高级持续性威胁（APT）攻击是工业控制系统（ICS）面临的最严重挑战之一,因此,探索、分析和防御ICS中APT攻击问题是网络与信息安全领域中重要的研究课题。本论文的研究主要针对现有威胁模型存在的不足、非结构化网络威胁报告（CTR）中提取战术、技术、过程（TTP）难度大、归因技术无法真正确定网络攻击真实来源等问题,利用集成的威胁模型、威胁报告和机器学习等关键技术对ICS中APT攻击的威胁建模、非结构化威胁报告中TTP提取和分类、威胁归因开展了研究。本论文主要研究工作如下:1.针对现有威胁模型无法有效应对复杂网络中状态爆炸、缺乏内部和外部威胁分析以及不适用于ICS网络环境等问题,基于工业控制系统杀伤链（ICS CKC）和入侵钻石模型（Diamond）提出了一个适用于APT攻击的威胁模型ICKC-DMD。该模型使用层次化建模方法,首先提取攻击特征,然后根据这些特征分析攻击事件,并将其映射到ICS环境的不同攻击阶段和体系结构级别,最后将系统风险和潜在威胁以活动线程图的形式绘制为攻击路径。通过实际案例验证,证明ICKCDMD模型可以有效地应对ICS中的APT攻击,并具有更高的适用性和可靠性。2.为了解决从CTR中提取TTP工作繁琐、开销大、效率低、易出错等问题,同时为推动模型阶段性自动化,基于自然语言处理（NLP）和机器学习提出了一种TTP提取和分类方法。该方法将CTR中有关攻击过程的描述映射到ATT＆CK特征标签,以此提取攻击者使用的战术和技术。同时,使用自动规则提取技术将TTP定位到ICKC-DMD模型的攻击阶段,借助ATT＆CK矩阵实现了从基础观测指标（IOC）到高级观测指标（IOC）的映射。最后,通过进行实验评估并与现有方法进行比较,证明了所提出的方法具有显著的优越性。3.为了解决使用基础观测指标如IP、端口和哈希等的归因技术无法真正确定网络攻击来源的问题,基于机器学习提出了一种通过攻击模式识别攻击者的威胁归因方法。首先将从威胁报告中提取的TTP作为特征向量,并进行矢量化处理与特征选择,其次构建攻击者与TTP之间的关联关系,并以此训练和测试六个机器学习分类器。经过实验评估,其中Light GBM分类器以更高的准确性对网络威胁进行了归因,有助于识别攻击者的来源,使决策者能够及时做出最佳防御决策。