随着网络规模的不断扩大、复杂性不断增加、异构性不断增强,网络安全领域出现越来越多的问题,传统的被动防御解决方案暴露出了防御失效、防御机制不全、防御策略缺乏的通病。为了更有效的维护网络安全,我们必须主动探究可能存在的网络漏洞、研究黑客们正在或者可能采用的最新的攻击方法。本文在分析目前常用的主动防御技术的基础上,设计并实现了网络陷阱系统,并提出了一种基于网络陷阱的主动防御体系结构。 文章详细论述了基于网络陷阱的主动防御体系结构的检测、隔离和反击三个功能。检测任务由检测设备完成,不包括在本文的工作中。隔离功能包括:主动引入技术的实现和诱骗环境的实现。主动引入是指在检测设备检测出可疑攻击行为后,系统将其主动引入诱骗环境中。诱骗环境就是论文的重点网络陷阱系统。网络陷阱是一个为转移黑客攻击而专门设计的网络环境。在网络陷阱诱骗机制和主动引入的作用下,将黑客的入侵行为引入到一个可控的模拟环境,消耗黑客的时间,了解其使用的技术和攻击方法,追踪其来源,记录其犯罪证据。网络陷阱的实现包括操作系统的伪装、应用服务的伪装和文件系统的伪装。分析与模拟结果表明:网络陷阱能实现Windows、Linux、Solaris操作系统及FTP、TELNET、WWW等网络基本服务的模拟,可与防火墙、入侵检测系统联动,实现对入侵行为的主动引入及对入侵过程的记录和监控。网络陷阱通过在系统调用层面上对攻击行为进行回应,完成了对攻击者实施欺骗性反击的任务。为了便于网络陷阱的管理,本文实现了网络陷阱的私有接口与标准接口。然后论文介绍了如何利用网络陷阱进行追踪、防御蠕虫、反垃圾邮件等。