随着通信技术和计算机技术的日益发展和普及，计算机网络已经成为了人们生活和信息交换的重要手段。网络信息安全显现的问题，已经影响到个人和公司的切身利益。面对越来越严重的安全威胁，能够发现网络中存在潜在问题和威胁才能防患于未然，减少损失。而传统的被动防御的网络安全技术显然无法达到这一点。蜜罐技术弥补了这一空白，变被动防御为主动防御。蜜罐是一种系统资源，本身并不具有任何产品价值，它的价值在于被探测和非法使用。使用蜜罐技术的目的就是吸引攻击者攻击，当攻击者进入蜜罐后，对攻击者予以监视并且分析攻击者对蜜罐系统探测、危害、攻击等入侵行为，收集分析入侵者在蜜罐系统中的各种数据，从而总结出攻击者的手段和意图。然而，目前的蜜罐部署昂贵而且管理复杂，特别是在大型的组织机构网络中。本文紧密围绕着各类蜜罐的优缺点进行研究，把注意力放在提高蜜罐系统的可扩展性和灵活性上，通过引入一种新的混合蜜罐的结构。这种混合蜜罐结构同时吸取了高交互蜜罐和低交互蜜罐的优点，自动过滤和节省资源，减少了数据收集规模同时允许研究人员动态指定收集他们希望类型的攻击。混合蜜罐最主要的两个模块就是决策引擎模块和数据重定向模块，决策引擎解决了数据过滤问题，重定向模块解决了数据的重定向。其次就是数据诱骗模块，进行大量数据的收集工作，实现了低交互蜜罐honeyd的可扩展性。混合蜜罐系统的防火墙、低交互蜜罐、混合蜜罐网关上配置的入侵检测系统、高交互蜜罐共同实现了数据捕获功能。然后根据入侵检测系统、低交互蜜罐的日志数据和高交互蜜罐收集的攻击行为实现攻击特征的提取。