云环境下的安全和防御一直都是安全领域的热点研究方向。使用蜜罐发现已知和未知攻击是目前主要的防御手段之一。但是目前蜜罐的研究和利用方法,主要是从蜜罐本身的部署和检测出发,对于蜜罐所处的用户环境没有做太多的考虑,这就导致了防御是相对被动的。例如虽然有高交互类型的蜜罐,但依然是以假想的用户环境配置蜜罐,与用户的真实环境相差较远,降低了对恶意攻击的检测效果。因此提出了云环境下动态蜜罐的设计和实现方法,蜜罐能够对用户的真实环境进行动态的创建和模拟,希望能够进一步完善云环境下恶意代码攻击的检测效果。云环境下动态蜜罐的设计和实现主要分为三个部分:(1)如何拦截可疑程序:自动化截获云环境下网络流量中的程序,并通过静态扫描判定其中的可疑部分。(2)基于行为的可疑程序快速检测:将截获分析出的可疑程序,通过快速扫描,收集可疑程序的行为信息,并根据行为信息对可疑程序进行分类,导入蜜罐中进行详细分析。(3)模拟用户环境的动态蜜罐创建:通过获取用户主机的信息,模拟生成相同环境的蜜罐,用于可疑程序的详细分析。依照上述方法,实现了云环境下动态蜜罐的原型系统,并对原型系统进行测试:收集了典型的正常程序和恶意样本进行多级检测,原型系统能够有效地检测出恶意程序中包含的可疑行为特征,并对恶意样本和正常程序进行区分。通过使用两类恶意样本wannacry和keylogger进行动态蜜罐和静态蜜罐检测效果的对比,证明了动态蜜罐检测的有效性。