[发明专利]电力营销终端异常流量监控方法、系统及电力营销系统

说明书

本发明公开了一种电力营销终端异常流量监控方法，包括对电力营销终端接入网络后产生的网络流量镜像进行捕获；对捕获的网络流量镜像进行应用协议分析，获得异常应用协议；根据异常应用协议，追溯异常电力营销终端；向异常电力营销终端发出重新认证报文。同时公开了相应的系统和电力营销系统。本发明采用旁路部署模式，捕获网络流量镜像，有效避免了单点故障和性能瓶颈的问题。

技术领域

本发明涉及一种电力营销终端异常流量监控方法、系统及电力营销系统，属于电力营销领域。

背景技术

电力营销系统包括电力营销终端，电力营销终端一般通过无线网络通道访问部署在内网的应用服务器，中间需要经过接入路由器、应用防火墙、接入交换机等多种网络设备，由于无线网络自身存在大量的安全隐患，为了保证内网资源不被攻击者破坏或嗅探，需要对电力营销终端访问过程中经过的网络流量进行检测，对检测到的异常进行防御。

现在采用的系统是IPS（入侵防御系统），IPS工作基本步骤如下：（1）串接在所监控业务的网络通道中；（2）通过一个网络端口接收来自外部业务终端的流量；（3）通过流量过滤器检查流量是否包含异常活动或可疑内容；（4）对于包含异常活动或可疑内容的流量进行拦截，对其他流量放行；（5）通过另外一个端口将正常流量传送到内部业务系统中。这样一来，有问题的流量，以及所有来自同一数据流的后续流量，都能在IPS设备中被清洗掉。

但是IPS存在以下缺点：1、单点故障：IPS需串接到业务网络通道中使用， IPS很容易就成为攻击者的网络攻击对象，IPS一旦出现问题，造成单点故障，势必导致整个经过该网络节点的所有业务中断；2、性能瓶颈：从IPS串接在业务网络通道这一角度出发，IPS作为业务流量必经的一个网络节点，毫无疑问会增加网络流量的滞后时间。

发明内容

本发明提供了一种电力营销终端异常流量监控方法、系统及电力营销系统，解决了IPS存在的上述问题。

为了解决上述技术问题，本发明所采用的技术方案是：

电力营销终端异常流量监控方法，包括以下步骤，

对电力营销终端接入网络后产生的网络流量镜像进行捕获；

对捕获的网络流量镜像进行应用协议分析，获得与指定电力协议不匹配的异常应用协议；

根据异常应用协议，追溯异常电力营销终端；

向异常电力营销终端发出重新认证报文。

针对异常应用协议，通过分析网络报文中电力营销终端的标识，追溯发起该异常应用协议的异常电力营销终端。

获得与指定电力协议不匹配的异常应用协议的过程为，

设置需比对的指定电力协议；

对捕获的网络流量镜像进行应用协议分析；

将应用协议与指定电力协议进行比对，若不匹配，则该应用协议为异常应用协议。

重新认证报文中包含认证服务器地址，异常电力营销终端访问认证服务器地址，进行重新认证。

电力营销终端异常流量监控系统，包括，

捕获模型：对电力营销终端接入网络后产生的网络流量镜像进行捕获；

应用协议分析模块：对捕获的网络流量镜像进行应用协议分析，获得与指定电力协议不匹配的异常应用协议；

追溯模块：根据异常应用协议，追溯异常电力营销终端；

联动处置模块：向异常电力营销终端发出重新认证报文。

追溯模块的工作过程为，针对异常应用协议，通过分析网络报文中电力营销终端的标识，追溯发起该异常应用协议的异常电力营销终端。