[发明专利]基于网络与基于主机相结合的联网式异常流量防御方法

权利要求书

1.一种基于网络与基于主机相结合的联网式异常流量防御方法，其特征在于该方法为：

1).设置性能参数列表：记录正常状态下一些网络参数的阈值，作为异常感应模块探测异常发生与否的依据之一；

2).流量统计模块统计路由设备所采集的流量信息，并与步骤1)中参数列表中所设置的阈值进行比较；

3).如果发现有主机对应的流量统计超过步骤1)中所设置的阈值范围，则判定该主机产生异常流量，并触发异常报警机制；

4).异常报警模块向步骤3)中所发现的主机发送异常警告，命令该主机立即处理自身所产生的流量；

5).主机状态记录及更新：异常报警模块被触发后，需要进行相应的主机状态更新；

6)网络接入判决：路由转发设备根据所接收到流量所属主机的状态判断是否正常转发该流量，网络接入判决模块查询主机状态记录表得到主机状态，如果该主机处于被警告、异常处理、未反应等非正常状态，则停止对其提供流量转发服务；否则正常对其流量进行路由转发；

7)主机自行过滤异常流量：在接收到异常警告之后，如果主机希望再次获得网络接入服务，则必须立即启动异常流量过滤模块，此处需要一个异常规则库，引入准确详尽的异常过滤规则有助于高效的异常识别以及过滤工作。

2.根据权利要求1所述的基于网络与基于主机相结合的联网式异常流量防御方法，其特征在于为每个主机引入的状态及其更新的规则如下：

a.状态报告模块运行状态：用来标识主机有没有加入到异常防御体系中随时准备好异常发生时与路由转发设备携手实施异常处理工作；

b.正常状态：指主机加入异常防御体系并且流量统计信息处于正常范围内；

c.被警告状态：当发现某主机流量异常并向该主机发出异常警告之后将该主机状态标识为被警告状态；

d.异常处理状态：如果向主机发出异常警告之后成功接收到该主机返回的警告处理信息则将该主机状态标识为异常处理状态；

e.未反应状态：如果超过一定的时间没有收到主机的状态报告或者在向主机发出异常警告之后没有接收到主机返回的警告处理信息则将该主机状态标识为未反应状态。