随着互联网的日益普及,保持我们的电子世界健康运转变的越来越重要。在现实的计算机网络中,我们的计算机系统会遭受来自各方面意想不到的威胁,维护网络安全,保持网络系统的正常运行势必会更加困难。因此建立健全的网络安全早期预警系统,是十分重要的也是迫切的。蜜罐是一种被严密监控的计算机资源,它的功能就是被探测、攻击或者攻陷。将蜜罐技术大量应用于网络预警系统是本篇论文研究的核心内容。基于蜜罐技术的网络早期预警系统是依据现今已有的蜜罐技术,用以吸引网络攻击,先期发现网络攻击行为,并进一步研究网络攻击的方式和流程,捕获传播的恶意代码,对网络攻击提供早期预警,从而起到保护工作区网络的作用,并可以在一定程度上针对自主传播的僵尸网络起到逆袭追踪的作用。在本文中,首先详细介绍了蜜罐的定义、分类及功能,在此基础上对系统所依赖的Honeyd、Dionaea以及蜜墙等蜜罐软件的结构、功能、特性、安装和配置使用进行了详细介绍。其次,在把握相关蜜罐特性的基础上,提出了一种网络拓扑结构来组建系统平台。高交互蜜罐可以实现深层次的交互,但不宜大规模部署；低交互蜜罐部署方便,但交互的层次与深度都不如高交互蜜罐。高交互蜜罐能够更加清晰的把握攻击方式与流程,并可应对零日攻击。低交互蜜罐可以方便的捕获自主传播的恶意代码,而且维护与部署方便。因此,本文提出的基于蜜罐技术的网络安全预警系统将采用高交互与低交互蜜罐相结合的方式,使不同种类的蜜罐各得其用,来实现系统平台的基本功能。第三,详细说明了预警系统三大模块高交互蜜罐区、低交互蜜罐区以及中控台的相关配置,并演示了整个配置流程和参数设置。为了适应预警系统功能性要求,本文改写了Honeyd蜜罐相应的服务脚本程序,Dionaea蜜罐的统计脚本程序,为了完善Honeyd的捕包功能编写了基于WinPcap的捕包程序。捕包程序利用WinPcap给出的函数接口可以将于Honeyd蜜罐交互的连接数据捕获,分析出报文头部信息并将捕获的数据包写入指定文件中。第四,系统平台的测试分析。本文对组建好的系统在实验室网络环境中进行功能测试,并对蜜罐捕获的信息进行了跟踪统计,得到了危害工作区主机的相关信息如恶意IP地址、被攻击次数最多的服务和攻击时间的发起及高峰期等。根据这些预警信息,我们可以对网关进行相关设置或采用规避风险的策略来保障工作区的安全性。对于Dionaea蜜罐捕获的恶意代码,本文利用Ether软件统计出其所调用的API函数,并总结了恶意行为调用API函数的一些规律,这对我们更加深刻的了解恶意行为,把握攻击流程,正确的提供预警信息有非常多有益的帮助。第五,经过实验测试,验证了预警平台的相关功能,提出了预警系统平台在智能化等方面的改进之处。