随着Internet的不断发展，网络技术给人们的工作和生活带来种种便捷，但同时也带来许多安全威胁。在与攻击者不断斗争的过程中，众多安全机构研发了许多安全产品。然而传统的安全技术，如防火墙、入侵检测（IDS）、病毒防护技术、数据加密和认证等，大多数技术是被动防御技术，这已不足以保护网络安全。 蜜罐（honeypot）技术是一种主动防御技术，蜜罐的价值就是引诱攻击者攻击以获取供给者和他们技术的相关信息，它也可以用来吸引和分散攻击者的注意力，以保护真实的网络系统。蜜罐技术是对传统安全技术的有力补充。 本文研究的内容是如何利用在蜜罐技术基础上发展而来的蜜场（honeyfarm）技术在一个大型分布式网络甚至Inernet中构建主动防御的网络安全防护系统。从全局着眼，广泛搜集攻击样本，对攻击的对象、手段、代码及传播等等信息作一个全面系统地了解。 本文首先介绍了网络安全的发展概况及其模型和常用网络安全技术。接着介绍了蜜罐的一些基本概念、发展历程及蜜场的概念模型，并把蜜罐、蜜网、蜜场进行深入比较。在第三章中以蜜网项目组开发的第三代蜜网网关为例详细分析了蜜网系统的关键技术。第四章在分析国内外有关蜜罐研究现状的基础上，针对单个蜜罐存在视野狭窄、单一的蜜网（honeynet）只能对一个网络中行为进行捕获，以及适用于大规模分布式网络的分布式蜜网需要耗费较大的人力和物力的问题，提出了一个基于蜜场（honeyfarm）技术的与传统防火墙和IDS相结合的主动防御系统模型，并对系统各个组成部分的主要功能构成以及蜜场实现过程中涉及的技术进行介绍，。第五章对该主动防御系统的主要功能的设计和实现作了具体介绍，提出了一种全新的利用网络地址转换技术实现在被监控IP地址与蜜罐之间建立多对一映射的方法。并且在数据分析的过程中为排除可疑数据的干扰，采用了一个可疑度模型综合考虑外部主机访问蜜罐的次数、访问的范围、事件发生的频率、访问的数据长度以及访问端口的性质等因素。应用该模型对捕获的数据进行分析，可以确定与系统进行交互的外部主机的可疑度，从而确定访问的主机是发起攻击的主机还是进行误访问的主机。最后，利用一些工具对系统的部分功能进行实验实现与分析。