随着Internet的快速发展,网络安全问题也日益严重,新攻击层出不穷。怎样面对这些新攻击已经成为网络安全的一个研究重点。现有的防御黑客攻击的措施主要是基于已知的事实和攻击模式的入侵检测系统,其防护能力很大程度上取决于特征库中特征码的数量和质量。所以,如何快速提取出攻击特征码并将其加入入侵检测系统中,是面对新攻击最重要的方法。当前,那种依靠网络安全专家以事后分析的方式来提取特征码的方法已经无法适应现在的网络环境了。人工提取特征码的缺点是过程长,速度慢。攻击特征码自动提取技术就是为了在没有人工帮助的情况下,快速提取出新攻击的特征。因此,特征自动提取技术具有非常重要的实际意义。通过对蜜罐和蜜网技术的研究,依据它们捕获数据价值高的特点,本文设计了一种基于蜜网的攻击特征提取模型,分析和实现了该模型包括的蜜网系统、数据采集、数据处理和特征码提取四个模块的基本功能。此模型利用虚拟机软件VMWare实现了一个虚拟蜜网系统,综合了虚拟蜜网的优势,利用此虚拟蜜网引诱入侵者,然后利用工具TCPdump和Sebek分别捕获网络流数据和系统内核级数据,网络数据可以用来分析攻击特征,系统数据可以用来分析黑客的行为。模型还实现了对捕获的网络数据进行协议分析,得到数据的有效载荷,将处理后得到的攻击数据样本统一存储在MySQL中,利于对数据的分析。最后在特征码提取上提出了一种迭代LCS算法,并通过实验验证了此算法的有效性。