本发明属于互联网技术领域，公开了一种工业控制系统入侵检测线索分析溯源方法、系统及终端，采集工业控制系统中网络数据的传输流量，对传输流量进行预处理形成数据集并训练孤立森林；判断网络数据的传输流量是否正常，若流量异常，则计算各特征的异常贡献度，向相关技术人员报警并提供各特征的异常贡献度。本发明提供的基于孤立森林的工业控制系统入侵线索分析溯源方法，根据工控系统运行的网络数据的传输流量，判断是否出现入侵行为，保证系统安全可靠，并能在发现入侵行为时，为工程师提供线索，便于相关人员及时处理，还能够解决机器学习算法检测网络攻击时无法提供有效攻击线索的问题，快速判断受到的攻击类型，及时采取有效的应对措施。