互联网的飞速发展极大满足了人们信息交流的需求,促进了科技、教育、文化等方面的快速发展,并成为人们日常工作、学习和生活中不可或缺的部分。互联网技术在给人们提供服务的同时,也不断的带来各式各样的问题,对信息安全产生严重的威胁。互联网的良性发展得益于不断改善的入侵检测技术。入侵检测技术成为一种应对网络安全问题的有效方法,主要得益于其可以搜集网络上计算机系统中不同结点的有效性信息,分析和检查网络中是否存在恶意入侵行为和迹象。常用入侵检测技术侧重对系统的“静态”保护,对未知的攻击行为无法及时应对。主动积极的应对未知攻击行为已经成为网络安全领域的一个挑战。利用蜜罐技术构建主动的防御体系,可以在此问题上有所助益。作为对传统网络安全技术的补充,蜜罐技术提高了入侵检测技术和防火墙在应对攻击时的主动性。本文在分析入侵检测技术和蜜罐技术现在发展情况和现有缺点的基础上,提出了一种混合蜜罐体系来对未知行为进行检测和防御,并利用数据挖掘技术对蜜罐收集到的数据进行处理,找出其内在的联系,生成新的入侵检测规则,更新入侵检测规则库。通过对比分析改进后的入侵检测技术与传统入侵检测技术的实验结果,可以看出改进后的技术比传统技术在检测的准确率上提升了7.89%,误报率和漏报率上分别降低了2.54%和2.88%。本文的具体工作如下:（1）由于混合蜜罐捕获数据量大、噪声多、维度高,在聚类时如果初始聚类中心选取不当,则会降低聚类的准确性,因此本文提出了基于自适应布谷鸟算法的模糊聚类算法。该方法利用自适应布谷鸟算法找到最优的聚类中心,改善了模糊聚类算法对初始点选取依赖的弊端,提高了聚类算法整体的聚类性能。（2）在改进聚类算法的基础上,对混合蜜罐收集到的无标签数据进行聚类处理,根据混合蜜罐中攻击数据量远大于正常数据量的特点,将聚类结果标记为正常行为类和异常行为类,并利用关联规则算法对异常类进行规则提取。并根据入侵检测规则库的格式,对生成的强规则进行转换,并补充到入侵检测规则库中。（3）对基于混合蜜罐的入侵检测实现系统在VMware虚拟平台上进行了实现,包括入侵检测部分、混合蜜罐部分、数据挖掘部分,并展示了各部分的结果。最后对整体架构的性能进行了测试,实验结果表明该系统可以实现对未知攻击的检测,对敏感端口攻击检测的准确率达到91%。