1.基于IP終端異常流量及黑白名單庫的網(wǎng)絡(luò)入侵識(shí)別方法，其特征在于，包括以下步驟：

1）基線分析：流量監(jiān)測(cè)系統(tǒng)持續(xù)采集網(wǎng)絡(luò)流量數(shù)據(jù)并長期存儲(chǔ)建立流量分析庫，網(wǎng)絡(luò)安全管理人員根據(jù)歷史流量數(shù)據(jù)生成一條平均流量曲線圖作為基準(zhǔn)，然后根據(jù)該平均流量曲線圖，設(shè)置不同的告警閥值門限和預(yù)警級(jí)別，如果當(dāng)前流量值超過某一告警閾值門限，則進(jìn)行相應(yīng)級(jí)別的預(yù)警；

2）流量特征分析：建立異常流量特征庫，通過在線的網(wǎng)絡(luò)流量動(dòng)態(tài)分析提取異常流量特征，進(jìn)行預(yù)警；

3）黑白名單庫分析：設(shè)置網(wǎng)絡(luò)通信黑白名單庫，將網(wǎng)絡(luò)公布的黑客常用的IP地址存入到黑名單庫，將與關(guān)鍵設(shè)備服務(wù)器經(jīng)常通訊的客戶端的IP設(shè)備該機(jī)器的白名單，如果出現(xiàn)非白名單IP訪問服務(wù)器則進(jìn)行預(yù)警；

4）預(yù)警發(fā)出后，網(wǎng)絡(luò)運(yùn)維人員第一時(shí)間對(duì)現(xiàn)有預(yù)警進(jìn)行處理確認(rèn)，如果不存在網(wǎng)絡(luò)入侵，網(wǎng)絡(luò)運(yùn)維人員解除預(yù)警。

2.根據(jù)權(quán)利要求1所述的基于IP終端異常流量及黑白名單庫的網(wǎng)絡(luò)入侵識(shí)別方法，其特征在于，所述步驟1）中，所述產(chǎn)生預(yù)警的流量數(shù)據(jù)也存儲(chǔ)在流量分析庫中，根據(jù)檢測(cè)出來網(wǎng)絡(luò)入侵實(shí)際情況，不斷修正告警閥值門限。

3.根據(jù)權(quán)利要求1所述的基于IP終端異常流量及黑白名單庫的網(wǎng)絡(luò)入侵識(shí)別方法，其特征在于，所述步驟2）中，所述異常流量特征庫包括：網(wǎng)絡(luò)入侵流量產(chǎn)生時(shí)間異常、網(wǎng)絡(luò)入侵發(fā)送數(shù)據(jù)數(shù)據(jù)包字節(jié)數(shù)異常、網(wǎng)絡(luò)入侵返回?cái)?shù)據(jù)包字節(jié)數(shù)異常。

4.根據(jù)權(quán)利要求1所述的基于IP終端異常流量及黑白名單庫的網(wǎng)絡(luò)入侵識(shí)別方法，其特征在于，所述步驟4）中，解除預(yù)警后，根據(jù)預(yù)警產(chǎn)生的原因，相應(yīng)的更新流量分析庫，或者異常流量特征庫，或者黑白名單庫。