蜜罐技术是一项网络安全技术,它不同于防火墙和入侵检测系统。它通过被扫描、被攻击或攻陷从而获取攻击者的攻击方法和攻击工具。随着互联网应用范围的不断扩大,网络安全正面临着前所未有的挑战。传统的防火墙和入侵检测系统受其自身特性影响对很多网络攻击事件无能为力,蜜罐技术作为一种新兴的网络安全技术以其独特的思想,很快在网络安全体系中脱颖而出。蜜罐识别技术的研究目前尚处于起步阶段,通过对一些现有的识别技术的研究,发现现有的蜜罐识别技术和工具功能有限、局限性大,对系统版本的更新换代支持不够,特别是在Windows操作系统下的蜜罐识别技术研究则更加欠缺。本文以Windows操作系统下的虚拟高交互蜜罐系统为研究对象,提出并改进了对Sebek数据捕获软件的识别方法,制作了软件综合检测平台Honeypot Detection。首先,通过对Windows操作系统下的高交互蜜罐的研究,建立了以VMware虚拟机软件为虚拟环境基础的Honeynet蜜罐网络环境。对在VMware虚拟机软件基础上建立的由Windows操作系统所构成的虚拟环境的四种检测方法进行了概述。该蜜罐网络环境为下一步的蜜罐识别方法研究提供了研究环境并为最终的软件综合检测平台提供了测试环境。其次,通过对Sebek数据传输特性的研究,提出一种通过其对网络设备驱动调用特征的提取进而对其进行有效识别的方法,称为IATHD法;通过对Sebek反检测特性的研究,改进了通过检测系统服务描述符表是否被更改进而识别Sebek的方法,并在此方法中融合了通过搜索内存检测系统加载的隐藏驱动及通过Windows注册表文件检测操作系统隐藏的服务从而检测Sebek的两种方法,该改进方法称为SSDTHD法。最后,将VMware虚拟机检测方法和Sebek检测方法综合实现在一个软件平台下。整个软件平台以驱动程序和界面程序相结合的方式完成。该平台可以迅速、准确的检测出目标机是否运行在VMware虚拟机下以及是否安装了Sebek软件,进而判断出是否为Windows环境下的虚拟高交互蜜罐。