基于ip終端異常流量及黑白名單庫的網(wǎng)絡入侵識別方法
【專利摘要】本發(fā)明公開了一種基于IP終端異常流量及黑白名單庫的網(wǎng)絡入侵識別方法���,包括采用基線分析法設定流量預制門限進行預警���,提取異常流量特征進行預警,建立黑白名單庫��,對于非白名單IP訪問服務器進行預警,并且在監(jiān)測過程中��,流量分析庫���,異常流量特征庫����,黑白名單庫不斷更新完善���。使用本發(fā)明方法去處理當電力系統(tǒng)服務器遭到網(wǎng)絡入侵時能夠及時告警�����,提示網(wǎng)絡運維人員及時關注和處理��,避免網(wǎng)絡入侵造成系統(tǒng)崩潰和網(wǎng)絡全面癱瘓給電網(wǎng)造成重大損失。
【專利說明】基于IP終端異常流量及黑白名單庫的網(wǎng)絡入侵識別方法
【技術領域】
[0001]本發(fā)明涉及一種基于ip終端異常流量及黑白名單庫的網(wǎng)絡入侵識別方法���,屬于電力系統(tǒng)信息安全【技術領域】�����。
【背景技術】
[0002]在信息全球化的過程中��,電子信息技術正處于一個快速發(fā)展的時期����,在信息技術范圍不斷擴大的同時,電力數(shù)據(jù)與系統(tǒng)之間的網(wǎng)絡連接越來越緊密�。電力系統(tǒng)越來越依賴電力信息網(wǎng)絡,以保障各系統(tǒng)的高效�����、可靠����、安全運行。如今電力系統(tǒng)已經(jīng)普及到電力企業(yè)生產(chǎn)���、經(jīng)營和管理所有環(huán)節(jié)中��,因此電力系統(tǒng)信息的安全是電力系統(tǒng)安全運行和對社會可靠供電的保障�。
[0003]現(xiàn)有的解決方法有這幾種:寬帶高速實時的檢測技術如何實現(xiàn)千兆以太網(wǎng)等高速網(wǎng)絡下的實時入侵檢測已經(jīng)成為現(xiàn)實問題�����。目前的千兆IDS產(chǎn)品性能指標與實際要求相差很遠,提高性能應主要考慮兩個方面:IDS的軟件結構和算法需要重新設計�����,以提高運行速度和效率����,適應高速網(wǎng)的環(huán)境;隨著高速網(wǎng)絡技術的不斷發(fā)展��,IDS如何適應IPV6等新一代網(wǎng)絡協(xié)議將成為一個全新的問題�����。2.大規(guī)模分布式的檢測技術傳統(tǒng)的集中式IDS是在不同網(wǎng)段放置多個探測器來收集當前網(wǎng)絡狀態(tài)信息��,并傳送到中央控制臺進行處理分析����。這種方式存在明顯的缺陷:第一,對了大規(guī)模的分布式攻擊��,中央控制臺的負荷將會超過處理極限��,導致漏報率增高�;第二,多個探測器收集到的數(shù)據(jù)在網(wǎng)絡上的傳輸一定程度上增加了網(wǎng)絡負擔���,導致網(wǎng)絡系統(tǒng)性能降低���;第三,由于網(wǎng)絡傳輸?shù)难訒r問題�,中央控制臺處理的數(shù)據(jù)包不能實時反映當前網(wǎng)絡狀態(tài)。3.數(shù)據(jù)挖掘技術操作系統(tǒng)的日益復雜和網(wǎng)絡流量的急劇增加��,導致了審計數(shù)據(jù)以驚人的速度劇增�。以上方法入侵發(fā)現(xiàn)漏報和誤報率都不低。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的目的在于提供一種基于IP終端異常流量及黑白名單庫的網(wǎng)絡入侵識別方法���,在電網(wǎng)內(nèi)網(wǎng)遭到網(wǎng)絡入侵時時�����,第一時間進行網(wǎng)絡安全告警��,并根據(jù)異常流量信息��,定位遭受網(wǎng)絡入侵的服務器��,為網(wǎng)絡安全人員提供重要信息��,便于他們迅速采取措施���,保證電網(wǎng)信息系統(tǒng)的安全運行��。
[0005]為達到上述目的��,本發(fā)明采用的技術方案如下:
基于IP終端異常流量及黑白名單庫的網(wǎng)絡入侵識別方法���,包括以下步驟:
1)基線分析:流量監(jiān)測系統(tǒng)持續(xù)采集網(wǎng)絡流量數(shù)據(jù)并長期存儲建立流量分析庫,網(wǎng)絡安全管理人員根據(jù)歷史流量數(shù)據(jù)生成一條平均流量曲線圖作為基準����,然后根據(jù)該平均流量曲線圖,設置不同的告警閥值門限和預警級別�����,如果當前流量值超過某一告警閾值門限����,則進行相應級別的預警;
2)流量特征分析:建立異常流量特征庫��,通過在線的網(wǎng)絡流量動態(tài)分析提取異常流量特征��,進行預警����; 3)黑白名單庫分析:設置網(wǎng)絡通信黑白名單庫,將網(wǎng)絡公布的黑客常用的IP地址存入到黑名單庫����,將與關鍵設備服務器經(jīng)常通訊的客戶端的IP設備該機器的白名單,如果出現(xiàn)非白名單IP訪問服務器則進行預警����;
4)預警發(fā)出后,網(wǎng)絡運維人員第一時間對現(xiàn)有預警進行處理確認����,如果不存在網(wǎng)絡入侵,網(wǎng)絡運維人員解除預警�。
[0006]前述的步驟1)中,所述產(chǎn)生預警的流量數(shù)據(jù)也存儲在流量分析庫中�,根據(jù)檢測出來網(wǎng)絡入侵實際情況,不斷修正告警閥值門限����。
[0007]前述的步驟2)中,所述異常流量特征庫包括:網(wǎng)絡入侵流量產(chǎn)生時間異常����、網(wǎng)絡入侵發(fā)送數(shù)據(jù)數(shù)據(jù)包字節(jié)數(shù)異常���、網(wǎng)絡入侵返回數(shù)據(jù)包字節(jié)數(shù)異常。
[0008]前述的步驟4)中��,解除預警后���,根據(jù)預警產(chǎn)生的原因����,相應的更新流量分析庫�����,或者異常流量特征庫���,或者黑白名單庫�。
[0009]基于IP終端分析行為平臺中通過使用本發(fā)明方法�����,當電力系統(tǒng)服務器遭到網(wǎng)絡入侵時���,能夠及時告警��,提示網(wǎng)絡運維人員及時關注和處理�����,避免網(wǎng)絡入侵造成系統(tǒng)崩潰和網(wǎng)絡全面癱瘓給電網(wǎng)造成重大損失���。
【專利附圖】
【附圖說明】
[0010]圖1為本發(fā)明的IP終端分析行為平臺結構示意圖。
【具體實施方式】
[0011]現(xiàn)結合附圖和【具體實施方式】對本發(fā)明作進一步詳細說明����。
[0012]網(wǎng)絡入侵會產(chǎn)生很多泛濫的報文數(shù)據(jù),泛濫的報文數(shù)據(jù)會導致網(wǎng)絡流量數(shù)據(jù)激增�����,同時這些報文的傳播和攻擊直接導致路徑上的路由器和交換機CPU占用率不斷攀升���,嚴重影響正常的路由和轉(zhuǎn)發(fā)效率�,甚至造成宕機和網(wǎng)絡全面的癱瘓�,被攻擊的服務器和業(yè)務數(shù)據(jù)中心無法正常運行,因此�,如何及時發(fā)現(xiàn)網(wǎng)絡入侵對于電力企業(yè)變得至關重要��。
[0013]在本發(fā)明中����,首先搭建如圖1所示的IP終端分析行為平臺����,包括外網(wǎng)服務器,內(nèi)網(wǎng)服務器和客戶端�����,其中���,客戶端與外網(wǎng)服務器進行通訊����,外網(wǎng)客戶端再與內(nèi)網(wǎng)服務器進行通訊�����?����?蛻舳税軌蚺c外網(wǎng)服務器進行通訊的所有客戶端,如���,網(wǎng)絡黑客客戶端����,網(wǎng)絡運維人員客戶端等�����。
[0014]本發(fā)明的基于IP終端異常流量及黑白名單庫的網(wǎng)絡入侵識別方法包括以下步驟:
1�����、基線分析:流量監(jiān)測系統(tǒng)歷史流量數(shù)據(jù)對于發(fā)現(xiàn)網(wǎng)絡入侵提供重要的依據(jù)����,持續(xù)采集網(wǎng)絡流量數(shù)據(jù)并長期存儲建立流量分析庫����,網(wǎng)絡安全管理人員根據(jù)歷史流量數(shù)據(jù)生成一條平均流量曲線圖作為基準,然后根據(jù)該平均流量曲線圖���,設置不同的告警閥值門限和預警級別�����,如果當前流量值超過某一告警閾值門限���,則進行相應級別的預警���,提醒網(wǎng)絡運維人員進行原因核查。監(jiān)測過程中����,該產(chǎn)生預警的流量數(shù)據(jù)也存儲在流量分析庫中,根據(jù)檢測出來網(wǎng)絡入侵實際情況�����,不斷修正告警閥值門限���。
[0015]2�����、流量特征分析:建立異常流量特征庫�����,通過在線的網(wǎng)絡流量動態(tài)分析提取異常流量特征����,進行預警,異常流量特征包括網(wǎng)絡入侵流量產(chǎn)生時間異常�����、網(wǎng)絡入侵發(fā)送數(shù)據(jù)數(shù)據(jù)包字節(jié)數(shù)異常����、網(wǎng)絡入侵返回數(shù)據(jù)包字節(jié)數(shù)異常等,如對網(wǎng)絡流量動態(tài)分析存在異常流量特征���,即刻預警。
[0016]3����、黑白名單庫分析:設置網(wǎng)絡通信黑白名單庫,將網(wǎng)絡公布的黑客常用的IP地址存入到黑名單庫����,將與關鍵設備服務器經(jīng)常通訊的客戶端的ip設備該機器的白名單,如果出現(xiàn)非白名單IP訪問服務器則進行預警。網(wǎng)絡入侵大多采用不合理和未分配的地址及大量隨機產(chǎn)生的IP地址���。監(jiān)測過程中���,根據(jù)檢測出來網(wǎng)絡入侵實際情況,不斷修正黑白名單庫�。
[0017]4、預警發(fā)出后�,網(wǎng)絡運維人員需要第一時間對現(xiàn)有預警進行處理確認,如果不存在網(wǎng)絡入侵��,網(wǎng)絡運維人員解除預警���,并根據(jù)預警產(chǎn)生的原因�,相應的更新流量分析庫��,或者異常流量特征庫���,或者黑白名單庫�����。
【權利要求】
1.基于IP終端異常流量及黑白名單庫的網(wǎng)絡入侵識別方法�,其特征在于,包括以下步驟: 1)基線分析:流量監(jiān)測系統(tǒng)持續(xù)采集網(wǎng)絡流量數(shù)據(jù)并長期存儲建立流量分析庫����,網(wǎng)絡安全管理人員根據(jù)歷史流量數(shù)據(jù)生成一條平均流量曲線圖作為基準,然后根據(jù)該平均流量曲線圖����,設置不同的告警閥值門限和預警級別,如果當前流量值超過某一告警閾值門限��,則進行相應級別的預警���; 2)流量特征分析:建立異常流量特征庫����,通過在線的網(wǎng)絡流量動態(tài)分析提取異常流量特征��,進行預警����; 3)黑白名單庫分析:設置網(wǎng)絡通信黑白名單庫�,將網(wǎng)絡公布的黑客常用的IP地址存入到黑名單庫,將與關鍵設備服務器經(jīng)常通訊的客戶端的IP設備該機器的白名單��,如果出現(xiàn)非白名單IP訪問服務器則進行預警; 4)預警發(fā)出后�,網(wǎng)絡運維人員第一時間對現(xiàn)有預警進行處理確認,如果不存在網(wǎng)絡入侵����,網(wǎng)絡運維人員解除預警。
2.根據(jù)權利要求1所述的基于IP終端異常流量及黑白名單庫的網(wǎng)絡入侵識別方法��,其特征在于����,所述步驟I)中,所述產(chǎn)生預警的流量數(shù)據(jù)也存儲在流量分析庫中����,根據(jù)檢測出來網(wǎng)絡入侵實際情況,不斷修正告警閥值門限�。
3.根據(jù)權利要求1所述的基于IP終端異常流量及黑白名單庫的網(wǎng)絡入侵識別方法,其特征在于�����,所述步驟2)中���,所述異常流量特征庫包括:網(wǎng)絡入侵流量產(chǎn)生時間異常���、網(wǎng)絡入侵發(fā)送數(shù)據(jù)數(shù)據(jù)包字節(jié)數(shù)異常�、網(wǎng)絡入侵返回數(shù)據(jù)包字節(jié)數(shù)異常���。
4.根據(jù)權利要求1所述的基于IP終端異常流量及黑白名單庫的網(wǎng)絡入侵識別方法���,其特征在于,所述步驟4)中�����,解除預警后����,根據(jù)預警產(chǎn)生的原因,相應的更新流量分析庫����,或者異常流量特征庫,或者黑白名單庫��。
【文檔編號】H04L29/06GK104468631SQ201410852491
【公開日】2015年3月25日 申請日期:2014年12月31日 優(yōu)先權日:2014年12月31日
【發(fā)明者】夏飛, 崔恒志, 張明明, 丁一新, 徐曉海, 梅沁, 鄭海雁, 官國飛, 葛崇慧 申請人:國家電網(wǎng)公司, 江蘇省電力公司, 江蘇方天電力技術有限公司, 江蘇省電力公司信息通信分公司