| 发明名称 | 基于IP终端异常流量及黑白名单库的网络入侵识别方法 | ||
| 摘要 | 本发明公开了一种基于IP终端异常流量及黑白名单库的网络入侵识别方法,包括采用基线分析法设定流量预制门限进行预警,提取异常流量特征进行预警,建立黑白名单库,对于非白名单IP访问服务器进行预警,并且在监测过程中,流量分析库,异常流量特征库,黑白名单库不断更新完善。使用本发明方法去处理当电力系统服务器遭到网络入侵时能够及时告警,提示网络运维人员及时关注和处理,避免网络入侵造成系统崩溃和网络全面瘫痪给电网造成重大损失。 | ||
| 申请公布号 | CN104468631A | 申请公布日期 | 2015.03.25 |
| 申请号 | CN201410852491.2 | 申请日期 | 2014.12.31 |
| 申请人 | 国家电网公司;江苏省电力公司;江苏方天电力技术有限公司;江苏省电力公司信息通信分公司 | 发明人 | 夏飞;崔恒志;张明明;丁一新;徐晓海;梅沁;郑海雁;官国飞;葛崇慧 |
| 分类号 | H04L29/06(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 南京纵横知识产权代理有限公司 32224 | 代理人 | 董建林;许婉静 |
| 主权项 | 基于IP终端异常流量及黑白名单库的网络入侵识别方法,其特征在于,包括以下步骤:1)基线分析:流量监测系统持续采集网络流量数据并长期存储建立流量分析库,网络安全管理人员根据历史流量数据生成一条平均流量曲线图作为基准,然后根据该平均流量曲线图,设置不同的告警阀值门限和预警级别,如果当前流量值超过某一告警阈值门限,则进行相应级别的预警;2)流量特征分析:建立异常流量特征库,通过在线的网络流量动态分析提取异常流量特征,进行预警;3)黑白名单库分析:设置网络通信黑白名单库,将网络公布的黑客常用的IP地址存入到黑名单库,将与关键设备服务器经常通讯的客户端的IP设备该机器的白名单,如果出现非白名单IP访问服务器则进行预警;4)预警发出后,网络运维人员第一时间对现有预警进行处理确认,如果不存在网络入侵,网络运维人员解除预警。 | ||
| 地址 | 211100 江苏省南京市江宁科学园天元中路19号 | ||