[发明专利]一种蜜网主动防御系统中的数据控制方法

权利要求书

1、一种蜜网主动防御系统中的数据控制方法，其特征是，所述方法包括如下步骤：

(1)在局域网的边界入口处放置检测和抑制设备，监测进出的数据流，抓取失败连接请求数据包，每当收到失败连接请求数据包就根据其中的IP源地址生成一条记录，并将该记录存入短期检测表里，同时判断该记录是否已存入过；短期计数器统计局域网内同一条记录在规定的较短单位时间内存入短期检测表的次数；

(2)判断是否短期计数器超过阈值，即短期计数器超时并且对某个IP源地址的计数值超过门限值，如果是，则认为检测到蠕虫异常行为，对该可疑IP源地址发出的数据包进行抑制，如果否，则将存入短期检测表里的该条记录存入长期检测表里，同时判断该记录是否已存入过；

(3)长期计数器统计局域网内同一条记录在规定的较长单位时间内存入长期检测表的次数；当某条记录中对应的IP源地址发生一次正常连接请求时，长期计数器对该记录的计数值减1；

(4)判断是否长期计数器超过阈值，即长期计数器超时并且对某个IP源地址的计数值超过门限值，如果是，则认为检测到慢速蠕虫异常行为，对该可疑IP源地址发出的数据包进行抑制，如果否，则对该IP源地址发出的数据包放行。

2、如权利要求1所述的蜜网主动防御系统中的数据控制方法，其特征是：所述短期检测表用于存储局域网内每个IP源地址在规定的较短单位时间内的失败连接记录；如果存入短期检测表的记录已存在，则短期计数器对该记录的计数值加1，否则计数值等于1。

3、如权利要求1所述的蜜网主动防御系统中的数据控制方法，其特征是：所述长期检测表用于存储局域网内到达长期检测表的IP源地址在规定的较长单位时间内的失败连接记录；如果存入长期检测表的记录已存在，则长期计数器对该记录的计数值加1；否则计数值等于1。