入侵檢測技術(shù)在電力信息網(wǎng)絡(luò)安全中的應(yīng)用

陳猛 國網(wǎng)山東省電力公司鄆城縣供電公司

1 電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)中存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

不管是管理網(wǎng)絡(luò)系統(tǒng)還是生產(chǎn)控制網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)，除了系統(tǒng)和軟件漏洞或者人為、物理破壞等因素影響之外，各種入侵、病毒等網(wǎng)絡(luò)攻擊也是引起上述電力系統(tǒng)數(shù)據(jù)丟失或數(shù)據(jù)錯(cuò)誤的主要原因之一，從而極大的降低了電力網(wǎng)絡(luò)信息系統(tǒng)數(shù)據(jù)的保密性與完整性。因此，為了預(yù)防電力系統(tǒng)遭受網(wǎng)絡(luò)攻擊而造成嚴(yán)重?fù)p失，必須進(jìn)一步加強(qiáng)電力系統(tǒng)的網(wǎng)絡(luò)安全建設(shè)工作。

2 計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)入侵方式

1.1 病毒攻擊

計(jì)算機(jī)病毒是一種可實(shí)現(xiàn)自我復(fù)制的計(jì)算機(jī)程序，其主要是用于特定系統(tǒng)資源目標(biāo)的破壞，通過拒絕服務(wù)等方式來破壞數(shù)據(jù)的完整性。病毒攻擊具有一定的潛伏性、隱蔽性、寄生性、傳染性，目前病毒攻擊主要是通過FTP 文件下載、網(wǎng)頁瀏覽、電子郵件或者BBS等對(duì)信息系統(tǒng)實(shí)施攻擊。

1.2 身份攻擊

身份攻擊主要是通過口令攻擊、漏洞攻擊、收集信息攻擊等等。身份攻擊竊取信息資源主要是采取試探方式，如：通過掃描漏洞、掃描賬戶、ping以及端口與嗅探網(wǎng)絡(luò)等方式對(duì)系統(tǒng)漏洞、權(quán)限以及服務(wù)進(jìn)行探測，并使用公開協(xié)議和工具對(duì)網(wǎng)絡(luò)系統(tǒng)主機(jī)中存儲(chǔ)的信息資源進(jìn)行竊取，同時(shí)還可以捕捉信息系統(tǒng)的漏洞，為后續(xù)攻擊提供支持。若網(wǎng)絡(luò)信息系統(tǒng)遭到身份攻擊，可能導(dǎo)致整個(gè)網(wǎng)絡(luò)系統(tǒng)癱瘓、崩潰，從而導(dǎo)致用戶遭受重大損失。

1.3 防火墻攻擊

對(duì)于網(wǎng)絡(luò)信息系統(tǒng)來說，防火墻的抗攻擊能力一般比較強(qiáng)，因而不易被攻破。但是，在防火墻的設(shè)計(jì)和實(shí)現(xiàn)中仍然存在一定的缺陷問題，這是導(dǎo)致防火墻被攻擊的主要原因。

1.4 拒絕服務(wù)攻擊

拒絕服務(wù)攻擊可稱為 DoS（Denial of Service），在攻擊時(shí)攻擊主體將一定序列和數(shù)量的資源上傳至網(wǎng)絡(luò)中，并令其大量恢復(fù)要求信息運(yùn)行于服務(wù)器中，這樣導(dǎo)致系統(tǒng)資源及網(wǎng)絡(luò)寬帶被不良消耗，從而導(dǎo)致網(wǎng)絡(luò)系統(tǒng)無法實(shí)現(xiàn)正常訪問，嚴(yán)重時(shí)可能出現(xiàn)死機(jī)、癱瘓等現(xiàn)象。

3 入侵檢測技術(shù)的概念及其優(yōu)勢

3.1 入侵檢測技術(shù)的基本概念

入侵檢測技術(shù)是一種計(jì)算機(jī)技術(shù)，其能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中沒有經(jīng)過授權(quán)或者異常的現(xiàn)象，主要用于對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的各種違反安全策略的行為進(jìn)行檢測，保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性和數(shù)據(jù)完整性。入侵檢測系統(tǒng)（IDS）是指用于對(duì)網(wǎng)絡(luò)系統(tǒng)實(shí)施入侵檢測的軟件及硬件的總稱。IDS主要用于識(shí)別并處理網(wǎng)絡(luò)系統(tǒng)的惡意使用行為，包括系統(tǒng)內(nèi)部及外部的各類未經(jīng)授權(quán)行為。在發(fā)現(xiàn)入侵行為時(shí)，IDS會(huì)立即作出響應(yīng)，響應(yīng)行為有切斷網(wǎng)絡(luò)連接、記錄入侵行為、報(bào)警等。入侵檢測技術(shù)主要是通過對(duì)某些關(guān)鍵點(diǎn)的信息進(jìn)行收集和分析，從而檢測系統(tǒng)是否存在違反安全策略或是遭到入侵等跡象。

3.2 入侵檢測技術(shù)的應(yīng)用優(yōu)勢

與其他類型的網(wǎng)絡(luò)安全防護(hù)技術(shù)相比，入侵技術(shù)的優(yōu)勢如下：首先，入侵檢測技術(shù)不僅能夠檢測授權(quán)程序，還能夠?qū)Ψ鞘跈?quán)的非法訪問程序進(jìn)行檢測，并對(duì)其相關(guān)的攻擊性因素進(jìn)行分析；其次，入侵檢測技術(shù)的接入方式比其他類型的防護(hù)技術(shù)簡單，產(chǎn)生的風(fēng)險(xiǎn)少，并且不會(huì)對(duì)主機(jī)的正常運(yùn)行造成影響；再次，入侵檢測技術(shù)在應(yīng)用時(shí)不僅不會(huì)對(duì)網(wǎng)絡(luò)運(yùn)行性能產(chǎn)生影響，反而可通過檢測網(wǎng)絡(luò)數(shù)據(jù)來提高系統(tǒng)的安全性；最后，入侵檢測技術(shù)與網(wǎng)絡(luò)系統(tǒng)的連接簡單，只需連網(wǎng)就可實(shí)現(xiàn)全部的檢測功能。

4 電力網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)及安全分析

根據(jù)電力網(wǎng)路系統(tǒng)業(yè)務(wù)和安全特點(diǎn)，可以將電力網(wǎng)絡(luò)系統(tǒng)分為實(shí)時(shí)控制區(qū)、非控制生產(chǎn)區(qū)、生產(chǎn)管理區(qū)、信息管理區(qū)等四部分，其中實(shí)時(shí)控制區(qū)和非控制生產(chǎn)區(qū)可以稱為生產(chǎn)控制大區(qū)，生產(chǎn)管理區(qū)和信息管理區(qū)可以稱為管理信息大區(qū)。電力網(wǎng)絡(luò)系統(tǒng)是由多個(gè)復(fù)雜的子系統(tǒng)組成的，電力網(wǎng)絡(luò)系統(tǒng)的安全維護(hù)就是對(duì)網(wǎng)絡(luò)系統(tǒng)和電力生產(chǎn)控制系統(tǒng)的邊界進(jìn)行維護(hù)，從而保證電力網(wǎng)絡(luò)系統(tǒng)的安全，為電力生產(chǎn)控制系統(tǒng)的重要信息數(shù)據(jù)提供安全保障。

從電力系統(tǒng)的整體結(jié)構(gòu)來看，實(shí)施控制區(qū)與非控制生產(chǎn)區(qū)的主要工作內(nèi)容是電力生產(chǎn)，其運(yùn)行方式是采用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)在線方式，這兩部分之間的數(shù)據(jù)交換現(xiàn)象比較常見，生產(chǎn)管理區(qū)和信息管理區(qū)主要業(yè)務(wù)是進(jìn)行信息管理，確保信息的完整性和準(zhǔn)確性。實(shí)時(shí)控制區(qū)、非控制生產(chǎn)區(qū)、生產(chǎn)管理區(qū)、信息管理區(qū)這四部分都是使用硬件設(shè)備進(jìn)行安全隔離，其中實(shí)時(shí)控制區(qū)和非生產(chǎn)控制區(qū)的安全威脅主要來源于系統(tǒng)內(nèi)部，在進(jìn)行安全防護(hù)時(shí)，要將重點(diǎn)放在內(nèi)部管理中；雖然在生產(chǎn)管理區(qū)以及信息管理區(qū)設(shè)置有防火墻和外部互聯(lián)網(wǎng)隔離，但是外部環(huán)境依然可能會(huì)對(duì)系統(tǒng)造成一定的安全風(fēng)險(xiǎn)。

5 電力網(wǎng)絡(luò)安全維護(hù)中入侵檢測技術(shù)的應(yīng)用

5.1 數(shù)據(jù)挖掘技術(shù)的應(yīng)用

數(shù)據(jù)挖掘技術(shù)主要是用于挖掘電力網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)，并對(duì)其進(jìn)行智能化分析，將電力網(wǎng)絡(luò)系統(tǒng)中存在異常、錯(cuò)誤或者不規(guī)范的數(shù)據(jù)找出來進(jìn)行處理。在電力系統(tǒng)中運(yùn)用數(shù)據(jù)挖掘技術(shù)可以及時(shí)發(fā)現(xiàn)異常或者不規(guī)范的程序，對(duì)這些程序按照一定的方式進(jìn)行分類，同時(shí)根據(jù)數(shù)據(jù)記錄對(duì)其正常與否進(jìn)行判斷。對(duì)于不同類型的數(shù)據(jù)，數(shù)據(jù)挖掘技術(shù)的處理方式不同，因此不會(huì)造成電力網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的丟失。

5.2 智能分布技術(shù)的應(yīng)用

網(wǎng)絡(luò)的可擴(kuò)展性強(qiáng)，具自我適應(yīng)性、智能性和無關(guān)性等特征，智能分布技術(shù)則主要是依據(jù)網(wǎng)絡(luò)的這些特征檢測網(wǎng)絡(luò)安全的一種技術(shù)。在電力網(wǎng)絡(luò)安全當(dāng)中應(yīng)用智能分布技術(shù)可實(shí)現(xiàn)網(wǎng)絡(luò)的領(lǐng)域劃分檢測，尤其適用于電力系統(tǒng)網(wǎng)絡(luò)這種復(fù)雜且龐大的網(wǎng)絡(luò)環(huán)境當(dāng)中。其可將電力系統(tǒng)網(wǎng)絡(luò)進(jìn)行檢測區(qū)域劃分，并根據(jù)所劃分的區(qū)域設(shè)置相應(yīng)的檢測點(diǎn)，同時(shí)于整個(gè)電力系統(tǒng)網(wǎng)絡(luò)統(tǒng)當(dāng)中設(shè)置一個(gè)總管理點(diǎn)，以管理各劃分領(lǐng)域檢測點(diǎn)所檢測到的信息，通過這些信息可以分析并判定電力網(wǎng)絡(luò)安全系統(tǒng)是否存在異常數(shù)據(jù)或是入侵活動(dòng)等。

5.3 聚類算法的應(yīng)用

聚類算法在電力系統(tǒng)網(wǎng)絡(luò)中的應(yīng)用主要是用于檢測電力系統(tǒng)網(wǎng)絡(luò)中無需指導(dǎo)的網(wǎng)絡(luò)異常數(shù)據(jù)，其可對(duì)沒有經(jīng)過標(biāo)記的數(shù)據(jù)進(jìn)行分類，并對(duì)網(wǎng)絡(luò)安全系統(tǒng)是否存在異常數(shù)據(jù)進(jìn)行有效判定。在電力系統(tǒng)網(wǎng)絡(luò)安全當(dāng)中應(yīng)用聚類算法，可加強(qiáng)網(wǎng)絡(luò)運(yùn)行的可靠性，從而提高網(wǎng)絡(luò)系統(tǒng)的安全性。此外，電力系統(tǒng)網(wǎng)絡(luò)當(dāng)中存在大量數(shù)據(jù)，且數(shù)據(jù)的種類繁多，其中還包含了很多相似數(shù)據(jù)，同時(shí)這些數(shù)據(jù)也可能存在潛在的危險(xiǎn)因素，若這些數(shù)據(jù)未被及時(shí)發(fā)現(xiàn)并被攔截，則可能給電力系統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)帶來一定威脅，導(dǎo)致系統(tǒng)遭到破壞。

5.4 入侵檢測技術(shù)在電力系統(tǒng)中應(yīng)用的意義

電力系統(tǒng)信息復(fù)雜而繁多，通過運(yùn)用計(jì)算機(jī)信息技術(shù)可以使管理更加標(biāo)準(zhǔn)、開放、互聯(lián)和高效，和外界信息的交流也能夠更加頻繁，能夠及時(shí)處理電力系統(tǒng)中出現(xiàn)的一些問題。對(duì)于這個(gè)過程中的安全性問題需要入侵檢測技術(shù)來進(jìn)行解決，該技術(shù)的使用已經(jīng)成為整個(gè)電力系統(tǒng)戰(zhàn)略性的問題。入侵檢測技術(shù)貫穿于整個(gè)電力系統(tǒng)中每一個(gè)需要維護(hù)的環(huán)節(jié)，它能夠在源頭上高效地抑制非法入侵，保障電力系統(tǒng)的網(wǎng)絡(luò)安全。

6 結(jié)語

對(duì)于網(wǎng)絡(luò)不良入侵行為的影響，一般是采取主動(dòng)的防御措施防范網(wǎng)絡(luò)入侵行為，入侵檢測技術(shù)可以有效實(shí)現(xiàn)實(shí)時(shí)動(dòng)態(tài)監(jiān)控網(wǎng)絡(luò)非法入侵行為，因此廣泛應(yīng)用于各種不同環(huán)境中并發(fā)揮著關(guān)鍵性作用。