攻击者溯源是攻击组织识别的关键方法,特别是工业控制系统(ICS)作为关键设施,需要精确的攻击者溯源来提高ICS防护能力。现有的IP溯源技术需要对路由设备进行更改,并存在着设备开销大、溯源精度差、无法处理多IP关联攻击事件以及有效验证难等弊端。此外,大量的现有攻击手段多采用攻击代理来完成,也为传统的IP溯源技术带来了严峻挑战。事实上,目前多数工控系统攻击是有组织、有规模的攻击行为,攻击者并非单一个体。因此,对于攻击组织进行全面的溯源在实际的生产安全方面具有更高的价值。本文在攻击者溯源领域提出了同源攻击分析的方法,将具有相同攻击者信息或者相似攻击特征的攻击定义为同源攻击,具有同源攻击特征的攻击者被判定属于同一攻击组织。本文通过长时间、大规模地部署分布式工控协议蜜罐,收集互联网上针对工控设备的恶意流量进行实验,展开同源攻击分析。同源攻击分析方法的意义在于可以加强现有安全系统的隔离能力,有效保护国家基础设施、重要工业企业的安全。本文通过分析工控Modbus协议蜜罐数据包报文信息,结合Modbus协议规约,提出一种基于工控协议功能码序列的同源攻击分析方法,找出攻击行为相似的恶意IP所属组织,以此提高IP溯源的效率和准确性。首先,本文根据数据包内基于统计信息的功能码粗粒度特征,生成粗糙集;其次,对功能码序列特征进行建模,量化攻击行为,得到基于功能码序列的细粒度特征;最后,通过构建基于攻击行为的聚类模型来分析同源攻击。实验方面,本方法在判别威胁情报库中识别的shodan IP,具有100%的精确度和召回率,而对于其余恶意IP所属组织的判别,如plcscan、censys、密歇根大学等,精度达到91.065%。基于工控Modbus协议蜜罐数据流信息,本文提出了基于CNN-LSTM的工控协议同源攻击检测方法,通过对数据流特征的提取,运用CNN和基于注意力机制的LSTM网络,对Modbus的流量进行特征学习。基于BP反向传播算法和激活函数,对模型的注意力矩阵权值进行迭代寻优,之后生成分类结果。基于无监督的学习以及有监督的微调处理,对模型进行优化。相比较其他方法,本方法具有更高的准确率和F值,对处理离线工控蜜罐数据具有相当的优势,准确率达到93.7%。经过基于CNN-LSTM的工控协议同源攻击检测方法,发现了包括shodan,cencys这类知名设备搜索引擎在内的10个组织,涉及到的IP节点超过200个。