本发明公开了一种基于电网信息系统异常流量的防护方法，涉及电力管理技术领域；其包括S1建立网络流量特征库，包含源IP和QPS信息并定期更新，S2流量监控，发现流量特征符合国家电网信息系统特点时，重复回到S2步骤，发现流量特征不符合国家电网信息系统特点时，进入S3步骤，S3防护，将流量检测到的特征在防护策略知识库中进行匹配，如果源IP地址对应的QPS信息超过网络流量特征库的阈值，则驱动防护设备启动防御，如未找到网络流量特征库的阈值，则将该信息转化成黑名单进行流量清洗；其通过S1建立网络流量特征库、S2流量监控和S3防护步骤等，实现了电网网络安全防护，提升了电网信息化的域名服务安全水平。