随着互联网行业的高速发展,各种网络攻击手段也在不断进步,网络安全正遭受着越来越严峻的考验。以防火墙、入侵检测技术为代表的被动防御方式渐渐无法满足网络安全的需求,于是研究人员提出了一种主动防御的思想,其代表技术就是蜜网技术。然而自诞生以来,传统蜜网一直存在一些缺陷,如无法根据攻击态势动态变化、部署复杂等,这大大制约了蜜网技术的应用。近年来诞生出的SDN技术具有高灵活性和可编程性,恰好可以弥补传统蜜网的不足,这为蜜网技术的发展提供了新的突破口和思路。本文首先回顾了蜜网技术发展的各个阶段,探究了蜜网技术的弱势和局限性,随后对SDN技术进行了研究,发现其灵活性、强数据控制能力和可编程性恰好可以弥补传统蜜网的不足。本文还对一些已有的SDN与蜜网结合的方案进行了探讨,发现这些方案均存在告警冗杂混乱且不易分析、蜜罐被攻破后带来较大安全威胁的问题。基于以上问题,本文所做的主要工作包括以下几个部分:(1)针对当前蜜网系统告警冗杂混乱的问题,本文提出了递进响应式蜜网机制,由拓扑模拟、漏洞利用、蠕虫捕获三个功能模块对拓扑扫描-漏洞利用-蠕虫植入的攻击链进行层层递进响应,使得产生的告警以模块划分,更加清晰且易于研究人员进行分析。(2)针对蜜罐被攻破后的安全性问题,本文提出了基于攻击树阶段检测的蜜罐切换策略,构建攻击树模型,建立攻击行为与攻击树节点的对应关系,将攻击拆分为不同阶段,并在到达新阶段时切换与攻击者连接的蜜罐,延缓其攻击进度,为防御方采取业务网保护措施争取反应时间。(3)基于递进响应式蜜网架构,本文设计并实现了基于SDN的蜜网主动防御系统。设计了实验对系统的功能和模块进行了验证,对原型系统进行了展示,最后与其他蜜网系统进行对比,证明了本系统在部署方式、数据控制灵活性、告警繁杂程度、蜜罐诱骗性四方面都具有优越性。