【技术实现步骤摘要】
本专利技术涉及网络安全,特别是涉及一种高速大规模并发全量网络流量入侵检测方法及系统。
技术介绍
1、随着数字化转型的持续推进,电力系统信息化、网络化、智能化建设使远距离、大范围的电力监测控制成为现实,在为电力业务开展带来便利的同时,也给电力监控系统网络安全带来更大的挑战。电力系统作为关系国计民生的关键信息基础设施,其网络安全遭到威胁时不仅会导致业务中断、数据泄露、系统无法使用等问题,还会对现实社会造成直接的、巨大的影响,容不得半点疏忽。
2、现有通过对电力控制系统的网络流量进行全量监测识别的方法,基于流量五元组信息和应用层内容的深度检测可发现隐藏恶意攻击流量,以提升系统网络安全;然而,随着电力物联网建设规模的不断扩增,电力监控系统的网络节点数目也随之增加,数据采集和交互反馈过程会产生高达千亿级流数据流量,但现有监测方法在高速大规模并发全量网络流量深度检测的场景下,极易因为软硬件资源不足造成丢包,导致恶意流量漏检、攻击发现不及时,攻击发生后难以溯源等问题,即海量网络数据负载与现有软硬件资源能力的差距问题加剧了网络流量入侵检测系统的建设挑战。尽管现有对网络数据包进行抽样检测或增加软硬件资源的方法,可一定程度上缓解上述网络数据负载与软硬件资源能力不匹配问题,但抽样检测难以保证流量检测的全面性和有效性,且增加软硬件资源不仅增加建设和运维成本,而且不能保证一劳永逸,均不能真正适用于高速大规模并发全量网络流量入侵检测。
技术实现思路
1、本专利技术的目的是提供一种高速大规模并发全量
2、为了实现上述目的,有必要针对上述技术问题,提供一种高速大规模并发全量网络流量入侵检测方法、系统、计算机设备及存储介质。
3、第一方面,本专利技术实施例提供了一种高速大规模并发全量网络流量入侵检测方法,所述方法包括以下步骤:
4、预先初始化三级动态ip过滤名单;所述三级动态ip过滤名单包括若干个逻辑核绿名单、全局黄名单和全局红名单;
5、响应于网络流量的接入,将各个网络数据包散列到对应的逻辑核上,并根据数据包源ip和所述三级动态ip过滤名单,对各个网络数据包进行分级流量检测,得到对应的流量检测结果;
6、根据各个网络数据包的流量检测结果,动态更新所述三级动态ip过滤名单。
7、进一步地,所述逻辑核绿名单配置为线程过滤名单;所述全局黄名单和所述全局红名单均配置为全局过滤名单;
8、所述逻辑核绿名单的表项包括源ip地址、生存周期和更新时间戳;
9、所述全局黄名单的表项包括源ip地址、攻击次数和更新时间戳;
10、所述全局红名单的表项包括源ip地址和更新时间戳。
11、进一步地,所述根据数据包源ip和所述三级动态ip过滤名单,对各个网络数据包进行分级流量检测,得到对应的流量检测结果的步骤:
12、将所述数据包源ip与对应的逻辑核绿名单进行匹配,若命中,则通过预设入侵检测组件对所述网络数据包进行单包异常检测,得到对应的流量检测结果,反之,则将所述数据包源ip与所述全局黄名单进行匹配;
13、若命中,则将所述网络数据包对应数据流内所有数据包进行tcp重组与乱序重排后,通过所述预设入侵检测组件进行跨包异常检测,得到对应的流量检测结果,反之,则将所述数据包源ip与所述全局红名单进行匹配;
14、若命中,则将所述流量检测结果为恶意攻击流量,反之,则通过所述预设入侵检测组件对所述网络数据包进行深度异常检测,得到对应的流量检测结果。
15、进一步地,所述流量检测结果包括正常流量和恶意流量;所述恶意流量的危险级别包括低危恶意和高危恶意;
16、所述根据各个网络数据包的流量检测结果,动态更新所述三级动态ip过滤名单的步骤包括:
17、当所述数据包源ip命中对应的逻辑核绿名单时,若所述流量检测结果为正常流量,则将所述逻辑核绿名单中与所述数据包源ip对应的表项的生存周期加1,并更新对应的更新时间戳,反之,则将所述逻辑核绿名单中与所述数据包源ip对应的表项删除,且根据所述数据包源ip和对应的危险级别,在所述全局黄名单或所述全局红名单中增加对应的表项;
18、当所述数据包源ip命中所述全局黄名单时,若所述流量检测结果为正常流量,则将所述全局黄名单中与所述数据包源ip对应的表项的攻击次数减1,直至对应的攻击次数为0时,将对应的表项从所述全局黄名单中删除,并将所述数据包源ip加入对应的逻辑核绿名单,反之,则根据所述数据包源ip和对应的危险级别,更新所述全局黄名单或所述全局红名单;
19、当所述数据包源ip未命中所述三级动态ip过滤名单时,若所述流量检测结果为正常流量,则根据所述数据包源ip在对应的逻辑核绿名单中增加对应的表项,反之,则根据所述数据包源ip和对应的危险级别,在所述全局黄名单或所述全局红名单中增加对应的表项。
20、进一步地,所述根据所述数据包源ip和对应的危险级别,更新所述全局黄名单或所述全局红名单的步骤包括:
21、当所述危险级别为低危恶意时,将所述全局黄名单中与所述数据包源ip对应表项的攻击次数增加1,更新对应的更新时间戳,直至对应的攻击次数大于预设攻击阈值时,将对应的表项从所述全局黄名单中删除,并将所述数据包源ip加入所述全局红名单,将对应表项的攻击次数设为1,记录对应的更新时间戳;
22、当所述危险级别为高危恶意时,将所述全局黄名单中与所述数据包源ip对应的表项删除,且将所述数据包源ip加入所述全局红名单,将对应表项的攻击次数设为1,并记录对应的更新时间戳。
23、进一步地,所述方法还包括:
24、根据预设定时扫描老化机制,对所述三级动态ip过滤名单进行老化更新。
25、进一步地,所述根据预设定时扫描老化机制,对所述三级动态ip过滤名单进行老化更新的步骤包括:
26、根据预设周期定时扫描各个逻辑核绿名单,判断各个表项是否满足预设绿名单老化条件,若满足,则以发送老化消息的方式通知对应的逻辑线程将对应表项删除,反之,则将表项的生存周期减1;所述预设绿名单老化条件为表项的生存周期为0或当前系统时间与表项的更新时间戳差值超过预设绿名单老化时长;
27、根据所述预设周期定时扫描所述全局黄名单,判断各个表项是否满足预设黄名单老化条件,若满足,则将对应的表项删除,反之,则将表项的攻击次数减1;所述预设黄名单老化条件为表项的攻击次数为0或当前系统时间与表项的更新时间戳差值超过预设黄名单老化时长;本文档来自技高网...
【技术保护点】
1.一种高速大规模并发全量网络流量入侵检测方法,其特征在于,所述方法包括以下步骤:
2.如权利要求1所述的高速大规模并发全量网络流量入侵检测方法,其特征在于,所述逻辑核绿名单配置为线程过滤名单;所述全局黄名单和所述全局红名单均配置为全局过滤名单;
3.如权利要求2所述的高速大规模并发全量网络流量入侵检测方法,其特征在于,所述根据数据包源IP和所述三级动态IP过滤名单,对各个网络数据包进行分级流量检测,得到对应的流量检测结果的步骤:
4.如权利要求3所述的高速大规模并发全量网络流量入侵检测方法,其特征在于,所述流量检测结果包括正常流量和恶意流量;所述恶意流量的危险级别包括低危恶意和高危恶意;
5.如权利要求4所述的高速大规模并发全量网络流量入侵检测方法,其特征在于,所述根据所述数据包源IP和对应的危险级别,更新所述全局黄名单或所述全局红名单的步骤包括:
6.如权利要求2所述的高速大规模并发全量网络流量入侵检测方法,其特征在于,所述方法还包括:
7.如权利要求6所述的高速大规模并发全量网络流量入侵检测方法,其特征
8.一种高速大规模并发全量网络流量入侵检测系统,其特征在于,所述系统包括:
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一所述方法的步骤。
...【技术特征摘要】
1.一种高速大规模并发全量网络流量入侵检测方法,其特征在于,所述方法包括以下步骤:
2.如权利要求1所述的高速大规模并发全量网络流量入侵检测方法,其特征在于,所述逻辑核绿名单配置为线程过滤名单;所述全局黄名单和所述全局红名单均配置为全局过滤名单;
3.如权利要求2所述的高速大规模并发全量网络流量入侵检测方法,其特征在于,所述根据数据包源ip和所述三级动态ip过滤名单,对各个网络数据包进行分级流量检测,得到对应的流量检测结果的步骤:
4.如权利要求3所述的高速大规模并发全量网络流量入侵检测方法,其特征在于,所述流量检测结果包括正常流量和恶意流量;所述恶意流量的危险级别包括低危恶意和高危恶意;
5.如权利要求4所述的高速大规模并发全量网络流量入侵检测方法,其特征在于,所述根据所述数据包源ip和对...
【专利技术属性】
技术研发人员:谢善益,周刚,占聪聪,徐思尧,李妍,李兴旺,范颖,杨强,陈扬,张凯,张子瑛,徐立新,丁燕,农彩艳,
申请(专利权)人:广东电网有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。