当前计算机与网络应用被广泛普及,网络安全问题日益凸显,防火墙加杀毒软件等被动防御模式已经不能满足目前的网络安全需要。入侵检测系统是一种动态的防御系统[1],相比以往的安全技术手段它具有主动防御的优势。传统的入侵检测系统的四个关键问题是:如何降低漏报率和误报率、全面的收集信息、发现未知的入侵手段、确保系统自身的隐蔽性。本文通过对传统入侵检测系统应用功能的分析,针对系统隐蔽性、分布式蜜罐部署、数据控制、数据捕获、蜜罐管理、数据分析等核心需求,提出了一种基于虚拟蜜网的入侵检测系统。系统采用网桥和旁路侦听,使入侵检测系统对攻击者不可见;在数据控制方面采用IPtables、Snort、Raw Socket和分路器的反向数据注入,实现拦截、阻断向外攻击数据包;利用tcpdump和Sebek分别采集网络通讯数据和蜜罐主机系统日志,结合数据控制模块的拦截记录,实现数据捕获功能;采用VMware ESX Server虚拟机技术构造一个分布式部署的高交互蜜罐网络,降低漏、误报率并减少蜜罐恢复成本;使用数据抽取函数将采集到的日志聚合归纳,通过中央控制台的报表功能分析新的攻击手段。最后通过在某企业网络中的应用案例,验证了该方案的可行性与实用性。本文研究工作的成果和意义在于,本文设计的入侵检测系统具有很好的隐蔽性,支持在多个网段内分布式部署蜜罐从而加强了入侵信息收集完整度,大幅度降低误报率、漏报率,在提高蜜罐可控性的同时降低了蜜罐部署、恢复的成本。