工业控制系统(Industrial Control System,ICS)作为工业生产过程的控制核心,已被广泛部署于电力、冶金、石油化工等国家重要行业。随着传统信息技术不断向工业领域渗透,传统信息网络不断与工业控制网络融合,使得传统信息安全风险逐渐向工业控制系统蔓延。与此同时,工业控制系统还面临着设计之初并未过多考虑安全机制,工业控制系统高实时性导致安全防护措施难以实施等风险隐患,工业控制系统信息安全形势严峻。为了提升工业控制系统信息安全防护能力,本文针对传统信息安全防护技术中存在的被动防御、检测延时高、准确率低下、安全能力单一等问题,结合工业控制系统计算资源有限、强实时性、强可用性等特点,通过将入侵检测系统的发现能力与蜜罐系统的诱捕能力相结合,提出了基于Modbus协议的工业控制系统信息安全主动防御系统。由于系统中应用基于规则的检测方法,使该系统不仅可以提高攻击检测效率并且能够降低误报警率。为了更好的吸引攻击者,并追踪攻击的真实身份,本文还对蜜罐进行工业伪装。本文基于入侵检测系统以及蜜罐系统设计实现了面向工业控制领域的主动防御系统。为了使主动防御系统专注于针对Modbus工业通信协议的攻击,本文通过对入侵检测系统进行优化改进,只将针对工业协议502端口的数据流量保留并且导入工业蜜罐系统中。通过上述改进使后期需要分析的数据量大幅度降低,进而提高攻击数据分析的准确性和效率。本文还针对工业控制系统强实时性的特性,在入侵检测系统中设计实现了基于规则的入侵检测方法,降低了检测延时,使得系统更加逼真。出于迷惑攻击者的目的,本文将工业蜜罐系统改装成了电力监控系统,进一步提高蜜罐的诱捕能力,并且在工业蜜罐系统中集成了身份追踪模块,使得攻击者无处藏身。最后通过对主动防御系统的功能测试,得出该系统能够很好的诱捕攻击者,并对攻击行为数据进行详细记录,以及通过用户界面将数据多维度展示,方便研究人员对攻击行为进行深入分析,而且可通过身份追踪功能迅速获取攻击者的身份位置信息。