随着通信、移动互联与传感器等技术的发展,物联网得到各行业的广泛应用,但同时资源受限、脆弱的物联网环境也带来了一系列的网络安全问题。其中,物联网设备分布广泛,常因自身具有漏洞或厂商没有及时更新补丁修复漏洞而导致安全防御能力低下,成为众多攻击者青睐的目标。许多攻击者通过入侵具有漏洞的物联网设备,将其作为“肉鸡”发起协作式攻击,这对物联网安全造成了极大的威胁。如何在日渐复杂、多源且有组织的网络攻击中有效识别追踪物联网疑似攻击团伙,成为防御物联网安全、完善物联网威胁预警体系的重要研究问题。而在目前攻击行为的相关研究中存在特征选取无法兼顾一般性和有效性以及在算法分析阶段所采用的机器学习算法不适用于复杂多样,形状不规则的物联网攻击日志数据,无法有效识别攻击者攻击行为特征上的共性及差异。另外在针对攻击者的威胁程度分析的研究中,往往依据当下实际攻击行为进行定性分析,缺乏一种系统的定量模型来分析不同行为特征的攻击群体的威胁程度。据此,本文提出一种可识别物联网疑似攻击团伙及其威胁程度的预警体系,并对疑似攻击团伙追踪溯源的相关技术进行探究。首先,本文提出了一种物联网疑似攻击团伙的特征识别模型。在针对攻击者识别的研究中主要包括数据清洗、特征选取、相关算法分析等步骤。其中在选择攻击者攻击行为特征时,目前的研究缺乏兼顾特征的一般性和有效性。攻击特征是反映攻击者攻击行为的标识,其在选择上应是攻击群体中可有效反映攻击者攻击行为特征并且广泛存在。本文在分析攻击日志数据后,发现攻击源IP、攻击目标IP、攻击事件ID、时间戳等字段在数据中普遍存在且可有效反映攻击者的攻击特征。本文利用上述字段信息提出将攻击路径、攻击行为与攻击时间三维度作为判定攻击者是否为同一疑似攻击团伙的特征依据。为进一步验证特征模型的有效性,本文利用移动进程代数中的Rho（reflective,higher order,Rho）演算对攻击团伙行为进行形式化描述,利用代数方法对PBT（Attack Path,Attack Behavior,Attack Time,PBT）特征模型的有效性进行严谨的数学推理及形式化验证。而后通过对一般聚类算法的比较分析,发现谱聚类更加适用于维度多、形式各样的数据,且实现方式较为简单,可高效处理大量数据。据此,本文结合上述特征维度及谱聚类算法构建物联网疑似攻击团伙的特征识别模型,将攻击行为模式达到一定相近程度的攻击者划分为同一疑似攻击团伙。其次,本文提出一种物联网疑似攻击团伙的威胁评估模型。目前在针对入侵检测的研究中,大都只聚焦于对攻击流量的分类,却缺少判定攻击者攻击行为威胁程度的相关研究。而随着近年来攻击者的攻击手段与攻击活动种类逐渐复杂多样,研究攻击者发起的攻击活动的威胁程度对完善物联网安全体系同样具有重要意义。据此本文依据攻击者的攻击特征构建针对物联网疑似攻击团伙的威胁评估模型,赋予不同疑似攻击团伙对应的威胁程度值。同时利用画像技术对疑似攻击团伙进行具象特征描绘,探究不同威胁程度值的疑似攻击团伙的攻击模式特征。画像技术最早应用于犯罪刑侦领域,近年来网络安全领域也发现画像技术的优势,开始利用画像技术对攻击者攻击行为进行进一步描述。对疑似攻击团伙进行画像可分析其共性的攻击手段、攻击目标及攻击偏好等,同时这也是一种了解攻击组织幕后的攻击意图,有效识别未知攻击行为的方法。最后,本文提出一种基于蜜罐的疑似攻击团伙追踪溯源模型,为制定适当的防御措施并预测未来同类型疑似攻击团伙的攻击手段提供理论基础。当完成从大量攻击日志数据中识别不同疑似攻击团伙并判定其威胁程度后,进一步对其进行追踪亦是物联网安全领域中的重要研究内容。本文通过分析现有追踪溯源技术,对疑似攻击团伙的追踪技术进行探究。目前常用的追踪溯源技术主要有主动追踪和被动追踪两类,相较之下主动的溯源技术更利于对物联网疑似攻击团伙的追踪,所捕获的信息也更加完整及真实。蜜罐是一种布有“诱饵”的主机或网络服务,通过诱导攻击者对其发起攻击进而收集攻击者的攻击行为数据,实现对攻击者攻击行为的全程记录跟踪。故本文以上述技术为基础分析更利于物联网疑似攻击团伙追踪溯源的方法,提出了一种基于蜜罐的疑似攻击团伙追踪溯源模型,实现对网络攻击追踪溯源的关键技术的探究。