CN109889552A - 电力营销终端异常流量监控方法、系统及电力营销系统 - Google Patents
电力营销终端异常流量监控方法、系统及电力营销系统 Download PDFInfo
- Publication number
- CN109889552A CN109889552A CN201910311604.0A CN201910311604A CN109889552A CN 109889552 A CN109889552 A CN 109889552A CN 201910311604 A CN201910311604 A CN 201910311604A CN 109889552 A CN109889552 A CN 109889552A
- Authority
- CN
- China
- Prior art keywords
- abnormal
- terminal
- power
- application protocol
- power marketing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种电力营销终端异常流量监控方法,包括对电力营销终端接入网络后产生的网络流量镜像进行捕获;对捕获的网络流量镜像进行应用协议分析,获得异常应用协议;根据异常应用协议,追溯异常电力营销终端;向异常电力营销终端发出重新认证报文。同时公开了相应的系统和电力营销系统。本发明采用旁路部署模式,捕获网络流量镜像,有效避免了单点故障和性能瓶颈的问题。
Description
技术领域
本发明涉及一种电力营销终端异常流量监控方法、系统及电力营销系统,属于电力营销领域。
背景技术
电力营销系统包括电力营销终端,电力营销终端一般通过无线网络通道访问部署在内网的应用服务器,中间需要经过接入路由器、应用防火墙、接入交换机等多种网络设备,由于无线网络自身存在大量的安全隐患,为了保证内网资源不被攻击者破坏或嗅探,需要对电力营销终端访问过程中经过的网络流量进行检测,对检测到的异常进行防御。
现在采用的系统是IPS(入侵防御系统),IPS工作基本步骤如下:(1)串接在所监控业务的网络通道中;(2)通过一个网络端口接收来自外部业务终端的流量;(3)通过流量过滤器检查流量是否包含异常活动或可疑内容;(4)对于包含异常活动或可疑内容的流量进行拦截,对其他流量放行;(5)通过另外一个端口将正常流量传送到内部业务系统中。这样一来,有问题的流量,以及所有来自同一数据流的后续流量,都能在IPS设备中被清洗掉。
但是IPS存在以下缺点:1、单点故障:IPS需串接到业务网络通道中使用, IPS很容易就成为攻击者的网络攻击对象,IPS一旦出现问题,造成单点故障,势必导致整个经过该网络节点的所有业务中断;2、性能瓶颈:从IPS串接在业务网络通道这一角度出发,IPS作为业务流量必经的一个网络节点,毫无疑问会增加网络流量的滞后时间。
发明内容
本发明提供了一种电力营销终端异常流量监控方法、系统及电力营销系统,解决了IPS存在的上述问题。
为了解决上述技术问题,本发明所采用的技术方案是:
电力营销终端异常流量监控方法,包括以下步骤,
对电力营销终端接入网络后产生的网络流量镜像进行捕获;
对捕获的网络流量镜像进行应用协议分析,获得与指定电力协议不匹配的异常应用协议;
根据异常应用协议,追溯异常电力营销终端;
向异常电力营销终端发出重新认证报文。
针对异常应用协议,通过分析网络报文中电力营销终端的标识,追溯发起该异常应用协议的异常电力营销终端。
获得与指定电力协议不匹配的异常应用协议的过程为,
设置需比对的指定电力协议;
对捕获的网络流量镜像进行应用协议分析;
将应用协议与指定电力协议进行比对,若不匹配,则该应用协议为异常应用协议。
重新认证报文中包含认证服务器地址,异常电力营销终端访问认证服务器地址,进行重新认证。
电力营销终端异常流量监控系统,包括,
捕获模型:对电力营销终端接入网络后产生的网络流量镜像进行捕获;
应用协议分析模块:对捕获的网络流量镜像进行应用协议分析,获得与指定电力协议不匹配的异常应用协议;
追溯模块:根据异常应用协议,追溯异常电力营销终端;
联动处置模块:向异常电力营销终端发出重新认证报文。
追溯模块的工作过程为,针对异常应用协议,通过分析网络报文中电力营销终端的标识,追溯发起该异常应用协议的异常电力营销终端。
应用协议分析模块包括设置模块、分析模块和匹配模块;
设置模块:设置需比对的指定电力协议;
分析模块:对捕获的网络流量镜像进行应用协议分析;
匹配模块:将应用协议与指定电力协议进行比对,若不匹配,则该应用协议为异常应用协议。
重新认证报文中包含认证服务器地址,异常电力营销终端访问认证服务器地址,进行重新认证。
电力营销系统包括安装有电力营销终端异常流量监控系统的装置,该装置连接应用服务器所连的接入交换机,接入交换机对进入应用服务器的网络流量进行镜像。
监控装置向异常电力营销终端发出重新认证报文,向异常电力营销终端向认证服务器发起认证请求。
本发明所达到的有益效果:1、本发明采用旁路部署模式,捕获网络流量镜像,有效避免了单点故障和性能瓶颈的问题;2、本发明根据异常应用协议,追溯异常电力营销终端,对异常电力营销终端进行重新认证,不影响电力营销终端对业务的正常访问;3、本发明对异常电力营销终端不直接进行阻断,而是进一步进行认证,降低误报率。
附图说明
图1为本发明方法的流程图;
图2为本发明电力营销系统的架构;
图3为电力营销系统的指令流程。
具体实施方式
下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
如图1所示,电力营销终端异常流量监控方法,包括以下步骤:
步骤1,对电力营销终端接入网络后产生的网络流量镜像进行捕获。
常见的电力营销系统中采用linux系统,因此这里采用libpcap库捕获网络流量,具体流程如下:
11)选择嗅探接口:确定需要监听的网络接口,在Linux中,这可能是eth0,该接口可以指定或由libpcap自动选择,具体函数为pcap_lookupdev。
12)初始化嗅探接口:确定需要监听的网络接口后,需要对该接口进行初始化,具体函数为pcap_open_live,告诉libpcap对何设备进行嗅探,使用文件句柄进行设备的区分。
13)获取网络流量:打开网络接口后就已经开始监听,这是libpcap使用过程中的核心部分,在这个阶段内libpcap一直工作到它接收了所有想要的包为止,可采用函数pcap_dispatch来完成获取网络流量的任务。
14)释放嗅探接口:在嗅探到所需的数据后,关闭并释放接口,具体函数为pcap_close。
步骤2,对捕获的网络流量镜像进行应用协议分析,获得与指定电力协议不匹配的异常应用协议。
获得异常应用协议的过程为:设置需比对的指定电力协议;对捕获的网络流量镜像进行应用协议分析;将应用协议与指定电力协议进行比对,若不匹配,则该应用协议为异常应用协议。
由于电力营销系统中的协议单一、流程简单,可采用基于nDPI技术实现异常应用协议识别,具体流程如下:
21)初始化协议识别引擎:调用函数ndpi_init_detection_module初始化协议识别引擎的检测模块。
22)设置需要识别的协议:调用函数ndpi_protocol_detection_bitmask2设置协议的掩码,调用函数ndpi_load_protocols_file加载协议文件,通过协议文件指定具体识别哪些协议。
这里对nDPI技术进行了进一步的开发,即步骤22,针对电力特定的业务,增加可识别到的协议类型。
23)识别协议:调用函数ndpi_detection_process_packet可以获得网络报文的具体信息,包括协议流、报文的详细信息等数据,业务运行过程中,根据指定的应用协议,进行应用协议匹配,无法完成匹配的则为异常应用协议。
步骤3,根据异常应用协议,追溯异常电力营销终端。
针对异常应用协议,通过分析网络报文中电力营销终端的标识,通过标识对比,追溯发起该异常应用协议的异常电力营销终端。
步骤4,向异常电力营销终端发出重新认证报文。
重新认证报文为HTTP重定向包,包括重定向地址和HTTP协议,重定向地址即为认证服务器地址,异常电力营销终端访问认证服务器地址,进行重新认证。
电力营销终端异常流量监控系统,包括捕获模型、应用协议分析模块、追溯模块和联动处置模块。
其中,
捕获模型:对电力营销终端接入网络后产生的网络流量镜像进行捕获;
应用协议分析模块:对捕获的网络流量镜像进行应用协议分析,获得与指定电力协议不匹配的异常应用协议;
应用协议分析模块包括设置模块、分析模块和匹配模块;
设置模块:设置需比对的指定电力协议;
分析模块:对捕获的网络流量镜像进行应用协议分析;
匹配模块:将应用协议与指定电力协议进行比对,若不匹配,则该应用协议为异常应用协议;
追溯模块:针对异常应用协议,通过分析网络报文中电力营销终端的标识,追溯发起该异常应用协议的异常电力营销终端;
联动处置模块:向异常电力营销终端发出重新认证报文,重新认证报文中包含认证服务器地址,异常电力营销终端访问认证服务器地址,进行重新认证。
如图2所示,经过网络安全防护后的电力营销系统,包括应用服务器、认证服务器、接入交换机、电力营销终端、监控装置、接入路由器和防火墙,电力营销终端依次通过接入路由器、防火墙和接入交换机连接应用服务器,认证服务器和监控装置连接接入交换机,监控装置内安装有电力营销终端异常流量监控系统,接入交换机的端口镜像功能对进入应用服务器的网络流量进行镜像。
如图3所示,上述电力营销系统的具体工作过程如下:
A)电力营销终端向应用服务器发起访问请求;
B)接入交换机对进入应用服务器的网络流量进行镜像;
C)监控装置对网络流量镜像进行捕获,识别异常应用协议,追溯异常电力营销终端;
D)监控装置向异常电力营销终端发送重新认证报文;
E)电力营销终端接收重新认证报文,向认证服务器发起认证请求;
F)认证服务器接收认证请求,推送认证提示;
G)只有通过认证的电力营销终端才被允许接入网络,否则将被阻断网络流量通道。
一种存储一个或多个程序的计算机可读存储介质,所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行电力营销终端监控方法。
一种计算设备,包括一个或多个处理器、存储器以及一个或多个程序,其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序包括用于执行电力营销终端监控方法的指令。
本发明采用旁路部署模式,捕获网络流量镜像,这样不仅不影响电力营销终端访问应用服务器时的数据转发性能,还能避免因为自身缺陷造成网络节点故障,从而直接导致电力营销终端无法正常访问应用服务器,即有效避免了单点故障和性能瓶颈的问题。
本发明根据异常应用协议,追溯异常电力营销终端,对异常电力营销终端不直接进行阻断,而是进一步进行认证,认证不通过的进行阻断,不影响电力营销终端对业务的正常访问,同时降低误报率。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上仅为本发明的实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均包含在申请待批的本发明的权利要求范围之内。
Claims (10)
1.电力营销终端异常流量监控方法,其特征在于:包括以下步骤,
对电力营销终端接入网络后产生的网络流量镜像进行捕获;
对捕获的网络流量镜像进行应用协议分析,获得与指定电力协议不匹配的异常应用协议;
根据异常应用协议,追溯异常电力营销终端;
向异常电力营销终端发出重新认证报文。
2.根据权利要求1所述的电力营销终端异常流量监控方法,其特征在于:针对异常应用协议,通过分析网络报文中电力营销终端的标识,追溯发起该异常应用协议的异常电力营销终端。
3.根据权利要求1所述的电力营销终端异常流量监控方法,其特征在于:获得与指定电力协议不匹配的异常应用协议的过程为,
设置需比对的指定电力协议;
对捕获的网络流量镜像进行应用协议分析;
将应用协议与指定电力协议进行比对,若不匹配,则该应用协议为异常应用协议。
4.根据权利要求1所述的电力营销终端异常流量监控方法,其特征在于:重新认证报文中包含认证服务器地址,异常电力营销终端访问认证服务器地址,进行重新认证。
5.电力营销终端异常流量监控系统,其特征在于:包括,
捕获模型:对电力营销终端接入网络后产生的网络流量镜像进行捕获;
应用协议分析模块:对捕获的网络流量镜像进行应用协议分析,获得与指定电力协议不匹配的异常应用协议;
追溯模块:根据异常应用协议,追溯异常电力营销终端;
联动处置模块:向异常电力营销终端发出重新认证报文。
6.根据权利要求5所述的电力营销终端异常流量监控系统,其特征在于:追溯模块的工作过程为,
针对异常应用协议,通过分析网络报文中电力营销终端的标识,追溯发起该异常应用协议的异常电力营销终端。
7.根据权利要求5所述的电力营销终端异常流量监控系统,其特征在于:应用协议分析模块包括设置模块、分析模块和匹配模块;
设置模块:设置需比对的指定电力协议;
分析模块:对捕获的网络流量镜像进行应用协议分析;
匹配模块:将应用协议与指定电力协议进行比对,若不匹配,则该应用协议为异常应用协议。
8.根据权利要求5所述的电力营销终端异常流量监控系统,其特征在于:重新认证报文中包含认证服务器地址,异常电力营销终端访问认证服务器地址,进行重新认证。
9.电力营销系统,其特征在于:包括安装有权利要求5~8任意一项所述的电力营销终端异常流量监控系统的监控装置,监控装置连接应用服务器所连的接入交换机,接入交换机对进入应用服务器的网络流量进行镜像。
10.根据权利要求8所述的电力营销系统,其特征在于:监控装置向异常电力营销终端发出重新认证报文,向异常电力营销终端向认证服务器发起认证请求。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910311604.0A CN109889552A (zh) | 2019-04-18 | 2019-04-18 | 电力营销终端异常流量监控方法、系统及电力营销系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910311604.0A CN109889552A (zh) | 2019-04-18 | 2019-04-18 | 电力营销终端异常流量监控方法、系统及电力营销系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109889552A true CN109889552A (zh) | 2019-06-14 |
Family
ID=66937591
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910311604.0A Pending CN109889552A (zh) | 2019-04-18 | 2019-04-18 | 电力营销终端异常流量监控方法、系统及电力营销系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109889552A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110602046A (zh) * | 2019-08-13 | 2019-12-20 | 上海陆家嘴国际金融资产交易市场股份有限公司 | 数据监控处理方法、装置、计算机设备和存储介质 |
CN112489400A (zh) * | 2020-10-20 | 2021-03-12 | 国网山东省电力公司滨州供电公司 | 一种基于流量分析的电力移动作业终端预警系统及方法 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7519990B1 (en) * | 2002-07-19 | 2009-04-14 | Fortinet, Inc. | Managing network traffic flow |
CN104994091A (zh) * | 2015-06-30 | 2015-10-21 | 东软集团股份有限公司 | 异常流量的检测方法及装置、防御Web攻击的方法和装置 |
CN105024885A (zh) * | 2015-07-29 | 2015-11-04 | 盛趣信息技术(上海)有限公司 | 反外挂的网络游戏系统 |
CN105337951A (zh) * | 2014-08-15 | 2016-02-17 | 中国电信股份有限公司 | 对系统攻击进行路径回溯的方法与装置 |
CN105635084A (zh) * | 2014-11-17 | 2016-06-01 | 华为技术有限公司 | 终端认证装置及方法 |
CN105656730A (zh) * | 2016-04-12 | 2016-06-08 | 北京北信源软件股份有限公司 | 一种基于tcp数据包的网络应用快速发现方法和系统 |
CN106330964A (zh) * | 2016-10-14 | 2017-01-11 | 成都信息工程大学 | 一种网络入侵探测与主动防御联动控制装置 |
CN106982235A (zh) * | 2017-06-08 | 2017-07-25 | 江苏省电力试验研究院有限公司 | 一种基于iec 61850的电力工业控制网络入侵检测方法及系统 |
CN108076019A (zh) * | 2016-11-17 | 2018-05-25 | 北京金山云网络技术有限公司 | 基于流量镜像的异常流量检测方法及装置 |
CN108777643A (zh) * | 2018-06-08 | 2018-11-09 | 武汉思普崚技术有限公司 | 一种流量可视化平台系统 |
-
2019
- 2019-04-18 CN CN201910311604.0A patent/CN109889552A/zh active Pending
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7519990B1 (en) * | 2002-07-19 | 2009-04-14 | Fortinet, Inc. | Managing network traffic flow |
CN105337951A (zh) * | 2014-08-15 | 2016-02-17 | 中国电信股份有限公司 | 对系统攻击进行路径回溯的方法与装置 |
CN105635084A (zh) * | 2014-11-17 | 2016-06-01 | 华为技术有限公司 | 终端认证装置及方法 |
CN104994091A (zh) * | 2015-06-30 | 2015-10-21 | 东软集团股份有限公司 | 异常流量的检测方法及装置、防御Web攻击的方法和装置 |
CN105024885A (zh) * | 2015-07-29 | 2015-11-04 | 盛趣信息技术(上海)有限公司 | 反外挂的网络游戏系统 |
CN105656730A (zh) * | 2016-04-12 | 2016-06-08 | 北京北信源软件股份有限公司 | 一种基于tcp数据包的网络应用快速发现方法和系统 |
CN106330964A (zh) * | 2016-10-14 | 2017-01-11 | 成都信息工程大学 | 一种网络入侵探测与主动防御联动控制装置 |
CN108076019A (zh) * | 2016-11-17 | 2018-05-25 | 北京金山云网络技术有限公司 | 基于流量镜像的异常流量检测方法及装置 |
CN106982235A (zh) * | 2017-06-08 | 2017-07-25 | 江苏省电力试验研究院有限公司 | 一种基于iec 61850的电力工业控制网络入侵检测方法及系统 |
CN108777643A (zh) * | 2018-06-08 | 2018-11-09 | 武汉思普崚技术有限公司 | 一种流量可视化平台系统 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110602046A (zh) * | 2019-08-13 | 2019-12-20 | 上海陆家嘴国际金融资产交易市场股份有限公司 | 数据监控处理方法、装置、计算机设备和存储介质 |
CN110602046B (zh) * | 2019-08-13 | 2022-04-26 | 未鲲(上海)科技服务有限公司 | 数据监控处理方法、装置、计算机设备和存储介质 |
CN112489400A (zh) * | 2020-10-20 | 2021-03-12 | 国网山东省电力公司滨州供电公司 | 一种基于流量分析的电力移动作业终端预警系统及方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9407602B2 (en) | Methods and apparatus for redirecting attacks on a network | |
CA2968201C (en) | Systems and methods for malicious code detection | |
WO2018108052A1 (zh) | 一种DDoS攻击的防御方法、系统及相关设备 | |
CN105635084B (zh) | 终端认证装置及方法 | |
CN111262879B (zh) | 一种基于仿真路径分析的防火墙安全策略开通方法及装置 | |
US7738403B2 (en) | Method for determining the operations performed on packets by a network device | |
CN110830330B (zh) | 一种防火墙测试方法、装置及系统 | |
Antrobus et al. | Simaticscan: Towards a specialised vulnerability scanner for industrial control systems | |
CN102624721B (zh) | 一种特征码验证平台装置及特征码验证方法 | |
CN109743314A (zh) | 网络异常的监控方法、装置、计算机设备及其存储介质 | |
CN109889552A (zh) | 电力营销终端异常流量监控方法、系统及电力营销系统 | |
CN114885332A (zh) | 流量处理方法及装置、存储介质及电子设备 | |
CN111182537A (zh) | 移动应用的网络接入方法、装置及系统 | |
CN112822146A (zh) | 网络连接的监控方法、装置、系统和计算机可读存储介质 | |
KR101887544B1 (ko) | Sdn 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템 | |
CN102045309A (zh) | 一种用于防止计算机病毒攻击的方法和装置 | |
US11943250B2 (en) | Test device | |
KR101592323B1 (ko) | 서버 장애 시 원격 서버 복구 시스템 및 방법 | |
CN107395643B (zh) | 一种基于扫描探针行为的源ip保护方法 | |
CN108566380A (zh) | 一种代理上网行为识别与检测方法 | |
CN112134845A (zh) | 一种抗拒绝服务系统 | |
CN112565217A (zh) | 基于协议的混淆通信方法及客户终端、服务器、存储介质 | |
KR101976794B1 (ko) | 네트워크 보안 방법 및 그 장치 | |
CN115225297B (zh) | 一种阻断网络入侵的方法及装置 | |
Kiuchi et al. | Security technologies, usage and guidelines in SCADA system networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190614 |