随着互联网技术的飞速发展,其应用已经融入到各行各业,网络已经成为人们日常生活的基础设施。同时由于网络的开放性,伴随着各种安全威胁,被木马、病毒和僵尸程序感染的主机数量逐年大幅增加,危害信息安全的事件不断发生,形势相当严峻。传统的被动网络防御技术可以在一定程度上防护我们的网络,却只能在攻击发生之后进行弥补,无法扭转攻防两端在时间、信息获取、代价上极不对称的局面。传统的网络安全防御系统主要是建立在网络隔离、安全检测、安全恢复等技术基础之上,只能进行被动防御,无法对未知的攻击进行主动防御。面对如此严重的威胁和攻防的不对称,急需一种新型的主动网络防御技术,它能够提供虚假信息吸引黑客对其进行攻击,主动了解攻击者使用的技术与方法。同时减小真实网络遭受的攻击强度,以便给管理员足够的反应时间来防御攻击,尽最大努力保护网络并减少损失。这种新兴的主动网络防御技术就是蜜网技术,主要研究如何伪装真实的目标环境,对网络攻击进行诱骗,以便收集攻击信息进行分析和研究。网络处理器是新一代专用网络数据处理和转发的高速处理器,对数据处理能力强,能够较好地实现数据控制、数据采集和路由模拟的功能。本文基于IXP2400搭建了新型高速蜜网系统,解决了新型蜜网体系架构和部署、大规模网络拓扑仿真、高速路由查找、入侵检测告警聚类等问题。本文主要创新工作如下：1.提出了基于网络处理器的新型蜜网体系架构。对蜜网的关键技术进行了研究和总结,针对现有蜜网体系的不足之处,提出了基于网络处理器的新型蜜网体系结构。解决了蜜网网关部署、大规模网络的伪装、服务映射蜜罐、数据捕获和分析等问题。该系统能够动态部署蜜网,模拟大规模网络拓扑和高交互服务,提供可视化的攻击场景以减少人工分析。提高了蜜网系统的自动化和智能化程度,同时具有高速处理性能、较好的安全性和可控性。2.基于高性能网络处理器提出了一种大规模网络拓扑实时仿真模型,以用于伪装蜜网系统中的虚拟网络拓扑。实时仿真要求仿真系统的时钟与外界时钟同步,使得虚拟网络能够与真实网络协议、服务和应用进行交互。该方案利用离散事件仿真模型来模拟大规模网络,并描述了基于IXP2400平台的实现。实验结果表明该模型能够模拟大规模网络拓扑,能够对探测数据包进行响应,能够自动学习路由条目和线速转发网络数据包。3.为了提高蜜网网关的路由查找速度,提出了一种新的BFBP路由查找算法。现有的基于神经网络的路由查找算法需要学习路由条目包含的所有IP地址,学习量巨大,在训练阶段收敛时间长,阻碍了神经网络在路由查找中的应用。为了解决这个问题,本文结合Bloom-Filter算法和并行反向传播神经网络,提出基于并行神经网络的路由查找算法(BFBP)。 Bloom-Filter算法将神经网络分解为多个并行的神经网络,每个神经网络只需学习路由条目的网络ID,而不需要学习路由条目包含的所有IP地址,从而加速路由学习过程。研究结果表明,相比于已有的神经网络路由查找方法,BFBP算法需要学习的条目数平均减少了520倍,提高了学习效率,为神经网络应用于路由查找创造了有利条件。4.提出了一种新的混沌粒子群算法,以用于蜜网告警优化问题。传统粒子群优化算法初期收敛速度快,但在后期容易陷入局部最优和早熟。为了解决这个问题,本文提出了一种新的混沌粒子群优化算法,不同于现有的混沌粒子群算法的简单粒子序列替换,该算法将混沌融入到粒子运动过程中,使粒子群在混沌与稳定之间交替运动,逐步向最优点靠近。并提出了一种新的混沌粒子群数学模型,进行了非线性动力学分析。数值测试结果表明该方法能跳出局部最优,极大提高了计算精度,进一步提高了全局寻优能力。5.提出了基于混沌粒子群的蜜网告警聚类算法。由于现有的蜜网系统告警数量过多,使网络安全分析人员淹没在大量无用的告警中。为了提高蜜网中入侵检测系统(IDS)的告警质量,减少冗余报警,提出了一种基于混沌粒子群的IDS告警聚类算法。该算法能够克服粒子群算法的早熟、局部最优等缺点,指导聚类中心寻找到全局最优解。通过分析与实验测试,验证了该算法在入侵检测系统中能够减少告警数量,提高告警质量,具有较高的检测率和较低的误报率。