探討入侵檢測(cè)技術(shù)在電力信息網(wǎng)絡(luò)安全中的應(yīng)用

◆趙 靜

(國(guó)網(wǎng)湖南省電力公司常德供電分公司 湖南 415000)

探討入侵檢測(cè)技術(shù)在電力信息網(wǎng)絡(luò)安全中的應(yīng)用

◆趙 靜

(國(guó)網(wǎng)湖南省電力公司常德供電分公司 湖南 415000)

對(duì)信息系統(tǒng)的依賴性是電力系統(tǒng)的顯著特點(diǎn)，隨著電力行業(yè)信息化的不斷發(fā)展，其信息網(wǎng)絡(luò)安全的重要性也日漸凸顯。本文主要探討了入侵檢測(cè)技術(shù)在電力信息網(wǎng)絡(luò)安全中的應(yīng)用。首先，介紹了入侵檢測(cè)技術(shù)的概念、特性以及應(yīng)用方式。其次，將入侵檢測(cè)技術(shù)運(yùn)用到電力信息網(wǎng)絡(luò)中，提出了電力信息網(wǎng)絡(luò)入侵檢測(cè)以及入侵檢測(cè)算法AR-TREE。最后，通過(guò)具體的實(shí)驗(yàn)以及實(shí)驗(yàn)數(shù)據(jù)，發(fā)現(xiàn)入侵檢測(cè)技術(shù)運(yùn)用在電力信息網(wǎng)絡(luò)中的檢測(cè)效果十分明顯，已達(dá)到95%以上的成功率。

入侵檢測(cè)；網(wǎng)絡(luò)安全管理；電力信息系統(tǒng)安全

0 引言

隨著科技的發(fā)展，黑客攻擊技術(shù)日漸高明，網(wǎng)絡(luò)系統(tǒng)存在的漏洞也越來(lái)越多，傳統(tǒng)的網(wǎng)絡(luò)操作系統(tǒng)加固技術(shù)和防火墻技術(shù)都是屬于靜態(tài)的安全防御技術(shù)，對(duì)網(wǎng)絡(luò)安全攻擊的反應(yīng)缺乏主動(dòng)性，越來(lái)越不能滿足現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)對(duì)網(wǎng)絡(luò)安全的要求。因此，需要一種新型的技術(shù)從縱向的、橫向的、多層次的方向進(jìn)行網(wǎng)絡(luò)安全管理。

1 入侵檢測(cè)技術(shù)的簡(jiǎn)介

1.1 入侵檢測(cè)技術(shù)的概念

入侵檢測(cè)技術(shù)是指通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)中的若干關(guān)鍵點(diǎn)收集的信息，并對(duì)這些信息進(jìn)行分析，從這些信息中發(fā)現(xiàn)網(wǎng)絡(luò)或者系統(tǒng)中是否存在著有違反網(wǎng)絡(luò)安全行為的或是遭到襲擊的現(xiàn)象的一種安全技術(shù)。入侵檢測(cè)系統(tǒng)通過(guò)網(wǎng)絡(luò)及其上的網(wǎng)絡(luò)系統(tǒng)進(jìn)行監(jiān)視，可以識(shí)別惡意的行為，并根據(jù)監(jiān)視的結(jié)果進(jìn)行不同程度的反應(yīng)，以最大限度地降低被入侵的可能性和危害性。入侵檢測(cè)系統(tǒng)的主要目的在于檢測(cè)外來(lái)網(wǎng)絡(luò)的入侵行為，并且還可以檢測(cè)來(lái)自網(wǎng)絡(luò)內(nèi)部用戶的未授權(quán)活動(dòng)和失誤操作，有效地彌補(bǔ)了防火墻不能阻止內(nèi)部攻擊、不能提供實(shí)時(shí)入侵檢測(cè)能力、不能主動(dòng)跟蹤入侵者、不能對(duì)病毒進(jìn)行有效防護(hù)的局限性。

1.2 入侵檢測(cè)技術(shù)的特性

入侵檢測(cè)技術(shù)基本上不具有訪問(wèn)控制的能力，這一技術(shù)就像擁有多年經(jīng)驗(yàn)的網(wǎng)絡(luò)偵查員，通過(guò)對(duì)數(shù)據(jù)的分析，從數(shù)據(jù)中過(guò)濾可疑的數(shù)據(jù)包，將正常使用方式與已知的入侵方式進(jìn)行比較，來(lái)確定入侵檢測(cè)是否成功。網(wǎng)絡(luò)安全管理員根據(jù)這些判斷，就可以確切地知道所受到的攻擊，并采取相應(yīng)的措施來(lái)解決這一問(wèn)題。入侵檢測(cè)系統(tǒng)是網(wǎng)絡(luò)安全管理員經(jīng)驗(yàn)積累的一種體現(xiàn)，減輕了網(wǎng)絡(luò)安全管理員的負(fù)擔(dān)，降低了網(wǎng)絡(luò)安全管理員的技術(shù)要求，并且提高了電力信息網(wǎng)絡(luò)安全管理的有效性和準(zhǔn)確性。

其功能有：

（1）監(jiān)視用戶和系統(tǒng)的功能，查找非法用戶合合法用戶的越權(quán)操作。

（2）審計(jì)系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補(bǔ)后動(dòng)。

（3）對(duì)用戶的非正?；顒?dòng)進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)入侵行為的規(guī)律。

（4）操作系統(tǒng)的審計(jì)跟蹤管理，能夠?qū)崟r(shí)地對(duì)檢測(cè)到的入侵行為進(jìn)行反應(yīng)，檢查系統(tǒng)程序和數(shù)據(jù)的一致性與正確性。

1.3 入侵檢測(cè)技術(shù)應(yīng)用于電力信息網(wǎng)絡(luò)安全保護(hù)

具體如下圖1所示。

圖1 入侵檢測(cè)技術(shù)的應(yīng)用

2 入侵檢測(cè)技術(shù)的應(yīng)用

2.1 入侵檢測(cè)技術(shù)的結(jié)構(gòu)

電力信息網(wǎng)絡(luò)在進(jìn)行入侵檢測(cè)時(shí)，首先要對(duì)入侵檢測(cè)系統(tǒng)的總體結(jié)構(gòu)進(jìn)行部署，主要是對(duì)電力信息網(wǎng)絡(luò)的管理信息區(qū)域進(jìn)行入侵檢測(cè)。防火墻用于在將聯(lián)網(wǎng)網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)進(jìn)行隔開(kāi)，將傳感器安置在安全區(qū)域的核心交換機(jī)的鏡像口上。對(duì)安全區(qū)域的核心交換機(jī)進(jìn)行檢測(cè)，同時(shí)還要獲取網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)。分析器對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行處理并對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行入侵檢測(cè)。中心監(jiān)控器將所收集到的數(shù)據(jù)提交報(bào)警信息，最后中心控制器負(fù)責(zé)整個(gè)入侵檢測(cè)技術(shù)的應(yīng)用。通過(guò)分析相關(guān)的收集數(shù)據(jù)，并提取出用戶的行為特征，分析入侵行為的規(guī)律性，以及對(duì)入侵行為的定位，從而建立健全完備的數(shù)據(jù)庫(kù)，以便日后入侵檢測(cè)。

2.2 數(shù)據(jù)挖掘的電力信息網(wǎng)絡(luò)入侵檢測(cè)

電力信息網(wǎng)絡(luò)安全中的數(shù)據(jù)來(lái)源不同，對(duì)數(shù)據(jù)安全性的要求也不同，為了成功地將入侵檢測(cè)技術(shù)運(yùn)用在電力信息網(wǎng)絡(luò)中，可以建立正常的行為模式庫(kù)。將獲取的數(shù)據(jù)模塊直接運(yùn)行到數(shù)據(jù)預(yù)處理中，通過(guò)數(shù)據(jù)預(yù)處理、學(xué)習(xí)引擎、檢測(cè)規(guī)律、檢測(cè)引擎這四個(gè)部分，將獲取的數(shù)據(jù)模塊進(jìn)行分析處理，最后通過(guò)決策引擎進(jìn)入報(bào)警行為響應(yīng)。數(shù)據(jù)挖掘技術(shù)的入侵檢測(cè)技術(shù)，綜合了神經(jīng)網(wǎng)絡(luò)學(xué)、決策學(xué)、統(tǒng)計(jì)學(xué)、概論學(xué)等多種學(xué)科的中心思想，可以從大量的數(shù)據(jù)中提取出不易被發(fā)現(xiàn)的網(wǎng)絡(luò)行為模式，可以降低網(wǎng)絡(luò)分析員的工作量，并且還能夠最大程度地提高檢測(cè)準(zhǔn)確度。

2.3 入侵檢測(cè)算法AR-TREE

在電力信息網(wǎng)絡(luò)中所獲取的數(shù)據(jù)中，每條記錄中的數(shù)據(jù)就是所要分析的屬性。在這一入侵檢測(cè)算法中，樹中的每個(gè)節(jié)點(diǎn)表示著項(xiàng)出現(xiàn)的頻率值，每增加一個(gè)頻率項(xiàng)時(shí)，表示著每個(gè)項(xiàng)由四個(gè)區(qū)域所組成。這些網(wǎng)絡(luò)數(shù)據(jù)記錄壓縮到樹形的結(jié)構(gòu)中，從中提取相關(guān)的規(guī)則。

3 實(shí)驗(yàn)

3.1 數(shù)據(jù)特征選取

數(shù)據(jù)集的來(lái)源是 KDD組，這組數(shù)據(jù)集中包括 PROBE BYPASS、USER-to-Root、拒絕服務(wù)（DoS）Remote-to-Login、NORMAL。每條數(shù)據(jù)都具有 41個(gè)屬性，但不是每個(gè)數(shù)據(jù)的屬性都對(duì)檢測(cè)結(jié)果有貢獻(xiàn)的，在對(duì)數(shù)據(jù)的特征進(jìn)行選取時(shí)，利用支持向量機(jī)方法通過(guò)實(shí)驗(yàn)操作，指出KDD組中數(shù)據(jù)集有十三個(gè)屬性最為重要。

3.2 數(shù)據(jù)結(jié)果和分析

在實(shí)驗(yàn)過(guò)程中從數(shù)據(jù)集中選取五個(gè)數(shù)據(jù)子集，每個(gè)數(shù)據(jù)子集中包含不同數(shù)據(jù)的正常記錄和入侵記錄。在對(duì)數(shù)據(jù)的處理時(shí)間上，數(shù)據(jù)規(guī)模表示連接記錄條數(shù)，AR算法與入侵檢測(cè)算法。通過(guò)加入平凡的像頭表，提高了檢測(cè)效率。AR算法在處理數(shù)據(jù)的時(shí)間上優(yōu)于其它算法。

表1 入侵檢測(cè)數(shù)據(jù)

表2 入侵檢測(cè)結(jié)果

入侵檢測(cè)技術(shù)信息網(wǎng)絡(luò)中的檢測(cè)效果是十分明顯的，將這一技術(shù)用于定義信息網(wǎng)絡(luò)中進(jìn)行入侵檢測(cè)，可以達(dá)到95%以上的成功率，并且在信息網(wǎng)絡(luò)中的檢測(cè)效果精確。電力信息網(wǎng)絡(luò)安全的入侵檢測(cè)中，入侵檢測(cè)技術(shù)的表現(xiàn)良好，體現(xiàn)了優(yōu)良的檢測(cè)技術(shù)，對(duì)下一步工作進(jìn)行部署時(shí)可以降低網(wǎng)絡(luò)系統(tǒng)中存在的漏報(bào)率和預(yù)報(bào)率。

4 結(jié)語(yǔ)

結(jié)合電力信息網(wǎng)絡(luò)的實(shí)際情況，加以運(yùn)用入侵檢測(cè)技術(shù)，可以保障電力信息網(wǎng)絡(luò)安全。入侵檢測(cè)技術(shù)作為一種積極的電力信息網(wǎng)絡(luò)安全技術(shù)，對(duì)內(nèi)預(yù)防了內(nèi)部攻擊，對(duì)外預(yù)防了外部攻擊和失誤操作，對(duì)信息網(wǎng)絡(luò)系統(tǒng)中所面臨的威脅因素，提供了響應(yīng)入侵和攔截入侵的功能。入侵檢測(cè)技術(shù)系統(tǒng)可以通過(guò)主機(jī)的安全技術(shù)、身份認(rèn)證技術(shù)、訪問(wèn)控制技術(shù)等多種技術(shù)結(jié)合，增強(qiáng)電力系統(tǒng)的網(wǎng)絡(luò)安全性能。

[1]陳新和.探討入侵檢測(cè)技術(shù)在電力信息網(wǎng)絡(luò)安全中的應(yīng)用[J].通訊世界，2014.

[2]黃曉霞.電廠信息網(wǎng)絡(luò)安全分析——基于數(shù)據(jù)挖掘技術(shù)的入侵檢測(cè)系統(tǒng)的研究[D].西安理工大學(xué)，2003.

[3]黨林.電力系統(tǒng)網(wǎng)絡(luò)安全維護(hù)中入侵檢測(cè)技術(shù)的應(yīng)用分析[J].電子技術(shù)與軟件工程，2013.