本发明涉及一种工控蜜网诱捕方法，更具体的说，尤其涉及一种基于蜜罐技术和计算机动态取证技术的分布式可切换工控蜜网诱捕方法，捕获入侵者对工业系统的攻击行为，并通过行为特征库比对和定制木马技术溯源入侵者的身份。包括以下步骤：(1)第三代网络数据采集引擎(Colasoft Packet Capture Engine，简称CSPCE)和底层驱动(支持Windows与Linux双平台)对数据进行采集；(2)将PCAP文件中的数据包以及数据包的时间戳读取出来并导入；(3)使用存储引擎(Colasoft Storage，简称CSStorage)技术对数据进行储存；(4)特征识别技术以及行为模式识别技术对数据进行回溯分析。