论文部分内容阅读
摘要:电力市场在运营的过程中经常存在系统入侵的问题。基于人工免疫的入侵检测系统,提出针对电力市场技术系统的入侵检测模型,在对电力市场运行机制的结构与功能进行分析的基础上利用实验证明检测方案的可行性。
关键词:入侵检测;电力市场;技术支持系统
作者简介:包瑞光(1977-),男,内蒙古巴盟人,内蒙古巴彦淖尔市乌拉特中旗电力有限责任公司,工程师;刘辉(1982-),女,内蒙古巴盟人,内蒙古巴彦淖尔市乌拉特中旗电力有限责任公司,工程师。(内蒙古 巴彦淖尔 015300)
中图分类号:TM711 文献标识码:A 文章编号:1007-0079(2013)17-0210-02
计算机网络的迅速发展推动信息化建设步伐的加快。电力行业不同于其他行业,由于电力系统是极其特殊的,一旦遭到破坏或者信息被窃取就会造成很严重的后果。近年来,电力系统的安全问题受到严重考验,细微的电力系统网络安全问题就会给市场经济或者国家的政治经济造成严重的后果。普通的信息入侵可能造成电力系统的瘫痪,严重的可造成电力市场的灾难性后果。最基本的电力信息系统的保护办法是设置防火墙。防火墙是进行防御的第一条防线,但是防火墙也可能被攻破。入侵检测系统是维护信息安全的第二道安全防线。入侵检测系统是依据人体免疫系统研究出来的。入侵检测经实践应用能有效检测出电力市场系统所遭遇的各种攻击,对于电力市场安全的维护与控制意义重大。[1]
一、入侵检测系统的理论研究
1.入侵检测系统的相关概念
人们常称那些破坏资源保密性、完整性的活动为入侵。入侵者攻入一个信息系统的目的可能是试图破坏系统或者获取系统的相关信息、对信息数据进行篡改,使当前系统的稳定性遭到破坏,甚至无法提供正常的服务。入侵检测是对入侵的行为进行检测。入侵检测需要结合分析计算机系统与网络提供方的信息对系统进行检测,检测系统内部是否含有被攻击的迹象。[1]在电力系统安全运作的过程中,入侵检测是一种积极的防御技术,其能有效提供内部攻击的信息,对出现的异常状况进行动态反应,在系统遭到攻击与破坏之前及时反应。概括来讲,人们常说的入侵检测系统就是一种软硬件相结合的系统。这种系统能够完成入侵检测的任务,对系统进行动态监控,及时发出警报或进行相关处理。入侵检测作为安全的第二道安全防线,能增强系统的机密性与安全性。[2]
2.入侵检测系统的分类
按照不同的分类方法,可以对入侵检测系统进行分类。例如按照数据源的分类标准,可以将入侵检测系统分为基于主机的入侵检测系统与基于网络的入侵检测系统。基于主机的入侵检测系统将系统日志或设计数据作为数据源,监控操作系统运营过程,检测的正确率与主机的性价比相关。基于网络的入侵检测系统将网络数据包作为数据源,通过在关键网段安装监控实现动态检测。与基于主机的入侵检测系统不同,基于网络的入侵检测系统不需要在每一台主机上都安装软件。此外,这种检测系统还能经过对数据的分析得知入侵者的相关消息。依据入侵检测的方法进行分类可分为异常检测系统与误用检测系统。异常检测系统需要构建正常规则库,以此作为判断用户行为的依据,判断入侵行为是否成立。异常检测系统能检测出从未出现过的攻击行为。不同于异常检测系统,误用检测系统需要收集大量攻击行为的信息。将这些行为编写入规则库,当用户的行为以及网络数据与编写入规则库的记录相符合,则标记为入侵行为。误用检测系统的检测效率较高,能迅速检测出入侵行为。依据结构对系统进行分类亦可分为分布式与集中式入侵检测系统。集中式入侵检测系统由一个中央服务器与分布各地的主机组成。主机负责传送数据,入侵检测服务器对其进行检测。此种方法管理与协调起来较为便利。分布式入侵检测系统将中央服务器的职责分配给若干入侵检测系统,系统之间相互协作,局部入侵检测系统的失效对整体检测效果影响不大。[2]
二、入侵检测系统在电力市场运营系统中的应用研究
1.电力市场技术支持系统简介
电力市场技术支持系统是一种复杂的信息系统,其以市场运营理论为基础,对包括数据网络、计算机等在内的各种应用软件及技术设备进行有机整合,利用有效的技术手段保证电力市场安全、稳定运行。当前电力市场技术系统的结构包括报价辅助决策系统、报价处理系统、交易管理系统、负荷预测系统等。这些系统都是电力市场技术支持系统的重要组成部分。符合预测系统能根据当前社会、经济以及电力系统发展的需要出发,对很多历史资料与信息进行分析,获取有效的电力负荷预测结果的信息。报价辅助决策系统是建立在电力负荷预测系统之上的,电力负荷预测系统能提供预测结果,而报价辅助决策系统正是根据预测的结果结合市场规则形成有效的报价决策方案,对电价与电量的相关内容进行数据的申报。而人们常说的报价处理系统是接收发电公司的报价,对其进行确认核实,形成有效的数据文档,对各个发电公司的报价重申工作进行相关的处理。电力市场技术支持系统有其自身的工作流程。运营时遵守厂网分开的原则,负荷预测系统对电力的负荷情况进行预测,结果传送各发电公司,由公司的报价决策系统进行报价决策并申报相关数据,然后将申报的数据进行提交,由交易中心进行审核,然后进行市场的评估与分析,指导电力公司以后的报价行为,最后制订交易计划,能源管理系统依据计划进行内部调控,电能管理系统依据调控进行电量计算,最终由结算系统对相关内容进行计算,实现最终交易。[3]
2.电力市场技术支持系统入侵问题
电力市场技术支持系统包含其内部的各个子系统以及与电力市场技术支持系统相关的其他系统。系统之间的数据通信存在多种形式。一般的通信都是通过本地的局域网进行连接通信,而发电公司与交易中心则是通过电力调度数据网进行连接通信。电力市场技术支持系统与电力二次系统实现数据通信,需要依靠电力调度数据网连接。电力市场技术支持系统遭受入侵的主要原因是与系统所连接的网络相关。不同系统通信遭受影响,所造成的后果也是不同的,对电力市场技术支持系统与电量计量系统之间通讯网络的入侵会造成电能量的读取错误,影响电费计量。电力市场技术支持系统的入侵主要来自交易中心内部局域网的入侵。入侵类型有以下几种:普通用户进行登陆系统,入侵利用缓冲区溢出的漏洞等获取管理员的权限,对相关内容进行非法操作。此外,入侵者通过向子系统发送连接请求,使主机共享资源逐步加大,超过其负载能力,促使服务无法提供。交易中心内部,等级低的系统一旦被入侵,入侵者会以此为跳板进行更高层面的入侵。[4] 三、入侵检测系统在电力市场技术支持系统中的应用
电力市场技术支持系统在划分上可以分为以下几个功能模块:数据处理模块搜索网络数据包,提取有效网络特征,分析成数据格式。数据处理模块为入侵检测模块提供数据来源。此模块采用的数据分析技术为协议分析技术。入侵检测模块对应的是CIDF的时间分析器,对相关数据进行检测分析研究,判断其是否正常。入侵检测模块是电力市场技术支持系统中最为核心的部分。整个入侵检测模块包括检测器的生成过程、入侵检测过程以及检测器的动态更新过程。构建自体集是生成检测器的必经过程之一,需要捕获相关网络数据。为了防止入侵者发现生成检测器的规律,检测器随机生成。在整个数据的入侵检测过程中,数据处理模块将获取的网络数据进行协议的解码,之后提取相关的网络特征,将网络特征放入对应的协议集合之中,产生待检测的文件。检测过程必备成熟检测器集合与记忆检测器集合。利用成熟检测器集合检查未知的入侵行为,而记忆的检测器集合则是用来检查已知的入侵行为。待检测文件同相应协议类型的子集进行匹配操作。如果匹配的结果显示的是成功,则需要相应的报警模块。如果显示不成功就将相关数据或入侵行为设为正常网络数据,将相关数据加入相应的集合之中,以此来优化记忆检测器。[4]检测器的动态更新过程也是电子市场技术支持系统的重要组成部分。检测器要不断实现动态更新,以此不断提升检测的效率,提高入侵检测的安全性。报警模块是当系统遭遇入侵时,系统会立即向管理员发出报警信号,管理员对此行为进行确认,当发现是入侵行为时需要立即中断连接。如果出现误检现象,需要立即将记忆检测器删除,自体集合中还存在非自体的元素,需要加以区分。入侵检测系统进行部署时要尊重以下原则,即系统需部署在网络的关键位置,例如防火墙内部或关键子网处等。[3]
四、结语
入侵检测系统是电力市场技术支持系统安全有效的保证。作为系统的第二道防线,其与生物免疫系统有着惊人的相似之处。本文从入侵检测系统的整体概述进行分析说明,介绍入侵检测系统存在的一系列问题,从入侵检测系统在电力市场技术支持系统中的运用进行深入分析,希望借此提升电力市场运营的安全性与稳定性,保证我国电网市场的有效运行。
参考文献:
[1]胡博.入侵检测系统——在电力信息网中的管理与应用.电力信息化,2005,(12):39-41.
[2]刘红民.基于免疫原理的入侵检测技术在三级网中应用的研究[D].重庆:重庆大学,2007:27.
[3]曹连军,王文,马骁,等.电力市场运营系统的安全分析与防护策略[J].电网技术,2005,29(7):18-22.
[4]崔萌萌.基于免疫学原理的混合入侵检测系统[D].南京:南京信息工程大学,2007:46.
关键词:入侵检测;电力市场;技术支持系统
作者简介:包瑞光(1977-),男,内蒙古巴盟人,内蒙古巴彦淖尔市乌拉特中旗电力有限责任公司,工程师;刘辉(1982-),女,内蒙古巴盟人,内蒙古巴彦淖尔市乌拉特中旗电力有限责任公司,工程师。(内蒙古 巴彦淖尔 015300)
中图分类号:TM711 文献标识码:A 文章编号:1007-0079(2013)17-0210-02
计算机网络的迅速发展推动信息化建设步伐的加快。电力行业不同于其他行业,由于电力系统是极其特殊的,一旦遭到破坏或者信息被窃取就会造成很严重的后果。近年来,电力系统的安全问题受到严重考验,细微的电力系统网络安全问题就会给市场经济或者国家的政治经济造成严重的后果。普通的信息入侵可能造成电力系统的瘫痪,严重的可造成电力市场的灾难性后果。最基本的电力信息系统的保护办法是设置防火墙。防火墙是进行防御的第一条防线,但是防火墙也可能被攻破。入侵检测系统是维护信息安全的第二道安全防线。入侵检测系统是依据人体免疫系统研究出来的。入侵检测经实践应用能有效检测出电力市场系统所遭遇的各种攻击,对于电力市场安全的维护与控制意义重大。[1]
一、入侵检测系统的理论研究
1.入侵检测系统的相关概念
人们常称那些破坏资源保密性、完整性的活动为入侵。入侵者攻入一个信息系统的目的可能是试图破坏系统或者获取系统的相关信息、对信息数据进行篡改,使当前系统的稳定性遭到破坏,甚至无法提供正常的服务。入侵检测是对入侵的行为进行检测。入侵检测需要结合分析计算机系统与网络提供方的信息对系统进行检测,检测系统内部是否含有被攻击的迹象。[1]在电力系统安全运作的过程中,入侵检测是一种积极的防御技术,其能有效提供内部攻击的信息,对出现的异常状况进行动态反应,在系统遭到攻击与破坏之前及时反应。概括来讲,人们常说的入侵检测系统就是一种软硬件相结合的系统。这种系统能够完成入侵检测的任务,对系统进行动态监控,及时发出警报或进行相关处理。入侵检测作为安全的第二道安全防线,能增强系统的机密性与安全性。[2]
2.入侵检测系统的分类
按照不同的分类方法,可以对入侵检测系统进行分类。例如按照数据源的分类标准,可以将入侵检测系统分为基于主机的入侵检测系统与基于网络的入侵检测系统。基于主机的入侵检测系统将系统日志或设计数据作为数据源,监控操作系统运营过程,检测的正确率与主机的性价比相关。基于网络的入侵检测系统将网络数据包作为数据源,通过在关键网段安装监控实现动态检测。与基于主机的入侵检测系统不同,基于网络的入侵检测系统不需要在每一台主机上都安装软件。此外,这种检测系统还能经过对数据的分析得知入侵者的相关消息。依据入侵检测的方法进行分类可分为异常检测系统与误用检测系统。异常检测系统需要构建正常规则库,以此作为判断用户行为的依据,判断入侵行为是否成立。异常检测系统能检测出从未出现过的攻击行为。不同于异常检测系统,误用检测系统需要收集大量攻击行为的信息。将这些行为编写入规则库,当用户的行为以及网络数据与编写入规则库的记录相符合,则标记为入侵行为。误用检测系统的检测效率较高,能迅速检测出入侵行为。依据结构对系统进行分类亦可分为分布式与集中式入侵检测系统。集中式入侵检测系统由一个中央服务器与分布各地的主机组成。主机负责传送数据,入侵检测服务器对其进行检测。此种方法管理与协调起来较为便利。分布式入侵检测系统将中央服务器的职责分配给若干入侵检测系统,系统之间相互协作,局部入侵检测系统的失效对整体检测效果影响不大。[2]
二、入侵检测系统在电力市场运营系统中的应用研究
1.电力市场技术支持系统简介
电力市场技术支持系统是一种复杂的信息系统,其以市场运营理论为基础,对包括数据网络、计算机等在内的各种应用软件及技术设备进行有机整合,利用有效的技术手段保证电力市场安全、稳定运行。当前电力市场技术系统的结构包括报价辅助决策系统、报价处理系统、交易管理系统、负荷预测系统等。这些系统都是电力市场技术支持系统的重要组成部分。符合预测系统能根据当前社会、经济以及电力系统发展的需要出发,对很多历史资料与信息进行分析,获取有效的电力负荷预测结果的信息。报价辅助决策系统是建立在电力负荷预测系统之上的,电力负荷预测系统能提供预测结果,而报价辅助决策系统正是根据预测的结果结合市场规则形成有效的报价决策方案,对电价与电量的相关内容进行数据的申报。而人们常说的报价处理系统是接收发电公司的报价,对其进行确认核实,形成有效的数据文档,对各个发电公司的报价重申工作进行相关的处理。电力市场技术支持系统有其自身的工作流程。运营时遵守厂网分开的原则,负荷预测系统对电力的负荷情况进行预测,结果传送各发电公司,由公司的报价决策系统进行报价决策并申报相关数据,然后将申报的数据进行提交,由交易中心进行审核,然后进行市场的评估与分析,指导电力公司以后的报价行为,最后制订交易计划,能源管理系统依据计划进行内部调控,电能管理系统依据调控进行电量计算,最终由结算系统对相关内容进行计算,实现最终交易。[3]
2.电力市场技术支持系统入侵问题
电力市场技术支持系统包含其内部的各个子系统以及与电力市场技术支持系统相关的其他系统。系统之间的数据通信存在多种形式。一般的通信都是通过本地的局域网进行连接通信,而发电公司与交易中心则是通过电力调度数据网进行连接通信。电力市场技术支持系统与电力二次系统实现数据通信,需要依靠电力调度数据网连接。电力市场技术支持系统遭受入侵的主要原因是与系统所连接的网络相关。不同系统通信遭受影响,所造成的后果也是不同的,对电力市场技术支持系统与电量计量系统之间通讯网络的入侵会造成电能量的读取错误,影响电费计量。电力市场技术支持系统的入侵主要来自交易中心内部局域网的入侵。入侵类型有以下几种:普通用户进行登陆系统,入侵利用缓冲区溢出的漏洞等获取管理员的权限,对相关内容进行非法操作。此外,入侵者通过向子系统发送连接请求,使主机共享资源逐步加大,超过其负载能力,促使服务无法提供。交易中心内部,等级低的系统一旦被入侵,入侵者会以此为跳板进行更高层面的入侵。[4] 三、入侵检测系统在电力市场技术支持系统中的应用
电力市场技术支持系统在划分上可以分为以下几个功能模块:数据处理模块搜索网络数据包,提取有效网络特征,分析成数据格式。数据处理模块为入侵检测模块提供数据来源。此模块采用的数据分析技术为协议分析技术。入侵检测模块对应的是CIDF的时间分析器,对相关数据进行检测分析研究,判断其是否正常。入侵检测模块是电力市场技术支持系统中最为核心的部分。整个入侵检测模块包括检测器的生成过程、入侵检测过程以及检测器的动态更新过程。构建自体集是生成检测器的必经过程之一,需要捕获相关网络数据。为了防止入侵者发现生成检测器的规律,检测器随机生成。在整个数据的入侵检测过程中,数据处理模块将获取的网络数据进行协议的解码,之后提取相关的网络特征,将网络特征放入对应的协议集合之中,产生待检测的文件。检测过程必备成熟检测器集合与记忆检测器集合。利用成熟检测器集合检查未知的入侵行为,而记忆的检测器集合则是用来检查已知的入侵行为。待检测文件同相应协议类型的子集进行匹配操作。如果匹配的结果显示的是成功,则需要相应的报警模块。如果显示不成功就将相关数据或入侵行为设为正常网络数据,将相关数据加入相应的集合之中,以此来优化记忆检测器。[4]检测器的动态更新过程也是电子市场技术支持系统的重要组成部分。检测器要不断实现动态更新,以此不断提升检测的效率,提高入侵检测的安全性。报警模块是当系统遭遇入侵时,系统会立即向管理员发出报警信号,管理员对此行为进行确认,当发现是入侵行为时需要立即中断连接。如果出现误检现象,需要立即将记忆检测器删除,自体集合中还存在非自体的元素,需要加以区分。入侵检测系统进行部署时要尊重以下原则,即系统需部署在网络的关键位置,例如防火墙内部或关键子网处等。[3]
四、结语
入侵检测系统是电力市场技术支持系统安全有效的保证。作为系统的第二道防线,其与生物免疫系统有着惊人的相似之处。本文从入侵检测系统的整体概述进行分析说明,介绍入侵检测系统存在的一系列问题,从入侵检测系统在电力市场技术支持系统中的运用进行深入分析,希望借此提升电力市场运营的安全性与稳定性,保证我国电网市场的有效运行。
参考文献:
[1]胡博.入侵检测系统——在电力信息网中的管理与应用.电力信息化,2005,(12):39-41.
[2]刘红民.基于免疫原理的入侵检测技术在三级网中应用的研究[D].重庆:重庆大学,2007:27.
[3]曹连军,王文,马骁,等.电力市场运营系统的安全分析与防护策略[J].电网技术,2005,29(7):18-22.
[4]崔萌萌.基于免疫学原理的混合入侵检测系统[D].南京:南京信息工程大学,2007:46.