[发明专利]基于蜜网的逆向数据连接控制方法

权利要求书

1.一种基于蜜网的逆向数据连接控制的方法，其特征在于为智能蜜网设计了专门的智能化的连接控制技术。连接控制负责检测和控制整个密网中流进流出的数据，对危险的数据流做智能化处理，让这些危险的数据流按照规定意图改变。这种基于蜜网的逆向数据连接控制的方法避免了蜜网系统在被攻击后成为攻击方的工具危害外部网络，限制流出蜜网的数据的同时，让攻击者不会怀疑其攻击的是一个蜜网，从而让攻击者在蜜网中驻留时间更长。这个系统包括以下四个模块：端口检测模块，频率检测模块，包内容检测模块，非法数据包处理模块。

2.如权利1所述的基于蜜网的逆向数据连接控制的方法，其特征在于，连接控制本身是被隐藏起来的，外界觉察不到它的存在，将对它无从攻击。

3.如权利1所述的基于蜜网的逆向数据连接控制的方法，其特征在于，保护的子网中，接受任何的扫描、探测、连接，但是对从该子网出去的扫描、探测、连接，却必需要条件的放行，如果发现出去的数据包有异常，那必须加以制止。

4.如权利1所述的基于蜜网的逆向数据连接控制的方法，其特征在于，当检测出非法的数据包后，对其进行如下的操作：随机选取一些数据包将其丢弃；选择一些丢弃非法的连接返回连接不可达的信息；将非法的数据包的内容进行修改，然后发送出去。

5.如权利3所述的基于蜜网的逆向数据连接控制的方法，其特征在于，对流出子网的所有数据包进行检测，经端口检测、连接频率检测和包内容检测三种检测方法，找出流出的非法数据。

6.如权利3所述的基于蜜网的逆向数据连接控制的方法，其特征在于，对于外界访问我们的子网，将不会设置任何限制，但是在这些访问中有可能存在攻击子网的数据流，为了后面做分析时能够定位到攻击者，需要对数据流进行一些简单的记录，如连接的时间、方向、源地址、目的地址、源端口、目的端口等，有了这些信息，分析时就能很快的了解攻击者的攻击途径。

7.如权利5所述的基于蜜网的逆向数据连接控制的方法，其特征在于，对流出子网的数据流要做限制，但是不能限制的太严格，要有一定的灵活度。

8.如权利6所述的基于蜜网的逆向数据连接控制的方法，其特征在于，在连接控制中增加黑名单，防火墙对源地址或者目的地址属于黑名单的主机，将丢弃所有的数据包，并不做任何日志记录；白名单，对于源地址或者目的地址属于白名单的主机，防火墙将接受这些连接但并不做日志记录；防护名单，防火墙不允许蜜罐连往属于防护名单内的主机。