随着物联网的快速发展,技术的广泛应用为传统工业体系带来了便利,但同时也带来了众多的安全隐患,尤其是工业物联网。由于工业控制网络的复杂性和开放性,工业物联网面临着严重的网络安全威胁。因此,为深入建模工业控制网络攻击和防御之间的逻辑关系,评估工业物联网系统的安全机制,数据驱动的威胁建模方法成为热点研究方向。与传统第一性原理模型相比,数据驱动模型的优点是能够可以在没有太多先验知识的情况下,从大量数据中提取样本的结构与模式。但是,基于数据驱动的威胁建模方法无法进一步实例化更高层攻击和防御行为以及编码它们之间逻辑关系的缺陷日益凸显。此外,数据驱动模型也高度依赖于数据的规模与质量,在高度动态的场景下存在精度较低的问题,使得后续依赖此分析结果的安全决策缺乏可靠性。领域专用语言模型作为语言建模的常用技术,正在试图结合数据驱动技术以缓解工业控制网络的业务风险。为了提高工业控制网络风险分析能力,本文以攻击行为事件为研究对象,结合工业物联网威胁情报知识图谱的构建和应用展开研究,提出一种基于元攻击语言（Meta Attack Language,MAL）的威胁建模与模拟方法,本文的主要内容有以下三点:（1）构建了工业物联网威胁情报知识图谱。针对工业领域缺乏对于安全威胁情报的有效管理和利用的问题,本文分析了工业威胁情报知识的特征与概念,构建了工业物联网威胁情报知识统一结构。然后提出了威胁情报信息提取模型,将各类威胁情报进行结构化和关联化,构建起工业物联网的威胁情报知识图谱。这为后续的安全威胁建模、攻击模拟和应对提供理论和数据基础,并拓展了工业控制网络威胁建模的知识域范围。（2）研究了工业控制网络下特定攻击者的攻击和防御的逻辑编码问题。本文在MAL框架的基础上提出一种基于ATT＆CK和D3FEND模型的攻击防御行为建模语言ADMLang（Attack and Defense Modeling Language）。首先,该语言通过对攻击者攻击特性的分析,构建了攻击者画像。然后,提出了妥协时间（Time to Compromise,TTC）概率分布算法,将攻击防御特征与ADMLang模型进行了概率性映射。最终,通过构建全局妥协时间网络,可以计算初始攻击到目标被破坏的时间分布。相较于传统方法,该方法具有更好的自动化和概率建模能力,并能更加准确地描述攻击防御行为。（3）本文在一个公开数据集的智能电网项目SEGRID中进行测试,将应用ADMLang模型的攻击仿真方法与标准渗透测试进行实验对比。结果表明,该方法能有效的挖掘工业控制网络的攻击防御逻辑,并且在攻击模拟测试方面表现出很高的准确性。