随着“工业互联网”和“两化融合”战略规划的推进,工业控制系统的开放式和分布式连接使得其面临更多的信息安全问题。攻击场景还原是工控系统安全防护体系的重要组成部分,通过对告警信息进行分析实现攻击机理的探究和系统薄弱环节的发现。告警信息具有高度冗余且无效数据占比大的特点,且分析过程中对专家依赖性较大。可视化技术可以将人类面对视图信息的感知能力和计算机的分析能力进行有效融合,辅助分析人员理解和优化攻击场景还原过程。本文探讨了攻击场景还原过程中数据、模型、知识三个层级的可视化需求,提出了面向攻击场景还原的多层级可视化框架,主要对模型和知识层级的可视化应用展开研究,具体阐述如下:（1）针对原始告警信息高冗余、低质量的问题,提出基于可视化交互的误报消除模型优化方案,打破模型的“黑箱”模式,凭借交互手段引入专家经验实现模型的迭代优化。在预处理过程发现挖掘正负样本的群体特点,在特征选择过程中综合多种排名算法筛选关键特征并调整特征投影矩阵获得最优布局投影视图,在模型构建过程中基于样本分布特点选择合适的参数对支持向量机分类器进行优化;（2）针对攻击路径推理过程对先验知识具有强依赖性的现象,提出了基于知识可视化的攻击路径关联及推理方案,实现对安全知识的具象化表达。该方案凭借知识图谱技术对多维度知识进行有效的组织和关联。在路径推理阶段,通过对知识图谱的查询回溯引入专家知识指导贝叶斯网络模型的构建,基于关联分析得到的告警证据对其进行动态修正,最终通过该模型完成攻击路径的推理。本文基于对DAPRA 2000数据集重放得到的告警数据集实现了误报消除模型的离线训练,基于工控系统半实物仿真平台所产生的告警信息实现攻击路径的在线关联及推理。通过以上实验分别验证了模型和知识层级可视化方案的合理性和有效性,体现了攻击场景还原过程中可视化技术的应用价值。