论文部分内容阅读
摘 要:当前,电力信息系统己经得到了比较广泛的应用,电力部门在实现管理信息化的同时,其所面临的安全问题也日益严峻,可以说电力信息的安全问题己经成为电力系统安全和稳定运行的隐患。本文介绍了基于数据挖掘技术的入侵检测系统的工作原理及其特点,说明了该检测系统中的模块的作用,提出了用入侵检测系统建立安全体系,来加强电厂网络安全监控与管理的思想,并结合电厂信息网络的实际情况,给出了该系统在电厂中的实际应用方案。
关键词:入侵检测技术;电力信息网络;安全
一、电力信息网络的结构及其安全分析
按照电力信息网络的业务和安全特点,其可以划分为四个区域:①实时控制区(安全区Ⅰ);②非控制生产区(安全区Ⅱ);③生产管理区(安全区Ⅲ);④信息管理区(安全区Ⅳ)。其中,实时控制区和非控制生产区又统称为生产控制大区,生产管理区和信息管理区统称为管理信息大区。
电力信息系统由多个复杂的异构子系统,其是由这些子系统所构成的具有超大规模、地域分布广泛和分级递阶的大系统。电力信息系统的安全防护主要针对的是网络系统和基于网络系统的电力生产控制系统,而其重点则是边界防护以提高内部安全防护的能力,从而保证电力生产控制系统及其内部重要数据的安全性。
从电力信息网络的整体结构来看,安全Ⅰ区和安全Ⅱ区的业务系统属于电力生产系统,采用的是电力调度数据网络在线运行方式,因此其数据交换比较多,关系也较为密切。这两个安全区的隔离使用的是硬件设备,而安全Ⅲ区和安全Ⅳ区的业务系统则属于信息系统,二者之间的隔离使用的也是硬件设备。
由此,我们可以看出生产控制大区的安全威胁来自于系统的内部,因此其安全防护的重点应放在来自于其内部的安全威胁上,管理信息大区虽有防火墙与外部的互联网隔离,但这并不意味着完全不受来自外部的安全威胁,黑客就可以跳过防火墙威胁电力信息系统。
二、基于数据挖掘的入侵检测系统
入侵检测系统是对系统的运行状态进行监视,发现各种攻击企图、攻击行为和攻击结果,并做出响应,以保证系统资源的机密性、完整性和可用性。
该检测过程主要分为:数据收集、数据的预处理、数据挖掘及入侵检测等几个步骤。与其他入侵检测系统比较,基于数据挖掘的入侵检测系统有以下几点优势:
1.智能性好,自动化程度高。基于数据挖掘的检测方法采用了统计学、决策学以及神经网络等多种方法,自动地从数据中提取难以发现的网络行为模式,从而减少了人的参与,减轻了入侵检测分析员的负担,同时也提高了检测的准确性。
2.检测效率高。数据挖掘可以自动地对数据进行预处理,抽取数据中的有用部分,有效地减少数据处理量,因而检测效率较高。
3.自适应能力强。应用数据挖掘方法的检测系统不是基于预定义的。
三、基于数据挖掘技术的IDS模型
根据入侵检测的一般过程,结合数据挖掘的特点,可建立应用数据挖掘技术的入侵检测系统模型。
(一)训练数据收集模块
很多审计数据可能对建立入侵分类规则无用,或含有重复信息,如果收集的训练数据过多,就会增大分类过程的计算量,降低建模的时效性。因此,需要有一个训练数据收集模块来指导训练数据的收集。训练数据收集模块中的关联/序列规则发掘模块,对审计记录进行规则发掘,提取出关联模式和序列模式。通过对以上发掘出来的规则进行合并来指导训练数据的收集。
当收集到新的审计数据后,从新的审计数据集中计算出新的规则,它反映了网络和用户行为的新变化。最后,当总规则集稳定时,说明训练数据集已涵盖了网络和用户行为的所有变化,可以停止进行数据的收集。
(二)训练数据特征提取模块
训练数据特征提取模块选择特征的依据是关联/序列规则,关联/序列规则反映了网络和用户的行为模式。从审计记录开发出来的关联规则说明了主体行为属性之间的关联关系,而序列模式可以看作是网络活动的统计总结。
(三)分类规则挖掘模块
分类规则挖掘模块通过分类算法,利用训练数据的特征集,为主机或网络用户的正常行为或异常行为的分类找到一个合理的描述或模型,然后用描述或模型对未知的新审计记录进行分类。
(四)入侵检测模块
入侵检测模块使用分类规则对审计记录进行识别,判断审计记录所记的事件是正常还是入侵。如果审计记录与网络或主机异常行为的分类规则的描述一致,那么就会采取相应的措施,如通知管理员、切断网络连接等,及时消除即将对系统安全产生的危害;如果不一致,则将检测结果反馈给训练数据收集模块,训练数据收集模块继续收集训练数据。
四、入侵检测技术在电厂信息网络安全中的應用
(一)实际应用方案
实际应用方案为:在电厂信息网络的重要服务器上配置实时入侵检测系统(探测器),负责发现入侵行为。在网络管理中心放置“控制台”,接收各个探测器发过来的告警信息,远程控制和管理各个探测器。
该系统通过在WEB发布服务器、代理服务器和数据服务器上分别配置入侵实时检测,从而有效判断来自网络内部和外部的入侵企图,进行报警、响应和防范。并且该系统可作为防火墙的重要补充,能对内部攻击,外部攻击和合法用户误操作进行实时检测,及时拦截和响应入侵。
(二)电力信息网络对IDS产品的选择准则
首先需要对各种IDS产品的系统性能、可靠性、扩展性及管理性能进行仔细的辨别与分析,从中选择最合适的产品。在产品系统性能方面,系统能够提供的数据流量监控能力是一个颇为重要的指标,它直接决定着IDS的目标与需求,可以从以下3个方面加以考虑:
1.确定期望保护的资源。是整个网络、部分服务器还是客户机?
2.网络的拓扑结构。是交换网络、Ultra-fast网络还是其他类型的网络?
3.使用这类工具的人员的数量。是1个人、10个人还是1个部门?
五、结语
入侵检测作为一种积极主动地安全保护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。然而它不能完全取代其他安全机制。应将它与主机安全技术,身份认证技术、访问控制技术、防火墙技术等结合起来一同使用,以此增强网络和系统的安全性。
参考文献:
[1]朱林义.探讨入侵检测技术在电力信息网络安全中的应用[J].通讯世界,2017(07):97-99.
[2]甘晓琦.电力系统网络安全维护中入侵检测技术的运用研究[J].信息通信,2014(12):102-105.
关键词:入侵检测技术;电力信息网络;安全
一、电力信息网络的结构及其安全分析
按照电力信息网络的业务和安全特点,其可以划分为四个区域:①实时控制区(安全区Ⅰ);②非控制生产区(安全区Ⅱ);③生产管理区(安全区Ⅲ);④信息管理区(安全区Ⅳ)。其中,实时控制区和非控制生产区又统称为生产控制大区,生产管理区和信息管理区统称为管理信息大区。
电力信息系统由多个复杂的异构子系统,其是由这些子系统所构成的具有超大规模、地域分布广泛和分级递阶的大系统。电力信息系统的安全防护主要针对的是网络系统和基于网络系统的电力生产控制系统,而其重点则是边界防护以提高内部安全防护的能力,从而保证电力生产控制系统及其内部重要数据的安全性。
从电力信息网络的整体结构来看,安全Ⅰ区和安全Ⅱ区的业务系统属于电力生产系统,采用的是电力调度数据网络在线运行方式,因此其数据交换比较多,关系也较为密切。这两个安全区的隔离使用的是硬件设备,而安全Ⅲ区和安全Ⅳ区的业务系统则属于信息系统,二者之间的隔离使用的也是硬件设备。
由此,我们可以看出生产控制大区的安全威胁来自于系统的内部,因此其安全防护的重点应放在来自于其内部的安全威胁上,管理信息大区虽有防火墙与外部的互联网隔离,但这并不意味着完全不受来自外部的安全威胁,黑客就可以跳过防火墙威胁电力信息系统。
二、基于数据挖掘的入侵检测系统
入侵检测系统是对系统的运行状态进行监视,发现各种攻击企图、攻击行为和攻击结果,并做出响应,以保证系统资源的机密性、完整性和可用性。
该检测过程主要分为:数据收集、数据的预处理、数据挖掘及入侵检测等几个步骤。与其他入侵检测系统比较,基于数据挖掘的入侵检测系统有以下几点优势:
1.智能性好,自动化程度高。基于数据挖掘的检测方法采用了统计学、决策学以及神经网络等多种方法,自动地从数据中提取难以发现的网络行为模式,从而减少了人的参与,减轻了入侵检测分析员的负担,同时也提高了检测的准确性。
2.检测效率高。数据挖掘可以自动地对数据进行预处理,抽取数据中的有用部分,有效地减少数据处理量,因而检测效率较高。
3.自适应能力强。应用数据挖掘方法的检测系统不是基于预定义的。
三、基于数据挖掘技术的IDS模型
根据入侵检测的一般过程,结合数据挖掘的特点,可建立应用数据挖掘技术的入侵检测系统模型。
(一)训练数据收集模块
很多审计数据可能对建立入侵分类规则无用,或含有重复信息,如果收集的训练数据过多,就会增大分类过程的计算量,降低建模的时效性。因此,需要有一个训练数据收集模块来指导训练数据的收集。训练数据收集模块中的关联/序列规则发掘模块,对审计记录进行规则发掘,提取出关联模式和序列模式。通过对以上发掘出来的规则进行合并来指导训练数据的收集。
当收集到新的审计数据后,从新的审计数据集中计算出新的规则,它反映了网络和用户行为的新变化。最后,当总规则集稳定时,说明训练数据集已涵盖了网络和用户行为的所有变化,可以停止进行数据的收集。
(二)训练数据特征提取模块
训练数据特征提取模块选择特征的依据是关联/序列规则,关联/序列规则反映了网络和用户的行为模式。从审计记录开发出来的关联规则说明了主体行为属性之间的关联关系,而序列模式可以看作是网络活动的统计总结。
(三)分类规则挖掘模块
分类规则挖掘模块通过分类算法,利用训练数据的特征集,为主机或网络用户的正常行为或异常行为的分类找到一个合理的描述或模型,然后用描述或模型对未知的新审计记录进行分类。
(四)入侵检测模块
入侵检测模块使用分类规则对审计记录进行识别,判断审计记录所记的事件是正常还是入侵。如果审计记录与网络或主机异常行为的分类规则的描述一致,那么就会采取相应的措施,如通知管理员、切断网络连接等,及时消除即将对系统安全产生的危害;如果不一致,则将检测结果反馈给训练数据收集模块,训练数据收集模块继续收集训练数据。
四、入侵检测技术在电厂信息网络安全中的應用
(一)实际应用方案
实际应用方案为:在电厂信息网络的重要服务器上配置实时入侵检测系统(探测器),负责发现入侵行为。在网络管理中心放置“控制台”,接收各个探测器发过来的告警信息,远程控制和管理各个探测器。
该系统通过在WEB发布服务器、代理服务器和数据服务器上分别配置入侵实时检测,从而有效判断来自网络内部和外部的入侵企图,进行报警、响应和防范。并且该系统可作为防火墙的重要补充,能对内部攻击,外部攻击和合法用户误操作进行实时检测,及时拦截和响应入侵。
(二)电力信息网络对IDS产品的选择准则
首先需要对各种IDS产品的系统性能、可靠性、扩展性及管理性能进行仔细的辨别与分析,从中选择最合适的产品。在产品系统性能方面,系统能够提供的数据流量监控能力是一个颇为重要的指标,它直接决定着IDS的目标与需求,可以从以下3个方面加以考虑:
1.确定期望保护的资源。是整个网络、部分服务器还是客户机?
2.网络的拓扑结构。是交换网络、Ultra-fast网络还是其他类型的网络?
3.使用这类工具的人员的数量。是1个人、10个人还是1个部门?
五、结语
入侵检测作为一种积极主动地安全保护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。然而它不能完全取代其他安全机制。应将它与主机安全技术,身份认证技术、访问控制技术、防火墙技术等结合起来一同使用,以此增强网络和系统的安全性。
参考文献:
[1]朱林义.探讨入侵检测技术在电力信息网络安全中的应用[J].通讯世界,2017(07):97-99.
[2]甘晓琦.电力系统网络安全维护中入侵检测技术的运用研究[J].信息通信,2014(12):102-105.