數字取證已成為信息安全和司法領域的研究熱點，文中在深入分析各種Web攻擊行為的基礎上，利用蜜罐搭建了當前流行的Web服務器系統，綜合利用基于主機和網絡的入侵檢測技術,開發出一套高效實用可控的Web數字取證系統。該系統通過多個分布式取證代理不斷監視和分析網絡中對Web服務器的訪問情況，在構建高度可控的Web服務器基礎上，確定網絡入侵者的行為是否已構成犯罪，然后提取和分析入侵犯罪信息，實現證據信息的完整性保護，同時通過對證據進行融合，生成入侵犯罪證據。
近年來，隨著全球信息化、網絡化大潮的推進，以計算機網絡信息系統為犯罪對象和以計算機網絡信息系統為犯罪工具的各類新型數字犯罪活動愈演愈烈。美國、英國、德國、韓國的黑客曾利用Internet網絡分別進入了五角大樓、美國航天局(NASA)、北約總部和歐洲核研究中心的計算機數據庫[1]。以2001年在法國召開的第13屆全球FIRST[2]（Forum of Incident Response and Security Teams）年會（此次會議的中心議題是入侵后的系統恢復和分析取證）為標志的取證研究，逐漸成為世界各國信息安全和司法領域研究與關注的焦點。
蜜罐的思想最早出現在九十年代初期，由網絡管理員所應用，通過欺騙黑客達到追蹤的目的。1998 年著名計算機安全專家Fred Cohen 發布了著名的蜜罐工具DTK（欺騙工具包），并于2001年在理論層次上給出了信息對抗領域欺騙技術的框架和模型[3]。蜜罐技術是一種對攻擊者進行欺騙的技術，通過布置一些作為誘餌的主機、網絡服務以及信息誘使攻擊者對他們進行攻擊，減少對實際系統所造成的安全威脅，更重要的是蜜罐技術可以對攻擊行為進行監控和分析、取證，了解攻擊者所使用的攻擊工具和攻擊方法，推測攻擊者的意圖和動機，從而能夠在以后更有效的提取數字證據。
DFRWS（Digital Forensic Research Workshop）對數字取證的定義[4]是：把經過科學手段推導和驗證的方法，應用到對源自數字來源的數字證據的保存、收集、確認、識別、分析、解釋、文檔編制和呈現中去，以簡化和促進犯罪事件的重建，或幫助預見有破壞性的非授權行為。
按數字證據發生的時間不同，將數字取證分為事后取證和實時取證[5]。隨著網絡犯罪技術的提高,事后取證已無法適應要求,解決方案是進行實時取證。實時取證,也稱動態取證,是指利用相關的網絡安全工具,將防火墻、入侵檢測技術和取證技術結合起來，實時獲取網絡數據并以此分析攻擊者的企圖和獲得攻擊者的行為證據。基于蜜罐的數字取證系統是用真實的系統、應用程序、服務和虛假的“敏感”信息來與攻擊者進行交互，來獲取入侵者證據的系統，它具有真實性、可控性、高效性和完整性。