物联网,即“Internet of Things”（IoT）,是一种通过互联网将各种计算设备、电气设备、机械设备与传感器相连接,实现智能感知与控制的技术。近年来,随着IoT技术与设备的广泛应用以及相关产业的迅速发展,具有较强计算能力的IoT边缘计算设备数量在近几年内迅速增长。在IoT生态繁荣发展的同时,平台与软件缺乏维护与漏洞修复机制的隐忧也在逐渐显现出来。扫描散落在各处的IoT设备、通过病毒程序组成僵尸网络并发起大规模的分布式攻击也就成为了地下产业利用IoT平台发起攻击的最主要方法。在互联网安全行业中,为了在互联网上采集活跃的僵尸网络的信息、测量并感知其扩散与进化过程,研究人员需要采用特定的工具进行采集,并将可以表征这些最新攻击的情报提供给安全服务的用户。蜜罐是此任务中最常用的一种工具。在为蜜罐系统构建诱饵模块时,为了引导攻击者完成注入动作,需要在诱饵模块中实现特定的响应策略来模拟目标设备的行为。同时,为了保证攻击流程的顺利执行,蜜罐的响应策略还需要尽可能地与其内部实现相匹配。然而,由于攻防双方的内部实现细节通常都不会向第三方公布,在IoT的软硬件生态多样性极高的情况下,使用人工的手段通常难以构建符合实际情况的响应策略,无法针对多样的IoT协议实现通用的模型,且难以在高仿真度和可维护性中保持平衡。在尝试使用既有交互行为数据构建交互策略的过程中,对报文应用基于概率的模糊识别方法,有时也不能反映出报文内部的语法和语义信息,进而对响应策略的构建带来一定的不利影响。在IoT设备与僵尸网络的行为模式不断发展变化、多样性不断增加的背景下,为了进一步探索如何为蜜罐系统构建响应策略,并在此过程中进一步减少人力的介入,本文对相应的理论与方法展开了深入的探究,并进行了以下工作:（1）针对缺乏包含报文语法和语义知识的已标记数据、难以对其向量化表示与归类处理的问题,本文基于自然语言处理领域的多种经典方法提出了一种半监督分类方法。该方法以直接应用于传入报文的传输层载荷上,将传入报文视作文本,从中提取向量特征。本方法首先收集一定量的数据其用作提供先验知识的训练集,在其基础上应用谱系聚类算法生成基分类器。将训练得到的基分类器应用在蜜罐的交互过程中,从而对新获得的报文进行实时分类。实验证实,在不具有相关应用层协议的先验知识的前提下,该方法可以有效地识别出具有不同语义信息的报文,并有效地评估报文内部字段的语义重要性。（2）在构建适应性响应决策模型的过程中,针对难以识别报文真实语义的问题,在应用报文重放方法的基础上,本文提出了一种可感知语法和语义的策略构建方法。该方法通过收集并学习真实IoT设备与攻击者的交互过程,挖掘历史数据中请求报文与响应报文的对应关系来构建响应模型,并且通过历史交互数据评估当前响应策略的合理性,以识别得到的活跃字段为依据构建决策树,优化其内部策略。最终使蜜罐系统在响应恶意请求时逐步摆脱对真实IoT设备的依赖,同时又能保证响应能够被攻击者接受。（3）针对蜜罐响应策略不够灵活、只能以整条报文为基础单元进行粗粒度的响应决策的问题,本文提出了一种基于响应报文重组的策略构建方法。该方法对同类请求所对应的有效响应进行基于稳定片段的整合或重组,从中筛选出高频度的报文片段或规律信息,表示同类响应报文的语义信息,并以此为基础生成更为多样的响应报文。综上所述,本文提出了一种自适应蜜罐系统,该系统利用半监督机器学习技术从不同的设备中学习多种协议的响应策略,在为物联网蜜罐构建适应性响应策略方面提出了有效的解决方案,对改进样本捕获方法、提高捕获效率与降低后续的研究成本具有重大意义。