计算机网络正在飞速发展,但随之带来的信息泄露、系统破坏等网络安全问题也日益突出。传统网络系统的静态性,使它呈现出易攻难守的特点:攻击者可以有充足的时间去学习一个系统,发现系统的漏洞,然后选择合适的时间发起攻击取得利益的最大化,而防守方需要做到万无一失才能确保系统的绝对安全。移动目标防御的提出改变了传统的网络安全防御思路,其不追求开发出完美的无漏洞网络系统,它的宗旨是使网络系统动态化、随机化,难以预测,增大攻击者的攻击代价,减弱攻击者相对于防御方的非对称优势。网络环境中的主机通常采用静态的IP地址进行通信,DHCP服务分配的IP地址每到租约过期的时候可以变化,但是租约时间是固定的,所以主机的IP地址在相当长时间内仍然是不变的,这些静态的目标就像一个个不动的靶子,很容易成为受攻击的目标。攻击者要发动一次攻击,首先会侦查网络的拓扑架构,收集有关网络主机的网络属性信息,IP地址是主机在网络环境中的身份标识,是攻击者首要的探测目标。如果网络环境中的主机IP地址属于静态分配,或在相当长的时间内保持不变,网络拓扑就具有静态性和确定性,会使攻击者的侦查探测非常容易。攻击者可以不断地开发出更加复杂和高级的网络探测工具,对网络进行侦查,而静态的网络体系却只能坐以待毙,任人宰割。然而,如果可以让网络中主机的身份信息,如IP地址动态随机变化,网络拓扑结构将会变得不可预测,攻击者实施网络探测的难度将会大大增加,使防守方的被动地位得以扭转。本文遵循移动目标防御的思想,利用虚拟网络技术设计、实现一种基于网络拓扑动态变化的主动防御系统。本文的主要研究工作:(1)研究分析多种网络攻击的攻击过程和传统网络安全防御方法的不足,提出一种基于网络拓扑动态变化的主动防御方法。(2)设计主动防御系统整体方案,分析系统各功能模块实现过程的技术需求,搭建主动防御系统所需的运行环境。(3)利用相关技术手段实现应用于局域网环境下的主动防御系统,并对系统进行有效性和稳定性测试,对测试结果进行分析,总结系统的测试结论。