工业互联网是传统工业控制系统与计算机网络结合的产物,其在大幅提升传统工业控制系统的协同能力和运行效率的同时,也带来了日益增长的网络安全问题。具有高隐蔽性和强破坏力的高级持续威胁（Advanced Persistent Threats,APT）攻击是当前工业互联网面临的主要安全威胁之一,其通常是针对特定目标网络或系统的特点精心设计的复合型网络攻击,能够持续适应防御工具变化并持续追逐目标。因此,针对APT攻击的检测及防御技术开展研究对于保障工业互联网的安全有着重要的意义。入侵检测和入侵防御是防御当前工业互联网APT攻击的主要技术手段,前者是对未进入工业互联网的访问者进行检测并识别威胁,后者是对已经进入工业互联网的攻击行为进行扫描和隔离。蜜罐作为一种诱捕APT攻击的主动型网络安全防护工具已成为工业互联网的重要基础安全设施,通过部署无实际用途的软硬件安全资源诱骗攻击方对其进行使用,从而对攻击行为进行捕获和分析。本文基于博弈论研究工业互联网中蜜罐对抗APT攻击时的安全策略选取问题。从攻防博弈阶段、蜜罐类型这两方面对博弈场景进行了划分,将攻防博弈阶段按APT攻击的全生命周期划分为入侵阶段和潜伏破坏阶段,将蜜罐类型按照是否有人工介入划分为自动化蜜罐和半自动化蜜罐,对不同攻防博弈阶段与蜜罐类型下的攻防博弈过程进行建模,进而选取最优防御策略,并探讨了多蜜罐通过汇聚日志实现协同防御的激励策略问题。本文的主要研究成果如下:（1）针对工业互联网APT入侵阶段攻防双方信息不对称的问题,提出了基于自动化蜜罐的静态攻防博弈模型。该模型利用不完全信息静态博弈理论分析了防御方和攻击方的策略及收益,利用Harsanyi转换将不完全信息静态博弈转化为条件概率下的不完美信息静态博弈,分析贝叶斯纳什均衡的存在条件获得最优防御策略。此外,研究了蜜罐配置资源约束下高低交互自动化蜜罐的最优配置策略。仿真结果表明该模型能够有效提高APT入侵阶段自动化蜜罐的防御能力。（2）针对APT入侵工业互联网后潜伏破坏阶段持续威胁工业互联网安全的问题,提出了基于自动化蜜罐的动态演化博弈模型。该模型利用复制动力学方程描述攻防双方动态交互过程,分析了防御方和攻击方的策略以及收益,通过雅可比矩阵特征值的负定性获取防御方和攻击方的渐近稳定策略,并进一步获得演化稳定策略（最优防御策略）。仿真结果表明,与传统贪婪策略相比该模型能够有效提高APT潜伏破坏阶段自动化蜜罐的防御能力。（3）针对工业互联网APT入侵阶段半自动化蜜罐对抗识别APT攻击的问题,提出了基于半自动化蜜罐的不完全信息静态有限理性攻防博弈模型。该模型利用前景理论中价值函数和Prelec权重函数描述了防御方和攻击方在APT入侵阶段的有限理性行为,通过分析有限理性贝叶斯纳什均衡的存在条件获得最优防御策略,并进一步分析了有限理性因子对收益以及策略的影响。仿真结果表明该模型能够有效地模拟攻防双方在有限理性下的博弈过程,在防御APT入侵攻击和确保工业互联网正常收益之间取得均衡,有效提高APT入侵阶段半自动化蜜罐的防御能力。（4）针对APT入侵半自动化蜜罐后的潜伏破坏阶段的安全问题,提出了基于半自动化蜜罐的动态有限理性演化博弈模型。该模型通过分析防御方和攻击方的动态有限理性交互过程,获得有限理性演化稳定策略（最优防御策略）,并进一步分析有限理性因子对攻击方和防御方的收益影响。仿真结果表明,该模型能够有效地模拟攻防双方在有限理性下的动态博弈过程,为有限理性条件下的半自动化蜜罐攻防对抗研究提供了理论支持。（5）针对工业互联网多蜜罐协同防御场景,提出了基于合约博弈的蜜罐日志数据汇聚激励模型。该模型根据工业互联网防御贡献进行分类并按照相关类型提供最优合约,利用基于合约理论的自我揭示机制使得工业互联网节点诚实告知中央控制节点其搜集到的日志数据。仿真结果表明,该模型能够有效地激励蜜罐汇聚自身日志数据,从而有效提高工业互联网防御收益和防御效率。