蜜网是一种故意设计成有漏洞,引诱攻击者攻击,从而捕获攻击者行为的主动安全防御系统,这些捕获的数据为安全管理人员后续的安全维护提供了很好的帮助。但是蜜网中的安全设备很多,每天都会产生大量的报警日志,如何对这些报警日志进行充分高效的利用是当前研究的一个热点。为此本文开展了蜜网协同防护关键技术的研究,重点研究了面向蜜网的攻击事件融合算法和攻击场景构建算法,具体研究内容如下:(1)提出了基于冲突系数的攻击事件融合算法。在蜜网中,大量的报警日志有很多是重复和误报,为了更加准确的分析蜜网面临的安全威胁必须先将无用的报警日志去除,利用报警日志本身的特点,首先通过数据清洗排除掉那些属性不完整以及重复的的日志,然后选择可以准确描述攻击信息的日志属性,根据同一次攻击中各安全设备产生的报警日志相似度很高的特点,利用日志属性相似度隶属函数对报警日志进行聚合处理,从而大大的降低了误报和重复报警日志数量,并且将这些日志都规约到了同一次攻击中。最后基于蜜网系统中不同安全设备之间的冲突,改进了数据融合中的融合规则,提出了基于冲突系数的攻击事件融合算法。并通过实验验证了该算法在多源网络安全设备系统中数据融合的高效性与准确性。(2)提出了基于攻击过程的攻击场景构建算法。利用数据融合后的攻击事件构建攻击场景,由于攻击技术和攻击手法的改变,无法有效的将各个攻击事件进行逻辑层面的连接,导致最后构建的攻击场景出现了断裂或者存在孤立攻击事件的情况。针对这一问题,本文提出了一种在蜜网环境下基于攻击过程的攻击场景构建算法,可根据知识库中的攻击过程模型匹配,与本文提出的攻击事件关联图数据结构进行有机的结合,精准的将攻击者的每一步攻击意图和攻击手段描绘出来。并通过实验验证了该算法对于蜜网中攻击场景构建的高效性和准确性。(3)在现有的第三代蜜网系统架构基础上,设计开发了蜜网协同防御系统,并在该系统中使用本文面向蜜网的攻击事件融合算法和攻击场景构建算法,实现了协同防护功能。本文对蜜网协同防护系统中的日志接入模块、日志处理模块、事件融合模块、场景构建模块分别进行了详细的设计描述。通过系统测试,展示了本文提出了两种算法在实际应用中的效果。