由于主流的网络威胁逐渐从大范围无差别的蠕虫和电子邮件病毒攻击转向针对个体的以谋取利益为目的的入侵型黑客攻击。传统的数据鉴别、防火墙、数据加密和认证等安全防护技术在手段上较为被动。蜜罐系统一种能够主动防御网络攻击的技术,它是一种通过伪造攻击目标,诱骗攻击者攻击,从而实现保护实际目标的技术。本文将通过设计和实现蜜罐系统来对该系统进行研究。为了满足实用性的要求,本文采用产品型蜜罐Honeyd作为设计和实现的蜜罐系统的核心。Honeyd蜜罐具有精致小巧,安装便捷,功能强大,实用性强等特点,非常适合作为一个产品化的蜜罐工具。然而,随着技术的发展,Honeyd蜜罐不可避免的会存在一些问题。本文在研究Honeyd蜜罐和蜜罐系统的实际开发过程时,发现其存在如下问题:1. Honeyd所使用操作系统指纹库过时。确定目标主机的操作系统是攻击者进行攻击活动的前奏,基本上是攻击过程的必备步骤,对攻击者的后续攻击活动有着决定性意义。通常,攻击者是通过操作系统的指纹技术来确定目标主机的操作系统的。因此,对于蜜罐系统来说,伪造虚拟主机指纹是一个非常重要的功能。Honeyd使用的是Nmap的指纹库,Nmap是目前最为权威的扫描器之一,其强大的操作系统指纹库使得它对操作系统的指纹扫描精度极高,许多黑客都使用Nmap来确定目标主机操作系统。然而,由于扫描器技术的快速发展,而目前的Honeyd仍然使用上一代Nmap的指纹库,从而新版本的Nmap无法检测出Honeyd虚拟主机的操作系统,使得Honeyd的功能失效。因此,本文在现有Honeyd蜜罐的基础上,进行指纹库的升级,使之可以适应新版本的Nmap。2. Honeyd蜜罐的识别技术使得蜜罐系统失效。蜜罐系统是一种基于虚拟系统和协议的技术,它和真实系统总存在着无法避免的区别。因此,妄图攻击的黑客们利用这种区别来识别出蜜罐系统,使得蜜罐系统失去功效。目前,已经有许多针对蜜罐的识别技术出现。本文选择其中针对Honeyd的识别技术做简要介绍,并给出相应的反识别的方案。本文介绍了蜜罐系统的基本原理,着重介绍了Honeyd蜜罐,设计和实现了基于Honeyd的蜜罐系统,并针对Honeyd蜜罐的上述问题进行改善。本文所实现的系统参加了2010世博会的安全保障工作。本文在最后部分介绍了世博运维的部分实际数据。