蜜罐技术是一种新兴的基于主动防御的网络安全技术,目前日益受到人们的关注,发展前景广阔。蜜罐是一种网络安全资源,它通过监视入侵者的活动,使我们能够分析研究入侵者所掌握的技术、使用的工具以及入侵的动机,从而提高我们的网络安全防御能力。蜜罐网络简称蜜网,是蜜罐技术的一种高级实现形式。蜜网一般是由防火墙、入侵检测系统和蜜罐主机等多个设备组成的网络系统,但也可以借助于虚拟机软件在一台物理主机上实现虚拟蜜网。 本文分析研究了蜜罐技术的基本原理,重点对蜜网进行了深入地研究。作者在论文中所做的主要工作如下: (1) 在分析了国内外同类研究成果的基础上,构建了一个以研究为主要目的的虚拟蜜网,设计并实现了该蜜网的数据控制、数据捕获、报警等功能。 (2) 在蜜罐本身的数据捕获方面,在分析比较现有解决方案的基础上,开发了MyBash作为蜜罐本身数据捕获的解决方案。MyBash综合了现有解决方案的众多优点,不仅可以记录入侵者的击键信息,还可以记录击键回复,并通过串口将捕获的数据转储到日志服务器。MyBash为蜜网的研究人员提供了实现蜜罐数据捕获的一种解决方案。 (3) 对蜜网的报警机制进行了改进,提出了通过手机短信报警的思路。通过对现有发送手机短信软件SMM的协议分析,采用模拟该软件数据包的方法,验证了蜜网使用手机短信报警的可行性。 (4) 对所设计的蜜网的数据控制、数据捕获、报警和IP空间欺骗等功能进行了系统的测试。