随着互联网的不断发展,针对网络的攻击活动也越来越频繁,网络安全的重要性越来越突出。蜜罐是能够进行主动防御的安全工具,因而得到广泛应用。蜜罐的本质是通过模拟一些具有漏洞的服务来吸引攻击者进行攻击,从而可以捕捉攻击者的数据。对攻击者的行为进行分析,了解攻击者的攻击意图和动机,使生产系统可以及时通过技术手段对可能面临的威胁进行安全防护。因此,针对蜜罐中的数据进行异常分析显得极为重要。通过对蜜罐流量数据进行分析来发现威胁,首先需要对面中的原始数据进行预处理,然后进行特征选择,选择可以明显区分正常和异常的特征子集,然后选择合适的异常检测方法进行检测模型的训练。针对以上环节,本文提出了相关解决方案,主要工作及创新点如下:(1)提出了针对蜜罐中数据不平衡的特征选择算法。针对传统的特征选择方法大多没有考虑到正负样本不平衡的情况,用于蜜罐中进行特征选择不能够很好的选择出好的特征,本论文提出了基于最大化AUC和最小冗余原则的特征选择算法,使用AUC值计算特征与类别的相关性,使用最小冗余原则进行特征冗余去除。实验表明,该算法可以有效降低特征维度并且使得异常检测模型的预测结果具有较高的可靠性,并且能够提高异常检测模型的训练速度。(2)提出了基于代价自适应的提升树的异常检测算法。该方法针对蜜罐中数据样本不平衡的情况,在AdaBoost算法的基础上考虑了分类错误的不同代价,引入了代价函数,并使用决策树作为基分类器。实验表明,该算法适合蜜罐中的流量数据,可以提高蜜罐中数据异常检测的准确率。(3)最后以低交互蜜罐Nepenthes中的流量数据为例,设计实现了一个基于蜜罐的异常检测子系统。使用基于最大化AUC和最小冗余原则的算法进行特征选择并且使用基于代价自适应的提升树的异常检测方法进行检测模型的训练。得到一个准确率较高,并且能够自适应的异常检测模型。