随着科技的高速发展,信息化和工业化不断融合。越来越多针对工业控制系统的攻击事件逐渐暴露在大众的视野中,工控安全问题在社会上引起了广泛的关注。面对各种层出不穷的攻击方法和攻击模式,以及逐渐演变出的高级持续性威胁(Advanced Persistent Threats,APT),传统的被动安全防御手段不能起到有效的防护作用。为了探索有效的主动安全防御方法,本论文设计并实现了基于蜜罐技术的ICS威胁感知平台。旨在捕获和分析网络空间中针对工控系统的攻击流量,研究攻击者行为动机,溯源攻击者的真实身份,从而在未知网络攻击到来时能够做出更好的应对。首先,设计并实现了支持多种协议的低交互工控蜜罐SuperPot,集成了基于发布/订阅机制的数据推送功能,可以实现对24种工控协议攻击数据的捕获与实时远程推送。其次,结合平台功能需求对开源发布/订阅协议hpfeeds进行功能上的改进,并将其应用到平台服务端,实现平台对接入蜜罐的分布式监管和实时数据收集功能。然后,针对威胁感知平台自身的特点,设计并实现了基于通道划分的数据持久化中间件Middleware,实现了对同一通道不同协议类型攻击数据的转化及持久化功能。最后,实现了基于蜜罐技术的ICS威胁感知平台,该平台能够对捕获的攻击流量数据进行实时分析与可视化,在能力范围内感知当前网络空间工控威胁态势,并且提供了便捷有效的安全事件分析界面。通过在公共网络中实际搭建ICS威胁感知平台,连续不间断收集与存储工控攻击数据(目前为止已有9个月的数据量)。使用平台提供的功能对收集的大量攻击数据进行多维度分析,通过实例验证了本平台的威胁态势感知及攻击者身份溯源效果。