蜜网作为一个分布式部署的多蜜罐系统,在引诱攻击者、获取攻击行为等方面具有单蜜罐系统不可比拟的优势,然而现有蜜网存在许多缺陷,首先它们对真实系统的服务或功能模仿逼真度不高而易受特征标识攻击;其次它们出/入流量控制机制不能阻止恶意流量在蜜网内部传播;另外,它们也不能支持跨低交互型蜜罐和高交互型蜜罐无缝间连接动态切换。现有蜜网却无法有效利用低交互型蜜罐和高交互型蜜罐各自优势,更无法适应移动网络环境需求:首先,在传统蜜网中,蜜罐常部署在有限几个固定网络节点,无法对无网不入的移动攻击流量实施无遗漏的捕获;其次,传统蜜网仅能对连接持续时间长、连接蜜罐对象固定的攻击流量进行特征提取,而无法有效地监测和捕获移动游牧式或大量短时攻击流量。这些造成现有蜜网在移动环境下的攻击行为特征捕获效率低下。本文针对移动网络环境下攻击检测面临的技术挑战,基于SDN技术在网络全局视图、全网域集中控制等方面具有的优势,设计了一种新的蜜网系统,即ic-Honeynet。该蜜网系统包含逆向代理模块和蜜网控制器,其中连接管理引擎是逆向代理模块的核心组成。该蜜网系统最大的优势在于它有效解决了现有蜜网面临的3个棘手问题,即如何避免蜜罐特征标识攻击、如何遏制恶意流量网内传播以及如何支持连接在蜜罐间无缝切换。为了更好地监测移动网络环境下输入蜜网的攻击流量和蜜网内被攻陷蜜罐产生的恶意流量,设计了一种基于攻击进展状态的自适应连接管理机制。该机制运行在连接管理引擎,它的核心在于3种连接管理操作模式,即透明模式、多播模式和中继模式。这些模式的主要任务在于:如何高效地将攻击者的恶意流量分发给相关蜜罐,并从众多蜜罐发出的攻击响应中优选最佳一个作为攻击者访问请求的响应。ic-Honeynet充分利用了SDN高度可编程性,由其连接管理引擎对输入分组进行分类,并给每类分组添加上相应的标签。依据这些不同标签,SDN控制器采取不同的方式处理这些分组。搭建了一个该蜜网系统的实验环境,从系统吞吐量、响应时延、连接处理能力3个指标角度进行了评估。实验结果表明,该蜜网系统的吞吐量近乎线速,高达8.23 Gbit/s;响应时延额外增加很小,仅在0.5～1.2 ms区间变化;连接处理能力也很强,可高达1 473个连接/s。与传统蜜网系统相比,本文提出的蜜网系统将具有如下优势:该系统能允许攻击者访问多个脆弱性服务,从而诱导它与多个蜜罐产生更多的、更深入的交互,并让网络管理者可以收集攻击者更多的恶意行为数据;通过动态选择最优攻击响应,该系统可以减轻特征标识攻击带来的影响;SDN控制器能监控全网域内的蜜罐,能有效发现蜜网内出现的任何异常行为,如通过监控蜜罐间的连接尝试次数等,这样就能事先阻止恶意流量在网络内的肆意传播。