随着信息与通信技术的广泛应用,工业控制系统(Industrial Control System,ICS)面临着越来越严重的信息安全威胁,同时由于其信息网络与物理现场高度耦合,一旦遭受网络攻击入侵,极易对被控对象乃至物理空间产生严重破环。因此,需要在深入分析工控系统机理的基础上,构建工业信息安全防护体系,提高工业控制系统的安全性能。其中,攻击场景还原作为工业信息安全防护体系的重要组成部分,能够为安全加固提供有力的信息支撑,已逐渐成为科研人员的研究重点。本文以工业控制系统信息安全防护为背景,着眼于攻击场景还原的相关技术研究。文章首先分析了工业控制系统特点,并由此引出攻击场景还原的功能需求。其次,设计了适用于工业场景下的基于模糊证据推理的攻击取证技术方案,为攻击场景还原提供有效的数据支持。然后,在工业控制系统信息层、物理层高度耦合的特性基础上,提出了“关联”+“推理”的攻击场景还原技术方案。先在逻辑关系的基础上,设计了基于因果关联分析和相似性优化策略的告警关联和路径关联方案;再针对工业控制系统的运行特点及其设备功能间的安全关联依赖性,构建基于贝叶斯网络的攻击传播过程模型对关联证据进一步地计算、推理,从而实现既有安全事件的复盘。最后,采用硬件在环策略搭建出模拟实际工业控制系统的仿真实验平台,并在此平台基础上,实例化本文所提出的场景还原方案并验证所提方法的有效性。实验结果表明,本文设计的适用于工业环境的攻击场景还原方案,其在减少漏报、误报的基础上改善了场景分裂情况,能够有效识别出攻击者意图,为系统信息安全防护提供有力的洞察支持,具有一定理论价值及现实研究意义。