随着互联网的快速发展,由各种层出不穷的网络攻击带来的网络犯罪也日益猖獗,如何有效的遏制网络犯罪成为越来越多研究人员研究的热点问题。传统的网络安全技术大多局限于对网络攻击的防御,难以实现对网络攻击证据的收集和分析。当网络系统受到攻击之后,网络管理人员对攻击者往往束手无策,难以发现攻击者的入侵痕迹。虚拟蜜罐技术可以收集网络攻击数据,并将捕获到的数据用于网络攻击行为分析和网络取证分析。为了建立一个良好的网络安全体系,解决网络攻击证据获取难,网络攻击证据分析难等问题,对基于虚拟蜜罐的网络攻击行为分析与取证技术进行深入研究是有重要意义的。本文对虚拟蜜罐技术进行了深入的研究,分析了虚拟蜜罐在网络攻击数据捕获当中的重要作用。对常用的网络攻击行为分析技术进行了比较分析,发现机器学习算法在网络攻击行为分析中有更好的适用性,通过实验对现如今比较流行的机器学习算法K近邻、C4.5决策树和朴素贝叶斯进行了验证,结果发现这三种机器学习算法对网络攻击的分类识别都有不错的效果,其中K近邻的检测效果更好。同时,本文分析了现有网络取证技术的不足,提出了一种基于模糊关联的网络取证方法,阐述了其在网络取证中的可行性和优越性。采用了 KDDCUP99数据集进行了验证,实现了对入侵者攻击过程的取证分析。而且,相比于传统的基于Apriori关联规则挖掘的网络取证方法,本文提出的网络取证方法避免了数据的冗余,产生了更多对网络取证有价值的规则,占用计算机的物理内存更少。在上述研究的基础上,设计了一个基于虚拟蜜罐的网络攻击行为分析与取证系统,通过实验,验证了本系统在对网络攻击证据的捕获、网络攻击行为的分类识别、网络攻击过程的还原和对攻击者IP进行追踪的取证分析上的可行性以及较好的应用价值。