电力营销终端异常流量监控方法、系统及电力营销系统与流程

本发明涉及一种电力营销终端异常流量监控方法、系统及电力营销系统，属于电力营销领域。

背景技术：

电力营销系统包括电力营销终端，电力营销终端一般通过无线网络通道访问部署在内网的应用服务器，中间需要经过接入路由器、应用防火墙、接入交换机等多种网络设备，由于无线网络自身存在大量的安全隐患，为了保证内网资源不被攻击者破坏或嗅探，需要对电力营销终端访问过程中经过的网络流量进行检测，对检测到的异常进行防御。

现在采用的系统是ips（入侵防御系统），ips工作基本步骤如下：（1）串接在所监控业务的网络通道中；（2）通过一个网络端口接收来自外部业务终端的流量；（3）通过流量过滤器检查流量是否包含异常活动或可疑内容；（4）对于包含异常活动或可疑内容的流量进行拦截，对其他流量放行；（5）通过另外一个端口将正常流量传送到内部业务系统中。这样一来，有问题的流量，以及所有来自同一数据流的后续流量，都能在ips设备中被清洗掉。

但是ips存在以下缺点：1、单点故障：ips需串接到业务网络通道中使用，ips很容易就成为攻击者的网络攻击对象，ips一旦出现问题，造成单点故障，势必导致整个经过该网络节点的所有业务中断；2、性能瓶颈：从ips串接在业务网络通道这一角度出发，ips作为业务流量必经的一个网络节点，毫无疑问会增加网络流量的滞后时间。

技术实现要素：

本发明提供了一种电力营销终端异常流量监控方法、系统及电力营销系统，解决了ips存在的上述问题。

为了解决上述技术问题，本发明所采用的技术方案是：

电力营销终端异常流量监控方法，包括以下步骤，

对电力营销终端接入网络后产生的网络流量镜像进行捕获；

对捕获的网络流量镜像进行应用协议分析，获得与指定电力协议不匹配的异常应用协议；

根据异常应用协议，追溯异常电力营销终端；

向异常电力营销终端发出重新认证报文。

针对异常应用协议，通过分析网络报文中电力营销终端的标识，追溯发起该异常应用协议的异常电力营销终端。

获得与指定电力协议不匹配的异常应用协议的过程为，

设置需比对的指定电力协议；

对捕获的网络流量镜像进行应用协议分析；

将应用协议与指定电力协议进行比对，若不匹配，则该应用协议为异常应用协议。

重新认证报文中包含认证服务器地址，异常电力营销终端访问认证服务器地址，进行重新认证。

电力营销终端异常流量监控系统，包括，

捕获模型：对电力营销终端接入网络后产生的网络流量镜像进行捕获；

应用协议分析模块：对捕获的网络流量镜像进行应用协议分析，获得与指定电力协议不匹配的异常应用协议；

追溯模块：根据异常应用协议，追溯异常电力营销终端；

联动处置模块：向异常电力营销终端发出重新认证报文。

追溯模块的工作过程为，针对异常应用协议，通过分析网络报文中电力营销终端的标识，追溯发起该异常应用协议的异常电力营销终端。

应用协议分析模块包括设置模块、分析模块和匹配模块；

设置模块：设置需比对的指定电力协议；

分析模块：对捕获的网络流量镜像进行应用协议分析；

匹配模块：将应用协议与指定电力协议进行比对，若不匹配，则该应用协议为异常应用协议。

重新认证报文中包含认证服务器地址，异常电力营销终端访问认证服务器地址，进行重新认证。

电力营销系统包括安装有电力营销终端异常流量监控系统的装置，该装置连接应用服务器所连的接入交换机，接入交换机对进入应用服务器的网络流量进行镜像。

监控装置向异常电力营销终端发出重新认证报文，向异常电力营销终端向认证服务器发起认证请求。

本发明所达到的有益效果：1、本发明采用旁路部署模式，捕获网络流量镜像，有效避免了单点故障和性能瓶颈的问题；2、本发明根据异常应用协议，追溯异常电力营销终端，对异常电力营销终端进行重新认证，不影响电力营销终端对业务的正常访问；3、本发明对异常电力营销终端不直接进行阻断，而是进一步进行认证，降低误报率。

附图说明

图1为本发明方法的流程图；

图2为本发明电力营销系统的架构；

图3为电力营销系统的指令流程。

具体实施方式

下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

如图1所示，电力营销终端异常流量监控方法，包括以下步骤：

步骤1，对电力营销终端接入网络后产生的网络流量镜像进行捕获。

常见的电力营销系统中采用linux系统，因此这里采用libpcap库捕获网络流量，具体流程如下：

11）选择嗅探接口：确定需要监听的网络接口，在linux中，这可能是eth0，该接口可以指定或由libpcap自动选择，具体函数为pcap_lookupdev。

12）初始化嗅探接口：确定需要监听的网络接口后，需要对该接口进行初始化，具体函数为pcap_open_live，告诉libpcap对何设备进行嗅探，使用文件句柄进行设备的区分。

13）获取网络流量：打开网络接口后就已经开始监听，这是libpcap使用过程中的核心部分，在这个阶段内libpcap一直工作到它接收了所有想要的包为止，可采用函数pcap_dispatch来完成获取网络流量的任务。

14）释放嗅探接口：在嗅探到所需的数据后，关闭并释放接口，具体函数为pcap_close。

步骤2，对捕获的网络流量镜像进行应用协议分析，获得与指定电力协议不匹配的异常应用协议。

获得异常应用协议的过程为：设置需比对的指定电力协议；对捕获的网络流量镜像进行应用协议分析；将应用协议与指定电力协议进行比对，若不匹配，则该应用协议为异常应用协议。

由于电力营销系统中的协议单一、流程简单，可采用基于ndpi技术实现异常应用协议识别，具体流程如下：

21）初始化协议识别引擎：调用函数ndpi_init_detection_module初始化协议识别引擎的检测模块。

22）设置需要识别的协议：调用函数ndpi_protocol_detection_bitmask2设置协议的掩码，调用函数ndpi_load_protocols_file加载协议文件，通过协议文件指定具体识别哪些协议。

这里对ndpi技术进行了进一步的开发，即步骤22，针对电力特定的业务，增加可识别到的协议类型。

23）识别协议：调用函数ndpi_detection_process_packet可以获得网络报文的具体信息，包括协议流、报文的详细信息等数据，业务运行过程中，根据指定的应用协议，进行应用协议匹配，无法完成匹配的则为异常应用协议。

步骤3，根据异常应用协议，追溯异常电力营销终端。

针对异常应用协议，通过分析网络报文中电力营销终端的标识，通过标识对比，追溯发起该异常应用协议的异常电力营销终端。

步骤4，向异常电力营销终端发出重新认证报文。

重新认证报文为http重定向包，包括重定向地址和http协议，重定向地址即为认证服务器地址，异常电力营销终端访问认证服务器地址，进行重新认证。

电力营销终端异常流量监控系统，包括捕获模型、应用协议分析模块、追溯模块和联动处置模块。

其中，

捕获模型：对电力营销终端接入网络后产生的网络流量镜像进行捕获；

应用协议分析模块：对捕获的网络流量镜像进行应用协议分析，获得与指定电力协议不匹配的异常应用协议；

应用协议分析模块包括设置模块、分析模块和匹配模块；

设置模块：设置需比对的指定电力协议；

分析模块：对捕获的网络流量镜像进行应用协议分析；

匹配模块：将应用协议与指定电力协议进行比对，若不匹配，则该应用协议为异常应用协议；

追溯模块：针对异常应用协议，通过分析网络报文中电力营销终端的标识，追溯发起该异常应用协议的异常电力营销终端；

联动处置模块：向异常电力营销终端发出重新认证报文，重新认证报文中包含认证服务器地址，异常电力营销终端访问认证服务器地址，进行重新认证。

如图2所示，经过网络安全防护后的电力营销系统，包括应用服务器、认证服务器、接入交换机、电力营销终端、监控装置、接入路由器和防火墙，电力营销终端依次通过接入路由器、防火墙和接入交换机连接应用服务器，认证服务器和监控装置连接接入交换机，监控装置内安装有电力营销终端异常流量监控系统，接入交换机的端口镜像功能对进入应用服务器的网络流量进行镜像。

如图3所示，上述电力营销系统的具体工作过程如下：

a）电力营销终端向应用服务器发起访问请求；

b）接入交换机对进入应用服务器的网络流量进行镜像；

c）监控装置对网络流量镜像进行捕获，识别异常应用协议，追溯异常电力营销终端；

d）监控装置向异常电力营销终端发送重新认证报文；

e）电力营销终端接收重新认证报文，向认证服务器发起认证请求；

f）认证服务器接收认证请求，推送认证提示；

g）只有通过认证的电力营销终端才被允许接入网络，否则将被阻断网络流量通道。

一种存储一个或多个程序的计算机可读存储介质，所述一个或多个程序包括指令，所述指令当由计算设备执行时，使得所述计算设备执行电力营销终端监控方法。

一种计算设备，包括一个或多个处理器、存储器以及一个或多个程序，其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行，所述一个或多个程序包括用于执行电力营销终端监控方法的指令。

本发明采用旁路部署模式，捕获网络流量镜像，这样不仅不影响电力营销终端访问应用服务器时的数据转发性能，还能避免因为自身缺陷造成网络节点故障，从而直接导致电力营销终端无法正常访问应用服务器，即有效避免了单点故障和性能瓶颈的问题。

本发明根据异常应用协议，追溯异常电力营销终端，对异常电力营销终端不直接进行阻断，而是进一步进行认证，认证不通过的进行阻断，不影响电力营销终端对业务的正常访问，同时降低误报率。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、cd-rom、光学存储器等）上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备（系统）、和计算机程序产品的流程图和／或方框图来描述的。应理解可由计算机程序指令实现流程图和／或方框图中的每一流程和／或方框、以及流程图和／或方框图中的流程和／或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的步骤。

以上仅为本发明的实施例而已，并不用于限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均包含在申请待批的本发明的权利要求范围之内。