蜜网在短时间内会产生大量原始告警,产生的原始告警中包含大量误报、漏报和冗余告警,而且原始告警语义级别低,告警间相互独立,不能提供给用户直观有效的信息。如何对蜜网内捕获到的数据进行分析,分析出攻击者攻击行为是蜜网技术研究中的难点之一。攻击图不仅能识别相应特定目标网络中的脆弱性,而且能识别脆弱性之间的关联关系,从攻击者的角度以图形化的形式模拟一个系统可能受到的所有攻击路径,能够有效弥补传统告警分析中的不足,适用于描述多步骤的网络攻击。1)本文研究了攻击图技术,提出将攻击图应用于蜜网攻击行为分析研究,弥补传统告警分析没有结合具体网络环境的不足。2)本文研究了聚类分析算法,对算法进行改进,将其应用于告警关联分析,对告警进行划分。3)本文研究了攻击图编码序列生成方法,提出了基于AG DFS编码的攻击图序列生成方法。该方法改进了基于无向图的DFS编码,使其适用于有向的攻击图。在以上研究的基础上,本文提出了基于蜜网的攻击行为分析模型。该模型分为两个阶段,在离线攻击图编码序列生成阶段,通过建立攻击图知识库,对已知攻击图进行编码,为告警的关联分析做准备。在线告警关联阶段,对告警进行预处理等细化操作,结合网络信息和拓扑信息进行攻击图编码序列的告警深度关联。本文设计并实现了基于攻击图的攻击行为分析系统,并搭建了蜜网实验环境,实验结果显示该系统能有效的捕获告警信息并对告警进行基于攻击场景的关联分析,验证了系统的可行性。