随着网络安全的发展,主动防御技术已经逐渐取代被动防御技术,成为现今网络安全的主要研究方向。蜜罐作为一种典型的主动防御技术,其价值在于能够引诱攻击者对其进行扫描和攻陷,从而提供有效数据帮助系统管理者分析攻击者行为,发现新的攻击方式。因此,近年来蜜罐技术已成为国内外学术界的研究重点之一。本文首先分析了蜜罐的基本功能和组件,研究了基于蜜罐的行为监测和日志记录技术。蜜罐本质上是一种陷阱系统,涉及蜜罐系统的绝大部分行为都被认为是非法行为,因此与普通系统日志和网络日志相比,蜜罐系统及蜜网所收集的日志具有低噪声、种类多、数据量少等特点,基于蜜罐日志分析的攻击检测误报率和漏报率也非常低。本文抓住这一技术特点,从日志分析的角度,对蜜罐进行了主动防御研究,并且设计和实现了蜜罐日志分析系统(Honeypot Log Analysis System,简称HLAS)。黑客的攻击行为基本都会在日志记录中留下痕迹,因此日志是检测攻击的最佳数据来源。本文详细分析了典型的网络入侵行为和日志记录的关联性,总结了特定的攻击类型与日志记录的对应关系,为HLAS系统的设计提供了理论基础。HLAS支持主机系统日志、入侵检测日志、防火墙日志、网络流量日志的收集和分析,支持的日志格式类型包括EVT、W3C、Syslog、TCPDump、Snort、NetFlow和WELF。HLAS的主要功能包括日志数据的捕获、日志的远程存储、基于日志分析的攻击检测和日志审计,并提供了一定的日志审计模板支持,其中最主要的两个功能为:基于关联规则或序列模式的数据挖掘技术对日志的分析和攻击检测,以及基于日志审计的报表生成。后者的实现基于Struts+Hibernate的MVC设计模式,并结合DB2 AlphaBlox技术。本文最后基于上述HLAS系统进行攻击检测和审计报表生成两方面的试验,并通过试验结果来验证分析HLAS系统的作用和性能。