论文部分内容阅读
摘要:随着计算机技术和网络技术的迅猛发展,计算机系统已经从独立的主机发展到复杂的、互联的开放式系统,这种情况导致计算机及网络的入侵问题越来越突出,为保护系统资源,需要建立不同于防火墙和防病毒软件的主动防御机制检测入侵。这种完成入侵检测功能的系统称为入侵检测系统(IDS:Intrusion Detection System)。文章研究了碗米坡水电厂的监控系统入侵检测系统改造方案,为今后深入IDS的研究提供了必要的技术依据和发展方向。
关键词:生产控制大区 监控系统 网络结构图 入侵检测
0 引言
根据水电厂安全性评价要求,生产控制大区必须安装入侵检测装置。碗米坡电厂在建厂之初,未考虑在生产控制大区(安防I区)安装安装入侵检测装置(软件和硬件)。2011年,碗米坡水电厂计算机监控系统接入五凌电力有限公司集控中心,在湖南省内率先实现水电站的“远程集控”模式。但该系统在建设时考虑了远传通道的冗余备用,采用了电力通道、电信通道双路冗余备用接入模式。因系统中接入了外部电信通道,雖然该通道系电信公司提供给电厂的专用2M信道,但仍存在被外部入侵的可能性,存在一定的安全隐患。为满足电力系统二次安全防护相关要求,电厂于2012年立项,对生产控制大区设备(包括计算机监控系统及弧门监控系统)配置入侵检测装置,以达到安全防控的目的,保证水电厂生产控制大区系统网络的安全、稳定运行。
1 碗米坡水电厂计算机监控系统网络介绍
碗米坡水电厂机电设备计算机监控系统采用双以太网分层分布式结构,由上位机(主机)、下位机(现地控制单元LCU)、电源系统、网络设备、对时系统五大部分组成。同时根据电厂“远程集控”接入方案,厂内计算机监控系统通过电力、电信两条通信通道五凌电力有限公司集控中心监控系统相连,全厂机电设备日常操作均通过集控中心操作执行,采用电力通信通道为主用,电信通信通道为热备用的通信方式;当主用通道故障时,可无扰动切换至备用通道运行。
2 碗米坡水电厂弧门监控系统网络介绍
碗米坡水电厂弧门监控系统采用单以太网分层分布式结构,由上位机(主机和远程工作站)、下位机(现地控制单元LCU)、网络设备三大部分组成。
3、入侵检测系统功能介绍
经选型调研,碗米坡水电厂选用天融信公司TS-2404-IDS型入侵检测装置作为本次改造用设备,其主要功能如下:
入侵检测系统能够全天不间断地对受保护网段进行监视,要求能长期安全、稳定运行,且在不影响受保护网段正常的网络数据交换的前提下实现完善的系统功能。
日志记录:可以记录常规日志(入侵审计信息)和详细日志(入侵事件的原始报文)以及系统自身的审计信息,能够以日志文件的形式保存在数据库中,并提供多种日志查询方式。
发送SNMP Trap:系统在检测到入侵时,可向网管系统发送SNMP Trap消息。
与防火墙及路由器联动:支持与天融信防火墙NGFW的联动,联动协议包括TOPSEC协议、OPSEC协议和IAP协议等。支持与CISCO 2950、 CISCO 2960等型号路由器联动。
主动攻击方式检测:应能检测到预攻击探测、CGI漏洞、后门、DoS/DDoS、缓冲区溢出、WEB服务攻击、FTP攻击、Ping攻击、SMTP攻击、邮件病毒类、远程登录漏洞、网络蠕虫、口令猜测、异常流量等主动攻击方式。
流量分析:能够提供基于各种协议的网络流量统计功能和基于源或目的ip、端口的流量统计功能,能够发现网络中各种应用协议占据的流量大小,能够发现网络IP地址、应用服务端口以及网络传输中不同长度的数据包的分布、变化规律。
异常流量报警:支持异常流量检测和报警,可以根据流量的波动状况和对比状况定义异常,对于超限的异常流量的出现进行报警。
自定义流量监测:具备自定义流量监测能力,能够对所关注的主机、服务状况进行重点监测。并可以结合蠕虫特征,了解恶意流量在网络中的分布、发展状况。
历史事件分析:能对安全事件进行事后统计、分析,支持多种报表模板,用户可以根据事件风险等级、时间、源或目的地址等生成报表,用户可自定义报表,支持多种报表输出格式。
IDS规避:通过重写、优化TCP/IP 协议栈,有效抵御IDS 规避攻击。综合使用误用检测、异常检测、智能协议分析、会话状态分析、实时关联检测等多种技术,大大提高了准确度,减少了漏报、误报现象。
容错能力:综合采用专用高速硬件平台,专用底层硬件驱动优化的底层抓包加速引擎,双网卡分流重组技术,增强直接用户空间访问(EDUA)技术,多线程分散式重组引擎等多层加速技术,即使在高强度攻击下也能保证系统正常运行。
集中与分级管理:支持集中管理和多级分布式管理模式,通过配置下级管理中心,可实现无限制多层次分级管理,上级管理中心可以对下级管理中心进行检测策略的分发与应用,下级管理中心可向上级管理中心实时反馈检测到的安全事件。
安全策略管理:内置多种安全策略模板,用户可根据实际网络环境灵活选择、应用,可以添加新的策略集,并可以对具体策略项进行编辑处理。系统内置默认策略包括:Email策略、FTP策略、WWW策略、缺省策略、最大化策略。
用户管理:管理员帐户分为管理员、审计员和普通用户三种,其中管理员可执行所有操作,审计员可管理审计数据,普通用户只可察看而没有修改权限。
数据管理:支持管理员对系统在运行中产生的数据进行管理,如删除、备份和恢复数据等。
报表内容:报表内容包含了系统所检测到的信息的详细记录,如入侵时间、攻击内容描述、攻击事件类型、攻击分布、攻击源/目的IP/MAC地址、攻击事件发生次数等。
报表分析和汇总:各级管理中心均提供强大灵活的汇总、统计和分析功能,可提供多种形式的统计分析报表。支持对发生的网络事件记录日志。提供的分析方式包括特征分析、异常分析、智能协议分析、会话状态分析、关联分析等。 4 入侵检测系统改造方案
1、考虑到入侵检测系统投运后,不能影响生产控制大区正常的网络数据交换,同时为便于该系统的日常维护、规程升级,将该系统设备布置于电厂监控机房内。
2、在监控机房网络柜内新安装一套天融信TS-2404-IDS型入侵检测装置,采用超五类双绞线连接计算机监控系统入侵检测装置与计算机监控系统入侵检测服务器。改造后网络拓扑图如图3所示。
3、采用超五类双绞线将监控机房网络柜内的原弧门监控从站光电转换器与思科SF100D-08型号八口交换机相连,然后采用超五类双绞线将弧门监控从站、通讯站均连接至此八口交换机上,新安装一套天融信TS-2404-IDS型号入侵检测装置于网络柜内,用超五类双绞线连接入侵检测装置、入侵检测服务器及弧门监控通讯站。改造后网络拓扑图如图4所示。
6 入侵检测系统改造实践
1、电厂生产大区入侵检测系统配置兩台联想扬天A4600t服务器,均安装天融信IDS控制台,根据天融信官网入侵检测规则升级情况,定期下载升级包对控制台进行规则升级。两台IDS(TS-2404-IDS)分别部署于机电设备监控0#、1#网络及弧门监控网络中,对所接入的网络进行入侵检测。
2、设备投运后,IDS能够监听并检测网络内所有端口的数据流,当检测到网络异常攻击时会记录到控制台并显示报警。为方便异常事件处置,在IDS服务器上配置了一套报警喇叭,并在控制台内将严重、较严重入侵报警设置为音响报警,报警音定义为防空警报声音,当监测到入侵行为时可及时提醒电厂设备维护人员,对网络攻击进行应急处置。
7 结束语
随着计算机和网络技术的快速扩展,网络安全已经成为现代计算机系统面临的最重要的问题之一。入侵检测系统作为不同于防火墙和防病毒软件的主动防御的最后一道防线,能够用于监控网络或计算机系统的动态行为特征,并采取主动防御措施来阻止入侵的发生。随着碗米坡水电厂监控系统生产控制大区入侵检测系统改造完成以及成功投运,对计算机和网络中的非法行为进行主动防御和有效抑制将发挥越来越大的作用,对当今计算机网络及信息安全方面亟待解决的重要问题具有借鉴意义。
参考文献:
[1]谢冬青.冷健.熊伟.计算机网络安全技术教程[M]北京:机械工业出版社.2007
[2]白川平.基于网络的入侵检测系统的研究.信息与电脑(理论版)2010年02期
[3]碗米坡水电厂计算机监控系统运行规程.Q/WMP 105.6-2012
关键词:生产控制大区 监控系统 网络结构图 入侵检测
0 引言
根据水电厂安全性评价要求,生产控制大区必须安装入侵检测装置。碗米坡电厂在建厂之初,未考虑在生产控制大区(安防I区)安装安装入侵检测装置(软件和硬件)。2011年,碗米坡水电厂计算机监控系统接入五凌电力有限公司集控中心,在湖南省内率先实现水电站的“远程集控”模式。但该系统在建设时考虑了远传通道的冗余备用,采用了电力通道、电信通道双路冗余备用接入模式。因系统中接入了外部电信通道,雖然该通道系电信公司提供给电厂的专用2M信道,但仍存在被外部入侵的可能性,存在一定的安全隐患。为满足电力系统二次安全防护相关要求,电厂于2012年立项,对生产控制大区设备(包括计算机监控系统及弧门监控系统)配置入侵检测装置,以达到安全防控的目的,保证水电厂生产控制大区系统网络的安全、稳定运行。
1 碗米坡水电厂计算机监控系统网络介绍
碗米坡水电厂机电设备计算机监控系统采用双以太网分层分布式结构,由上位机(主机)、下位机(现地控制单元LCU)、电源系统、网络设备、对时系统五大部分组成。同时根据电厂“远程集控”接入方案,厂内计算机监控系统通过电力、电信两条通信通道五凌电力有限公司集控中心监控系统相连,全厂机电设备日常操作均通过集控中心操作执行,采用电力通信通道为主用,电信通信通道为热备用的通信方式;当主用通道故障时,可无扰动切换至备用通道运行。
2 碗米坡水电厂弧门监控系统网络介绍
碗米坡水电厂弧门监控系统采用单以太网分层分布式结构,由上位机(主机和远程工作站)、下位机(现地控制单元LCU)、网络设备三大部分组成。
3、入侵检测系统功能介绍
经选型调研,碗米坡水电厂选用天融信公司TS-2404-IDS型入侵检测装置作为本次改造用设备,其主要功能如下:
入侵检测系统能够全天不间断地对受保护网段进行监视,要求能长期安全、稳定运行,且在不影响受保护网段正常的网络数据交换的前提下实现完善的系统功能。
日志记录:可以记录常规日志(入侵审计信息)和详细日志(入侵事件的原始报文)以及系统自身的审计信息,能够以日志文件的形式保存在数据库中,并提供多种日志查询方式。
发送SNMP Trap:系统在检测到入侵时,可向网管系统发送SNMP Trap消息。
与防火墙及路由器联动:支持与天融信防火墙NGFW的联动,联动协议包括TOPSEC协议、OPSEC协议和IAP协议等。支持与CISCO 2950、 CISCO 2960等型号路由器联动。
主动攻击方式检测:应能检测到预攻击探测、CGI漏洞、后门、DoS/DDoS、缓冲区溢出、WEB服务攻击、FTP攻击、Ping攻击、SMTP攻击、邮件病毒类、远程登录漏洞、网络蠕虫、口令猜测、异常流量等主动攻击方式。
流量分析:能够提供基于各种协议的网络流量统计功能和基于源或目的ip、端口的流量统计功能,能够发现网络中各种应用协议占据的流量大小,能够发现网络IP地址、应用服务端口以及网络传输中不同长度的数据包的分布、变化规律。
异常流量报警:支持异常流量检测和报警,可以根据流量的波动状况和对比状况定义异常,对于超限的异常流量的出现进行报警。
自定义流量监测:具备自定义流量监测能力,能够对所关注的主机、服务状况进行重点监测。并可以结合蠕虫特征,了解恶意流量在网络中的分布、发展状况。
历史事件分析:能对安全事件进行事后统计、分析,支持多种报表模板,用户可以根据事件风险等级、时间、源或目的地址等生成报表,用户可自定义报表,支持多种报表输出格式。
IDS规避:通过重写、优化TCP/IP 协议栈,有效抵御IDS 规避攻击。综合使用误用检测、异常检测、智能协议分析、会话状态分析、实时关联检测等多种技术,大大提高了准确度,减少了漏报、误报现象。
容错能力:综合采用专用高速硬件平台,专用底层硬件驱动优化的底层抓包加速引擎,双网卡分流重组技术,增强直接用户空间访问(EDUA)技术,多线程分散式重组引擎等多层加速技术,即使在高强度攻击下也能保证系统正常运行。
集中与分级管理:支持集中管理和多级分布式管理模式,通过配置下级管理中心,可实现无限制多层次分级管理,上级管理中心可以对下级管理中心进行检测策略的分发与应用,下级管理中心可向上级管理中心实时反馈检测到的安全事件。
安全策略管理:内置多种安全策略模板,用户可根据实际网络环境灵活选择、应用,可以添加新的策略集,并可以对具体策略项进行编辑处理。系统内置默认策略包括:Email策略、FTP策略、WWW策略、缺省策略、最大化策略。
用户管理:管理员帐户分为管理员、审计员和普通用户三种,其中管理员可执行所有操作,审计员可管理审计数据,普通用户只可察看而没有修改权限。
数据管理:支持管理员对系统在运行中产生的数据进行管理,如删除、备份和恢复数据等。
报表内容:报表内容包含了系统所检测到的信息的详细记录,如入侵时间、攻击内容描述、攻击事件类型、攻击分布、攻击源/目的IP/MAC地址、攻击事件发生次数等。
报表分析和汇总:各级管理中心均提供强大灵活的汇总、统计和分析功能,可提供多种形式的统计分析报表。支持对发生的网络事件记录日志。提供的分析方式包括特征分析、异常分析、智能协议分析、会话状态分析、关联分析等。 4 入侵检测系统改造方案
1、考虑到入侵检测系统投运后,不能影响生产控制大区正常的网络数据交换,同时为便于该系统的日常维护、规程升级,将该系统设备布置于电厂监控机房内。
2、在监控机房网络柜内新安装一套天融信TS-2404-IDS型入侵检测装置,采用超五类双绞线连接计算机监控系统入侵检测装置与计算机监控系统入侵检测服务器。改造后网络拓扑图如图3所示。
3、采用超五类双绞线将监控机房网络柜内的原弧门监控从站光电转换器与思科SF100D-08型号八口交换机相连,然后采用超五类双绞线将弧门监控从站、通讯站均连接至此八口交换机上,新安装一套天融信TS-2404-IDS型号入侵检测装置于网络柜内,用超五类双绞线连接入侵检测装置、入侵检测服务器及弧门监控通讯站。改造后网络拓扑图如图4所示。
6 入侵检测系统改造实践
1、电厂生产大区入侵检测系统配置兩台联想扬天A4600t服务器,均安装天融信IDS控制台,根据天融信官网入侵检测规则升级情况,定期下载升级包对控制台进行规则升级。两台IDS(TS-2404-IDS)分别部署于机电设备监控0#、1#网络及弧门监控网络中,对所接入的网络进行入侵检测。
2、设备投运后,IDS能够监听并检测网络内所有端口的数据流,当检测到网络异常攻击时会记录到控制台并显示报警。为方便异常事件处置,在IDS服务器上配置了一套报警喇叭,并在控制台内将严重、较严重入侵报警设置为音响报警,报警音定义为防空警报声音,当监测到入侵行为时可及时提醒电厂设备维护人员,对网络攻击进行应急处置。
7 结束语
随着计算机和网络技术的快速扩展,网络安全已经成为现代计算机系统面临的最重要的问题之一。入侵检测系统作为不同于防火墙和防病毒软件的主动防御的最后一道防线,能够用于监控网络或计算机系统的动态行为特征,并采取主动防御措施来阻止入侵的发生。随着碗米坡水电厂监控系统生产控制大区入侵检测系统改造完成以及成功投运,对计算机和网络中的非法行为进行主动防御和有效抑制将发挥越来越大的作用,对当今计算机网络及信息安全方面亟待解决的重要问题具有借鉴意义。
参考文献:
[1]谢冬青.冷健.熊伟.计算机网络安全技术教程[M]北京:机械工业出版社.2007
[2]白川平.基于网络的入侵检测系统的研究.信息与电脑(理论版)2010年02期
[3]碗米坡水电厂计算机监控系统运行规程.Q/WMP 105.6-2012