CN110868393A

CN110868393A - 一种基于电网信息系统异常流量的防护方法

Info

Publication number: CN110868393A
Application number: CN201910904725.6A
Authority: CN
Inventors: 陈连栋; 王珏; 袁翰青; 王晓光; 杨会峰; 许俊现; 王占魁; 辛锐; 申培培; 程凯; 刘玮; 赵建斌; 刘欣; 孙辰军; 黄镜宇; 刘宏; 高丽芳; 林静; 郭少勇; 杨杨
Original assignee: State Grid Corp of China SGCC; Computer Network Information Center of CAS; Information and Telecommunication Branch of State Grid Hebei Electric Power Co Ltd
Current assignee: State Grid Corp of China SGCC; Computer Network Information Center of CAS; Information and Telecommunication Branch of State Grid Hebei Electric Power Co Ltd
Priority date: 2019-09-24
Filing date: 2019-09-24
Publication date: 2020-03-06
Also published as: WO2021057225A1

Abstract

本发明公开了一种基于电网信息系统异常流量的防护方法，涉及电力管理技术领域；其包括S1建立网络流量特征库，包含源IP和QPS信息并定期更新，S2流量监控，发现流量特征符合国家电网信息系统特点时，重复回到S2步骤，发现流量特征不符合国家电网信息系统特点时，进入S3步骤，S3防护，将流量检测到的特征在防护策略知识库中进行匹配，如果源IP地址对应的QPS信息超过网络流量特征库的阈值，则驱动防护设备启动防御，如未找到网络流量特征库的阈值，则将该信息转化成黑名单进行流量清洗；其通过S1建立网络流量特征库、S2流量监控和S3防护步骤等，实现了电网网络安全防护，提升了电网信息化的域名服务安全水平。

Description

一种基于电网信息系统异常流量的防护方法

技术领域

本发明涉及电力管理技术领域，尤其涉及一种基于电网信息系统异常流量的防护方法。

背景技术

国家电网关系国计民生，信息系统作为国家电网的重要服务，其安全性事关重大。互联网基础服务支撑着国家电网信息系统服务的平稳运行和互联互通，在互联网体系中处于承上启下的关键位置，其安全运行是保障国家电网信息化以及互联网其他产业安全稳定的基础。

国家电网随着信息化程度越来越高，其互联网服务规模越来越庞大，多层面的网络安全威胁和安全风险也在不断增加，网络病毒、Dos／DDos攻击等构成的威胁和损失越来越大，网络攻击行为向着分布化、规模化、复杂化等趋势发展，仅仅依靠防火墙、入侵检测、防病毒、访问控制等单一的网络安全防护技术，已不能满足网络安全的需求，迫切需要新的技术，及时发现网络中的异常事件，实时掌握网络安全状况，将之前很多时候亡羊补牢的事中、事后处理，转向事前自动评估预测，降低网络安全风险，提高网络安全防护能力。

现有技术问题及思考：

如何解决电网网络安全防护的技术问题。

发明内容

本发明所要解决的技术问题是提供一种基于电网信息系统异常流量的防护方法，其通过S1建立网络流量特征库、S2流量监控和S3防护步骤等，实现了电网网络安全防护，提升了电网信息化的域名服务安全水平。

为解决上述技术问题，本发明所采取的技术方案是：包括如下步骤，

S1建立网络流量特征库

建立国家电网信息系统特点的网络流量特征库，包含源IP和QPS信息并定期更新；

S2流量监控

进行流量检测与分析，采用深度学习技术发现流量特征符合国家电网信息系统特点时，重复回到S2步骤；发现流量特征不符合国家电网信息系统特点时，进入S3步骤；

S3防护

将流量检测到的特征在防护策略知识库中进行匹配，如果源IP地址对应的QPS信息超过网络流量特征库的阈值，则驱动防护设备启动防御；如未找到网络流量特征库的阈值，则将该信息转化成黑名单进行流量清洗。

进一步的技术方案在于：小于等于1000Mbps攻击流量的DDoS攻击，采用iptables或者DDoS防护应用；大于1000Mbps攻击流量的DDoS攻击，采用iptables或者DDoS防护应用，或者在机房出口设备直接配置黑洞防护，或者切换域名并将对外服务IP修改为高负载Proxy集群外网IP。

进一步的技术方案在于：设置用于报警的预警阀值和用于处理的响应阀值，根据流量大小和影响程度调整防护方案。

进一步的技术方案在于：根据业务协议制定TCP协议白名单，如果遇到UDP请求，直接丢弃UDP包。

进一步的技术方案在于：在限流或者清洗流量后重启服务，释放连接数。

进一步的技术方案在于：若为icmp包，则直接丢弃，先在机房出口以下每一层面做丢弃或者限流。

进一步的技术方案在于：结合攻击流量特征和电网网络特点，建立预定的防护策略知识库，并将防护策略与攻击特征进行映射。

进一步的技术方案在于：对于用户群体单一且固定的域名服务，抽象出域名服务特征库。

进一步的技术方案在于：对于正常流量特征，经过管理员确认后加入网络流量特征库并自动升级。

进一步的技术方案在于：当流量特征被提取出来后，使用快速匹配算法寻找相应的防护策略集合并推荐。

采用上述技术方案所产生的有益效果在于：

其通过S1建立网络流量特征库、S2流量监控和S3防护步骤等，实现了电网网络安全防护，提升了电网信息化的域名服务安全水平。

详见具体实施方式部分描述。

附图说明

图1是本发明的流程图；

图2是本发明中防护策略知识库的框图；

图3是本发明中划分攻击特征的框图；

图4是本发明中攻击特征与防护策略的映射关系图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本申请及其应用或使用的任何限制。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

在下面的描述中阐述了很多具体细节以便于充分理解本申请，但是本申请还可以采用其他不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本申请内涵的情况下做类似推广，因此本申请不受下面公开的具体实施例的限制。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本申请的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。

除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本申请的范围。同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。

在本申请的描述中，需要理解的是，方位词如“前、后、上、下、左、右”、“横向、竖向、垂直、水平”和“顶、底”等所指示的方位或位置关系通常是基于附图所示的方位或位置关系，仅是为了便于描述本申请和简化描述，在未作相反说明的情况下，这些方位词并不指示和暗示所指的装置或元件必须具有特定的方位或者以特定的方位构造和操作，因此不能理解为对本申请保护范围的限制；方位词“内、外”是指相对于各部件本身的轮廓的内外。

为了便于描述，在这里可以使用空间相对术语，如“在……之上”、“在……上方”、“在……上表面”、“上面的”等，用来描述如在图中所示的一个器件或特征与其他器件或特征的空间位置关系。应当理解的是，空间相对术语旨在包含除了器件在图中所描述的方位之外的在使用或操作中的不同方位。例如，如果附图中的器件被倒置，则描述为“在其他器件或构造上方”或“在其他器件或构造之上”的器件之后将被定位为“在其他器件或构造下方”或“在其他器件或构造之下”。因而，示例性术语“在……上方”可以包括“在……上方”和“在……下方”两种方位。该器件也可以其他不同方式定位(旋转90度或处于其他方位)，并且对这里所使用的空间相对描述做出相应解释。

此外，需要说明的是，使用“第一”、“第二”等词语来限定零部件，仅仅是为了便于对相应零部件进行区别，如没有另行声明，上述词语并没有特殊含义，因此不能理解为对本申请保护范围的限制。

实施例1：

如图1所示，本发明公开了一种基于电网信息系统异常流量的防护方法，包括如下步骤：

S1建立网络流量特征库

建立国家电网信息系统特点的网络流量特征库，包含源IP和QPS信息并定期更新。

S2流量监控

进行流量检测与分析，采用深度学习技术发现流量特征符合国家电网信息系统特点时，重复回到S2步骤；发现流量特征不符合国家电网信息系统特点时，进入S3步骤。

S3防护

实施例2：

S1建立网络流量特征库

S2流量监控

S3防护

小于等于1000Mbps攻击流量的DDoS攻击，采用iptables或者DDoS防护应用；大于1000Mbps攻击流量的DDoS攻击，采用iptables或者DDoS防护应用，或者在机房出口设备直接配置黑洞防护，或者切换域名并将对外服务IP修改为高负载Proxy集群外网IP。

实施例3：

S1建立网络流量特征库

S2流量监控

S3防护

设置用于报警的预警阀值和用于处理的响应阀值，根据流量大小和影响程度调整防护方案。

实施例4：

S1建立网络流量特征库

S2流量监控

S3防护

根据业务协议制定TCP协议白名单，如果遇到UDP请求，直接丢弃UDP包。

实施例5：

S1建立网络流量特征库

S2流量监控

S3防护

在限流或者清洗流量后重启服务，释放连接数。

实施例6：

S1建立网络流量特征库

S2流量监控

S3防护

在限流或者清洗流量后重启服务，释放连接数。

若为icmp包，则直接丢弃，先在机房出口以下每一层面做丢弃或者限流。

实施例7：

S1建立网络流量特征库

S2流量监控

S3防护

在限流或者清洗流量后重启服务，释放连接数。

结合攻击流量特征和电网网络特点，建立预定的防护策略知识库，并将防护策略与攻击特征进行映射。

实施例8：

S1建立网络流量特征库

S2流量监控

S3防护

在限流或者清洗流量后重启服务，释放连接数。

对于用户群体单一且固定的域名服务，抽象出域名服务特征库。

实施例9：

S1建立网络流量特征库

S2流量监控

S3防护

在限流或者清洗流量后重启服务，释放连接数。

对于正常流量特征，经过管理员确认后加入网络流量特征库并自动升级。

实施例10：

S1建立网络流量特征库

S2流量监控

S3防护

在限流或者清洗流量后重启服务，释放连接数。

当流量特征被提取出来后，使用快速匹配算法寻找相应的防护策略集合并推荐。

说明：

S1建立国家电网信息系统特点的网络流量特征库，包含常用访问的源IP、QPS等信息，并通过统计方法，定期进行更新。

S2进行流量检测与分析，采用深度学习技术发现流量特征符合国家电网信息系统特点时，重复回到S2步骤；发现流量特征不符合国家电网信息系统特点时，进入S3步骤。

S3将流量检测到的特征在防护策略知识库中进行匹配，如果源IP地址对应的QPS等信息超过网络流量特征库的阈值，则驱动防护设备启动防御；如未找到网络流量特征库的阈值，则将该信息转化成黑名单进行流量清洗。

如图2所示，本申请的方法具有异常流量发现功能、应对攻击的防护策略主动推荐等功能。

1、异常流量发现

攻击大多数是复合式攻击，越来越复杂化。

1.1、按攻击流量规模分类

1.1.1、较小流量

小于1000Mbps攻击流量的DDoS攻击，一般只会造成小幅度延迟和卡顿，并不是很影响线上业务的正常运行，防护可以利用iptables或者DDoS防护应用实现软件层的DDoS防护。

1.1.2、大型流量

大于1000Mbps攻击流量的DDoS攻击，可以利用iptables或者DDoS防护应用实现软件层防护，或者在机房出口设备直接配置黑洞等防护策略，或者同时切换域名，将对外服务IP修改为高负载Proxy集群外网IP，或者CDN高仿IP，或者公有云DDoS网关IP，由其代理到RealServer。

1.2、按网络协议分类

如图3所示，按照TCP/IP网络协议，对网络攻击进行分类。

1.2.1、应用层

结合电网网络基础服务防护应用层特征，存储攻击流量特征。例如畸形包攻击、放大攻击、回放攻击、中间人攻击和DNS隧道攻击等流量特征。

1.2.2、传输层syn/fin/ack等tcp协议包

设置预警阀值和响应阀值，前者开始报警，后者开始处理，根据流量大小和影响程度调整防护策略和防护手段，逐步升级。

1.2.3、UDP/DNS query等UDP协议包

对于大部分游戏业务来说，都是TCP协议的，所以可以根据业务协议制定一份TCP协议白名单，如果遇到大量UDP请求，可以不经产品确认或者延迟跟产品确认，直接在系统层面/HPPS或者清洗设备上丢弃UDP包。

1.2.4、http flood/CC等需要跟数据库交互的攻击

这种一般会导致数据库或者webserver负载很高或者连接数过高，在限流或者清洗流量后可能需要重启服务才能释放连接数，因此更倾向在系统资源能够支撑的情况下调大支持的连接数。相对来说，这种攻击防护难度较大，对防护设备性能消耗很大。

1.2.5、其他

icmp包可以直接丢弃，先在机房出口以下各个层面做丢弃或者限流策略。现在这种攻击已经很少见，对业务破坏力有限。

2、防护策略主动推荐

如图4所示，结合攻击流量特征，梳理电网网络特点，建立预定的防护策略知识库，并将防护策略与攻击特征进行映射。

当流量特征被提取出来后，使用快速匹配算法，寻找相应的防护策略集合，实现从攻击流量特征发现到防护策略推荐自动化，为运维人员提供安全防护方法推荐，支撑运维人员快速处理网络安全事件。

本发明的优点：

由于采用了以上的方法，可实现以下优点：

1、该异常流量防护策略主动推荐方法能够根据基于国家电网信息系统特点，进行高精准防护，有效性更高。

2、发现异常流量或者攻击流量，将会自动驱动安全设备进行自动过滤和防护，减少人为干预，提高安全事件响应效率。

3、对于未发现的流量特征，经过管理员确认后能够自动升级，提升安全监测处理能力。

本发明的关键点和保护点：

1、该域名服务防护方法针对国家电网等垂直领域进行改进，对于用户群体单一且固定的域名服务，抽象出域名服务特征库。

2、发现异常流量或者攻击流量，将会自动驱动安全设备进行自动过滤和防护，减少人为干预。

3、对于未发现的异常流量特征，经过管理员确认后能够自动升级。

Claims

1.一种基于电网信息系统异常流量的防护方法，其特征在于：包括如下步骤，

S1建立网络流量特征库

S2流量监控

S3防护

2.根据权利要求1所述的一种基于电网信息系统异常流量的防护方法，其特征在于：小于等于1000Mbps攻击流量的DDoS攻击，采用iptables或者DDoS防护应用；大于1000Mbps攻击流量的DDoS攻击，采用iptables或者DDoS防护应用，或者在机房出口设备直接配置黑洞防护，或者切换域名并将对外服务IP修改为高负载Proxy集群外网IP。

3.根据权利要求1所述的一种基于电网信息系统异常流量的防护方法，其特征在于：设置用于报警的预警阀值和用于处理的响应阀值，根据流量大小和影响程度调整防护方案。

4.根据权利要求1所述的一种基于电网信息系统异常流量的防护方法，其特征在于：根据业务协议制定TCP协议白名单，如果遇到UDP请求，直接丢弃UDP包。

5.根据权利要求1所述的一种基于电网信息系统异常流量的防护方法，其特征在于：在限流或者清洗流量后重启服务，释放连接数。

6.根据权利要求1所述的一种基于电网信息系统异常流量的防护方法，其特征在于：若为icmp包，则直接丢弃，先在机房出口以下每一层面做丢弃或者限流。

7.根据权利要求1所述的一种基于电网信息系统异常流量的防护方法，其特征在于：结合攻击流量特征和电网网络特点，建立预定的防护策略知识库，并将防护策略与攻击特征进行映射。

8.根据权利要求1所述的一种基于电网信息系统异常流量的防护方法，其特征在于：对于用户群体单一且固定的域名服务，抽象出域名服务特征库。

9.根据权利要求1所述的一种基于电网信息系统异常流量的防护方法，其特征在于：对于正常流量特征，经过管理员确认后加入网络流量特征库并自动升级。

10.根据权利要求1～9中任意一项所述的一种基于电网信息系统异常流量的防护方法，其特征在于：当流量特征被提取出来后，使用快速匹配算法寻找相应的防护策略集合并推荐。