基于ip终端异常流量及黑白名单库的网络入侵识别方法
【专利摘要】本发明公开了一种基于IP终端异常流量及黑白名单库的网络入侵识别方法,包括采用基线分析法设定流量预制门限进行预警,提取异常流量特征进行预警,建立黑白名单库,对于非白名单IP访问服务器进行预警,并且在监测过程中,流量分析库,异常流量特征库,黑白名单库不断更新完善。使用本发明方法去处理当电力系统服务器遭到网络入侵时能够及时告警,提示网络运维人员及时关注和处理,避免网络入侵造成系统崩溃和网络全面瘫痪给电网造成重大损失。
【专利说明】基于IP终端异常流量及黑白名单库的网络入侵识别方法
【技术领域】
[0001]本发明涉及一种基于ip终端异常流量及黑白名单库的网络入侵识别方法,属于电力系统信息安全【技术领域】。
【背景技术】
[0002]在信息全球化的过程中,电子信息技术正处于一个快速发展的时期,在信息技术范围不断扩大的同时,电力数据与系统之间的网络连接越来越紧密。电力系统越来越依赖电力信息网络,以保障各系统的高效、可靠、安全运行。如今电力系统已经普及到电力企业生产、经营和管理所有环节中,因此电力系统信息的安全是电力系统安全运行和对社会可靠供电的保障。
[0003]现有的解决方法有这几种:宽带高速实时的检测技术如何实现千兆以太网等高速网络下的实时入侵检测已经成为现实问题。目前的千兆IDS产品性能指标与实际要求相差很远,提高性能应主要考虑两个方面:IDS的软件结构和算法需要重新设计,以提高运行速度和效率,适应高速网的环境;随着高速网络技术的不断发展,IDS如何适应IPV6等新一代网络协议将成为一个全新的问题。2.大规模分布式的检测技术传统的集中式IDS是在不同网段放置多个探测器来收集当前网络状态信息,并传送到中央控制台进行处理分析。这种方式存在明显的缺陷:第一,对了大规模的分布式攻击,中央控制台的负荷将会超过处理极限,导致漏报率增高;第二,多个探测器收集到的数据在网络上的传输一定程度上增加了网络负担,导致网络系统性能降低;第三,由于网络传输的延时问题,中央控制台处理的数据包不能实时反映当前网络状态。3.数据挖掘技术操作系统的日益复杂和网络流量的急剧增加,导致了审计数据以惊人的速度剧增。以上方法入侵发现漏报和误报率都不低。
【发明内容】
[0004]本发明的目的在于提供一种基于IP终端异常流量及黑白名单库的网络入侵识别方法,在电网内网遭到网络入侵时时,第一时间进行网络安全告警,并根据异常流量信息,定位遭受网络入侵的服务器,为网络安全人员提供重要信息,便于他们迅速采取措施,保证电网信息系统的安全运行。
[0005]为达到上述目的,本发明采用的技术方案如下:
基于IP终端异常流量及黑白名单库的网络入侵识别方法,包括以下步骤:
1)基线分析:流量监测系统持续采集网络流量数据并长期存储建立流量分析库,网络安全管理人员根据历史流量数据生成一条平均流量曲线图作为基准,然后根据该平均流量曲线图,设置不同的告警阀值门限和预警级别,如果当前流量值超过某一告警阈值门限,则进行相应级别的预警;
2)流量特征分析:建立异常流量特征库,通过在线的网络流量动态分析提取异常流量特征,进行预警; 3)黑白名单库分析:设置网络通信黑白名单库,将网络公布的黑客常用的IP地址存入到黑名单库,将与关键设备服务器经常通讯的客户端的IP设备该机器的白名单,如果出现非白名单IP访问服务器则进行预警;
4)预警发出后,网络运维人员第一时间对现有预警进行处理确认,如果不存在网络入侵,网络运维人员解除预警。
[0006]前述的步骤1)中,所述产生预警的流量数据也存储在流量分析库中,根据检测出来网络入侵实际情况,不断修正告警阀值门限。
[0007]前述的步骤2)中,所述异常流量特征库包括:网络入侵流量产生时间异常、网络入侵发送数据数据包字节数异常、网络入侵返回数据包字节数异常。
[0008]前述的步骤4)中,解除预警后,根据预警产生的原因,相应的更新流量分析库,或者异常流量特征库,或者黑白名单库。
[0009]基于IP终端分析行为平台中通过使用本发明方法,当电力系统服务器遭到网络入侵时,能够及时告警,提示网络运维人员及时关注和处理,避免网络入侵造成系统崩溃和网络全面瘫痪给电网造成重大损失。
【专利附图】
【附图说明】
[0010]图1为本发明的IP终端分析行为平台结构示意图。
【具体实施方式】
[0011]现结合附图和【具体实施方式】对本发明作进一步详细说明。
[0012]网络入侵会产生很多泛滥的报文数据,泛滥的报文数据会导致网络流量数据激增,同时这些报文的传播和攻击直接导致路径上的路由器和交换机CPU占用率不断攀升,严重影响正常的路由和转发效率,甚至造成宕机和网络全面的瘫痪,被攻击的服务器和业务数据中心无法正常运行,因此,如何及时发现网络入侵对于电力企业变得至关重要。
[0013]在本发明中,首先搭建如图1所示的IP终端分析行为平台,包括外网服务器,内网服务器和客户端,其中,客户端与外网服务器进行通讯,外网客户端再与内网服务器进行通讯。客户端包括能够与外网服务器进行通讯的所有客户端,如,网络黑客客户端,网络运维人员客户端等。
[0014]本发明的基于IP终端异常流量及黑白名单库的网络入侵识别方法包括以下步骤:
1、基线分析:流量监测系统历史流量数据对于发现网络入侵提供重要的依据,持续采集网络流量数据并长期存储建立流量分析库,网络安全管理人员根据历史流量数据生成一条平均流量曲线图作为基准,然后根据该平均流量曲线图,设置不同的告警阀值门限和预警级别,如果当前流量值超过某一告警阈值门限,则进行相应级别的预警,提醒网络运维人员进行原因核查。监测过程中,该产生预警的流量数据也存储在流量分析库中,根据检测出来网络入侵实际情况,不断修正告警阀值门限。
[0015]2、流量特征分析:建立异常流量特征库,通过在线的网络流量动态分析提取异常流量特征,进行预警,异常流量特征包括网络入侵流量产生时间异常、网络入侵发送数据数据包字节数异常、网络入侵返回数据包字节数异常等,如对网络流量动态分析存在异常流量特征,即刻预警。
[0016]3、黑白名单库分析:设置网络通信黑白名单库,将网络公布的黑客常用的IP地址存入到黑名单库,将与关键设备服务器经常通讯的客户端的ip设备该机器的白名单,如果出现非白名单IP访问服务器则进行预警。网络入侵大多采用不合理和未分配的地址及大量随机产生的IP地址。监测过程中,根据检测出来网络入侵实际情况,不断修正黑白名单库。
[0017]4、预警发出后,网络运维人员需要第一时间对现有预警进行处理确认,如果不存在网络入侵,网络运维人员解除预警,并根据预警产生的原因,相应的更新流量分析库,或者异常流量特征库,或者黑白名单库。
【权利要求】
1.基于IP终端异常流量及黑白名单库的网络入侵识别方法,其特征在于,包括以下步骤: 1)基线分析:流量监测系统持续采集网络流量数据并长期存储建立流量分析库,网络安全管理人员根据历史流量数据生成一条平均流量曲线图作为基准,然后根据该平均流量曲线图,设置不同的告警阀值门限和预警级别,如果当前流量值超过某一告警阈值门限,则进行相应级别的预警; 2)流量特征分析:建立异常流量特征库,通过在线的网络流量动态分析提取异常流量特征,进行预警; 3)黑白名单库分析:设置网络通信黑白名单库,将网络公布的黑客常用的IP地址存入到黑名单库,将与关键设备服务器经常通讯的客户端的IP设备该机器的白名单,如果出现非白名单IP访问服务器则进行预警; 4)预警发出后,网络运维人员第一时间对现有预警进行处理确认,如果不存在网络入侵,网络运维人员解除预警。
2.根据权利要求1所述的基于IP终端异常流量及黑白名单库的网络入侵识别方法,其特征在于,所述步骤I)中,所述产生预警的流量数据也存储在流量分析库中,根据检测出来网络入侵实际情况,不断修正告警阀值门限。
3.根据权利要求1所述的基于IP终端异常流量及黑白名单库的网络入侵识别方法,其特征在于,所述步骤2)中,所述异常流量特征库包括:网络入侵流量产生时间异常、网络入侵发送数据数据包字节数异常、网络入侵返回数据包字节数异常。
4.根据权利要求1所述的基于IP终端异常流量及黑白名单库的网络入侵识别方法,其特征在于,所述步骤4)中,解除预警后,根据预警产生的原因,相应的更新流量分析库,或者异常流量特征库,或者黑白名单库。
【文档编号】H04L29/06GK104468631SQ201410852491
【公开日】2015年3月25日 申请日期:2014年12月31日 优先权日:2014年12月31日
【发明者】夏飞, 崔恒志, 张明明, 丁一新, 徐晓海, 梅沁, 郑海雁, 官国飞, 葛崇慧 申请人:国家电网公司, 江苏省电力公司, 江苏方天电力技术有限公司, 江苏省电力公司信息通信分公司