| 发明名称 | 一种实现诱骗网络数据流重定向的方法 | ||
| 摘要 | 本发明涉及一种实现诱骗网络数据流重定向的方法,它对进入网络的所有数据进行重定向处理,如果数据报来自Internet,查其源地址是否在可疑IP列表中,若在可疑IP列表中,将其目的MAC地址替换为诱骗网络对应主机的MAC地址,再发往诱骗网络。若不在可疑IP列表中,按防火墙检测规则或入侵检测系统的检测规则进行检测,如果检测规则不匹配,表明该数据报是正常的,则发往要保护的网络;如果规则匹配,则表明该数据报是可疑的,把其源地址加入可疑IP列表,然后发往诱骗网络。如果数据报来自局域网LAN,直接从Internet接口发送出去。如果数据报来自Honeypot,将其源MAC地址替换为局域网LAN中对应主机的MAC地址后,再从Internet接口发送出去。 | ||
| 申请公布号 | CN1322712C | 申请公布日期 | 2007.06.20 |
| 申请号 | CN200410044873.9 | 申请日期 | 2004.05.28 |
| 申请人 | 南京邮电学院 | 发明人 | 杨庚;彭雷;戴云平 |
| 分类号 | H04L12/24(2006.01);H04L9/00(2006.01) | 主分类号 | H04L12/24(2006.01) |
| 代理机构 | 南京天华专利代理有限责任公司 | 代理人 | 夏平 |
| 主权项 | 1、一种实现诱骗网络数据流重定向的方法,其特征在于它是对进入网络的所有数据进行重定向处理,其规则如下:1)、如果数据报来自Internet,查其源地址是否在可疑IP列表中,具体做法是:a)如果是在可疑IP列表中,将数据报目的MAC地址替换为诱骗网络对应主机的MAC地址,再发往诱骗网络;b)如果不是在可疑IP列表中,按防火墙检测规则或入侵检测系统的检测规则进行检测,具体检测方法为:I)如果规则不匹配,表明该数据报是正常的,则发往要保护的网络;II)如果规则匹配,则表明该数据报是可疑的,把数据报源地址加入可疑IP列表,然后发往诱骗网络;2)、如果数据报来自局域网LAN,直接从Internet接口发送出去;3)、如果数据报来自Honeypot,将其源MAC地址通过诱骗网络与局域网LAN中主机的MAC地址与IP地址对应表替换为局域网LAN中对应主机的MAC地址后,再从Internet接口发送出去。 | ||
| 地址 | 210003江苏省南京市广东路38号 | ||