节点,整个蜜网入侵诱捕系统通过一个主控节点控制所有的物理机,构成了多节点的复合蜜网入侵诱捕系统。最终,从时间、空间和攻击方式等维度对蜜网诱捕的攻击数据进行汇总和分析,运用Flask、Ajax和Echarts工具设计实现了安全态势感知系统,将攻击数据和分析结果实时直观地展示在前端页面。从最后的实验结果看,本文设计的蜜网入侵诱捕系统和安全态势感知系统可以实时从多个维度展示工业控制系统面临的安全威胁。