一种蜜网主动防御系统中的数据控制方法技术方案

本发明专利技术涉及一种蜜网主动防御系统中的数据控制方法，对失败连接进行计数统计，短期计数器对每个ＩＰ源地址的记录都有一个计数统计，当短期计数器超过阈值时认为检测到蠕虫异常行为，对该ＩＰ源地址发出的数据包进行抑制，但当短期计数器没有超过阈值时，开始触发多轮检测机制，将该ＩＰ源地址的记录存入长期检测表里，当长期计数器超时并且计数值超过门限值时，我们认为检测到蠕虫异常行为，进行抑制，如果没有超时，认为该数据包正常可以放行。其优点是：能够识别故意放缓攻击速率以期绕过防火墙控制的未知攻击行为或隐蔽型攻击行为，识别隐蔽型攻击行为和慢速攻击行为，特别能够分析鉴别黑客发明专利技术的新的攻击行为模式。

【技术实现步骤摘要】

【技术保护点】
一种蜜网主动防御系统中的数据控制方法，其特征是，所述方法包括如下步骤：　（１）在局域网的边界入口处放置检测和抑制设备，监测进出的数据流，抓取失败连接请求数据包，每当收到失败连接请求数据包就根据其中的ＩＰ源地址生成一条记录，并将该记录存 入短期检测表里，同时判断该记录是否已存入过；短期计数器统计局域网内同一条记录在规定的较短单位时间内存入短期检测表的次数；　（２）判断是否短期计数器超过阈值，即短期计数器超时并且对某个ＩＰ源地址的计数值超过门限值，如果是，则认为检测到蠕 虫异常行为，对该可疑ＩＰ源地址发出的数据包进行抑制，如果否，则将存入短期检测表里的该条记录存入长期检测表里，同时判断该记录是否已存入过；　（３）长期计数器统计局域网内同一条记录在规定的较长单位时间内存入长期检测表的次数；当某条记录中对 应的ＩＰ源地址发生一次正常连接请求时，长期计数器对该记录的计数值减１；　（４）判断是否长期计数器超过阈值，即长期计数器超时并且对某个ＩＰ源地址的计数值超过门限值，如果是，则认为检测到慢速蠕虫异常行为，对该可疑ＩＰ源地址发出的数据包进行 抑制，如果否，则对该ＩＰ源地址发出的数据包放行。...

【技术特征摘要】

【专利技术属性】
技术研发人员：扬雄，朱宇光，祝明，段涛，
申请(专利权)人：无锡智高志科技有限公司，
类型：发明
国别省市：32[中国|江苏]