本發明公開了一種基于電網信息系統異常流量的防護方法，涉及電力管理技術領域；其包括S1建立網絡流量特征庫，包含源IP和QPS信息并定期更新，S2流量監控，發現流量特征符合國家電網信息系統特點時，重復回到S2步驟，發現流量特征不符合國家電網信息系統特點時，進入S3步驟，S3防護，將流量檢測到的特征在防護策略知識庫中進行匹配，如果源IP地址對應的QPS信息超過網絡流量特征庫的閾值，則驅動防護設備啟動防御，如未找到網絡流量特征庫的閾值，則將該信息轉化成黑名單進行流量清洗；其通過S1建立網絡流量特征庫、S2流量監控和S3防護步驟等，實現了電網網絡安全防護，提升了電網信息化的域名服務安全水平。

技術領域

本發明涉及電力管理技術領域，尤其涉及一種基于電網信息系統異常流量的防護方法。

背景技術

國家電網關系國計民生，信息系統作為國家電網的重要服務，其安全性事關重大。互聯網基礎服務支撐著國家電網信息系統服務的平穩運行和互聯互通，在互聯網體系中處于承上啟下的關鍵位置，其安全運行是保障國家電網信息化以及互聯網其他產業安全穩定的基礎。

國家電網隨著信息化程度越來越高，其互聯網服務規模越來越龐大，多層面的網絡安全威脅和安全風險也在不斷增加，網絡病毒、Dos／DDos攻擊等構成的威脅和損失越來越大，網絡攻擊行為向著分布化、規模化、復雜化等趨勢發展，僅僅依靠防火墻、入侵檢測、防病毒、訪問控制等單一的網絡安全防護技術，已不能滿足網絡安全的需求，迫切需要新的技術，及時發現網絡中的異常事件，實時掌握網絡安全狀況，將之前很多時候亡羊補牢的事中、事后處理，轉向事前自動評估預測，降低網絡安全風險，提高網絡安全防護能力。

現有技術問題及思考：

如何解決電網網絡安全防護的技術問題。

發明內容

本發明所要解決的技術問題是提供一種基于電網信息系統異常流量的防護方法，其通過S1建立網絡流量特征庫、S2流量監控和S3防護步驟等，實現了電網網絡安全防護，提升了電網信息化的域名服務安全水平。

為解決上述技術問題，本發明所采取的技術方案是：包括如下步驟，

S1建立網絡流量特征庫

建立國家電網信息系統特點的網絡流量特征庫，包含源IP和QPS信息并定期更新；

S2流量監控

進行流量檢測與分析，采用深度學習技術發現流量特征符合國家電網信息系統特點時，重復回到S2步驟；發現流量特征不符合國家電網信息系統特點時，進入S3步驟；

S3防護

將流量檢測到的特征在防護策略知識庫中進行匹配，如果源IP地址對應的QPS信息超過網絡流量特征庫的閾值，則驅動防護設備啟動防御；如未找到網絡流量特征庫的閾值，則將該信息轉化成黑名單進行流量清洗。

進一步的技術方案在于：小于等于1000Mbps攻擊流量的DDoS攻擊，采用iptables或者DDoS防護應用；大于1000Mbps攻擊流量的DDoS攻擊，采用iptables或者DDoS防護應用，或者在機房出口設備直接配置黑洞防護，或者切換域名并將對外服務IP修改為高負載Proxy集群外網IP。

進一步的技術方案在于：設置用于報警的預警閥值和用于處理的響應閥值，根據流量大小和影響程度調整防護方案。

進一步的技術方案在于：根據業務協議制定TCP協議白名單，如果遇到UDP請求，直接丟棄UDP包。

進一步的技術方案在于：在限流或者清洗流量后重啟服務，釋放連接數。

進一步的技術方案在于：若為icmp包，則直接丟棄，先在機房出口以下每一層面做丟棄或者限流。