论文研究以国家自然基金资助项目“网络伪装协同安全模型研究”(编号：60503008)为背景。基于B/S模式的Web应用程序部署灵活,对客户端要求比较低,成为基于网络应用程序的主流,随之而来的安全问题也成为网络安全领域的研究热点之一。基于遗传算法、数据挖掘等方法的Web攻击行为特征提取研究中,以网络数据报为数据源,没有考虑所承载的具体业务应用的特征,而在实际应用中,同一模式的Web应用程序可能对应着领域、功能等互不相同的网络应用。为此,本文基于WebDecoy,以具体的业务应用为背景开展针对Web攻击行为特征的提取、检测技术研究,并通过实验验证了相关模型和算法的有效性。论文主要进行了以下几个方面的工作：(1)基于WebDecoy的攻击行为特征提取系统框架设计。该框架由WebDecoy机制伪装的业务系统模块和特征提取及检测模块两部分组成,WebDecoy机制伪装的业务系统模块用来收集进入业务系统受保护对象的数据,并将收集到的数据交给特征提取及检测模块进行分析,实现对Web攻击行为的检测。(2) WebDecoy机制伪装业务系统的设计与实现。文中选择PHPMyAdmin为具体业务系统,通过嵌入监控代码的方式实现对具体业务系统的伪装。主要讨论代码嵌入的位置、如何嵌入代码及嵌入代码功能三个关键问题,最后选择业务系统的数据库为受保护对象,利用面向切面的编程思想和Java.io系统完成代码的自动嵌入,利用PHP提供的函数变量获取进入受保护对象的用户信息。(3)讨论两种攻击行为特征提取及检测技术。一是通过WebDecoy机制收集进入业务系统的Http请求,基于结构联配思想实现对Web攻击行为的特征提取及检测。利用Http请求的典型结构特征,忽略请求中单个字符的差异,把一条请求划分成若干个属性,通过属性的动态比较,得到攻击请求的相似性结构,以此结构作为攻击行为特征实现对Web攻击行为的检测。二是通过WebDecoy机制实现对业务系统中访问请求数据的提取,基于序列模式挖掘实现对Web攻击行为的特征提取及检测。把具体业务系统能够提供的操作进行编号,用户在业务系统内的行为可以由一系列的编号组成,运用序列模式挖掘分析,得出正常行为序列模式和攻击行为序列模式；该方法引入剪枝技术和自学习功能,以提高检测效率和及早发现未知攻击。(4)基于WebDecoy的攻击行为特征提取原型系统设计与实现,并通过实验验证了模型及相关算法的有效性。