随着计算机网络的快速发展,入侵检测这种传统的被动防御技术,已不能满足日益复杂的网络安全的需求。它急需与其它技术进行融合与协作。一方面目前入侵检测系统还不是很完善,如何降低入侵检测的误报率和漏报率的问题亟待解决。另一方面,蜜罐作为一种新兴的主动防御技术,具有收集数据量小、价值高,能检测到未知攻击等优点。因此,蜜罐与入侵检测系统之间的协作是一个非常值得研究的问题。针对当前入侵检测存在的缺陷和不足,本文分析了蜜罐、决策树以及入侵检测的工作原理,并对三者之间进行协作的关键技术方面做了重点研究。本文的主要工作和成果如下:①针对蜜罐和决策树算法的优势结合现有入侵检测的问题,提出了基于决策树的入侵检测与蜜罐协作模型IDMDT(Intrusion Detection Model based on Decision Tree and Honeypot)。在该模型中,通过引入蜜墙在保证了内部网络安全的同时可以很好的迷惑入侵者;蜜罐系统由真实蜜罐和虚拟蜜罐组合而成,可以使两者取长补短,并有效地避免了单点失效;在数据安全存储方面,把捕获后的数据通过网络传到远程的日志服务器中存储;在提取规则方面,选用提取规则迅速可靠的C4.5算法,加快了捕获数据转换为入侵规则同时加速了入侵检测规则库的更新。②考虑到目前入侵检测收集的数据中连续属性存在较多不相关和冗余属性,且对连续属性的分析较为困难等问题,提出了基于粗糙集的连续属性选取,减少了要分析的连续属性数量,方便了挖掘算法的执行。针对C4.5算法在进行连续属性入侵判定时准确率不高的问题而提出改进算法K-C4.5。为了验证改进算法的性能,对提出的改进算法进行了实验分析。实验结果表明所提出的算法在针对连续属性较多、数据量较大的情况下较C4.5的算法有一定性能上的提高。③结合常用的工具如Honeyd、Snort、Sebek等,在现有条件下搭建实验环境,并对本文的协作模型进行了模拟实验。模拟结果显示本文设计的入侵检测与蜜罐的协作模型可以较迅速的将入侵数据转化为入侵特征库中的新规则,因此该模型便于发现新的入侵规则,比常见的入侵检测系统在降低误报率、漏报率方面都有一定的优势。最后,对本文所作的工作进行了总结。虽然本文设计的模型相比以往的模型有一定改进,但是还有许多问题没有解决,如怎样增加蜜罐的甜度等,所以接下来还需要做更多的研究和分析。