探討入侵檢測技術在電力信息網絡安全中的應用

◆趙 靜

(國網湖南省電力公司常德供電分公司 湖南 415000)

探討入侵檢測技術在電力信息網絡安全中的應用

◆趙 靜

(國網湖南省電力公司常德供電分公司 湖南 415000)

對信息系統的依賴性是電力系統的顯著特點，隨著電力行業信息化的不斷發展，其信息網絡安全的重要性也日漸凸顯。本文主要探討了入侵檢測技術在電力信息網絡安全中的應用。首先，介紹了入侵檢測技術的概念、特性以及應用方式。其次，將入侵檢測技術運用到電力信息網絡中，提出了電力信息網絡入侵檢測以及入侵檢測算法AR-TREE。最后，通過具體的實驗以及實驗數據，發現入侵檢測技術運用在電力信息網絡中的檢測效果十分明顯，已達到95%以上的成功率。

入侵檢測；網絡安全管理；電力信息系統安全

0 引言

隨著科技的發展，黑客攻擊技術日漸高明，網絡系統存在的漏洞也越來越多，傳統的網絡操作系統加固技術和防火墻技術都是屬于靜態的安全防御技術，對網絡安全攻擊的反應缺乏主動性，越來越不能滿足現有的網絡系統對網絡安全的要求。因此，需要一種新型的技術從縱向的、橫向的、多層次的方向進行網絡安全管理。

1 入侵檢測技術的簡介

1.1 入侵檢測技術的概念

入侵檢測技術是指通過計算機網絡中的若干關鍵點收集的信息，并對這些信息進行分析，從這些信息中發現網絡或者系統中是否存在著有違反網絡安全行為的或是遭到襲擊的現象的一種安全技術。入侵檢測系統通過網絡及其上的網絡系統進行監視，可以識別惡意的行為，并根據監視的結果進行不同程度的反應，以最大限度地降低被入侵的可能性和危害性。入侵檢測系統的主要目的在于檢測外來網絡的入侵行為，并且還可以檢測來自網絡內部用戶的未授權活動和失誤操作，有效地彌補了防火墻不能阻止內部攻擊、不能提供實時入侵檢測能力、不能主動跟蹤入侵者、不能對病毒進行有效防護的局限性。

1.2 入侵檢測技術的特性

入侵檢測技術基本上不具有訪問控制的能力，這一技術就像擁有多年經驗的網絡偵查員，通過對數據的分析，從數據中過濾可疑的數據包，將正常使用方式與已知的入侵方式進行比較，來確定入侵檢測是否成功。網絡安全管理員根據這些判斷，就可以確切地知道所受到的攻擊，并采取相應的措施來解決這一問題。入侵檢測系統是網絡安全管理員經驗積累的一種體現，減輕了網絡安全管理員的負擔，降低了網絡安全管理員的技術要求，并且提高了電力信息網絡安全管理的有效性和準確性。

其功能有：

（1）監視用戶和系統的功能，查找非法用戶合合法用戶的越權操作。

（2）審計系統配置的正確性和安全漏洞，并提示管理員修補后動。

（3）對用戶的非正常活動進行統計分析，發現入侵行為的規律。

（4）操作系統的審計跟蹤管理，能夠實時地對檢測到的入侵行為進行反應，檢查系統程序和數據的一致性與正確性。

1.3 入侵檢測技術應用于電力信息網絡安全保護

具體如下圖1所示。

圖1 入侵檢測技術的應用

2 入侵檢測技術的應用

2.1 入侵檢測技術的結構

電力信息網絡在進行入侵檢測時，首先要對入侵檢測系統的總體結構進行部署，主要是對電力信息網絡的管理信息區域進行入侵檢測。防火墻用于在將聯網網絡和內部網絡進行隔開，將傳感器安置在安全區域的核心交換機的鏡像口上。對安全區域的核心交換機進行檢測，同時還要獲取網絡傳輸的數據。分析器對網絡數據進行處理并對網絡數據進行入侵檢測。中心監控器將所收集到的數據提交報警信息，最后中心控制器負責整個入侵檢測技術的應用。通過分析相關的收集數據，并提取出用戶的行為特征，分析入侵行為的規律性，以及對入侵行為的定位，從而建立健全完備的數據庫，以便日后入侵檢測。

2.2 數據挖掘的電力信息網絡入侵檢測

電力信息網絡安全中的數據來源不同，對數據安全性的要求也不同，為了成功地將入侵檢測技術運用在電力信息網絡中，可以建立正常的行為模式庫。將獲取的數據模塊直接運行到數據預處理中，通過數據預處理、學習引擎、檢測規律、檢測引擎這四個部分，將獲取的數據模塊進行分析處理，最后通過決策引擎進入報警行為響應。數據挖掘技術的入侵檢測技術，綜合了神經網絡學、決策學、統計學、概論學等多種學科的中心思想，可以從大量的數據中提取出不易被發現的網絡行為模式，可以降低網絡分析員的工作量，并且還能夠最大程度地提高檢測準確度。

2.3 入侵檢測算法AR-TREE

在電力信息網絡中所獲取的數據中，每條記錄中的數據就是所要分析的屬性。在這一入侵檢測算法中，樹中的每個節點表示著項出現的頻率值，每增加一個頻率項時，表示著每個項由四個區域所組成。這些網絡數據記錄壓縮到樹形的結構中，從中提取相關的規則。

3 實驗

3.1 數據特征選取

數據集的來源是 KDD組，這組數據集中包括 PROBE BYPASS、USER-to-Root、拒絕服務（DoS）Remote-to-Login、NORMAL。每條數據都具有 41個屬性，但不是每個數據的屬性都對檢測結果有貢獻的，在對數據的特征進行選取時，利用支持向量機方法通過實驗操作，指出KDD組中數據集有十三個屬性最為重要。

3.2 數據結果和分析

在實驗過程中從數據集中選取五個數據子集，每個數據子集中包含不同數據的正常記錄和入侵記錄。在對數據的處理時間上，數據規模表示連接記錄條數，AR算法與入侵檢測算法。通過加入平凡的像頭表，提高了檢測效率。AR算法在處理數據的時間上優于其它算法。

表1 入侵檢測數據

表2 入侵檢測結果

入侵檢測技術信息網絡中的檢測效果是十分明顯的，將這一技術用于定義信息網絡中進行入侵檢測，可以達到95%以上的成功率，并且在信息網絡中的檢測效果精確。電力信息網絡安全的入侵檢測中，入侵檢測技術的表現良好，體現了優良的檢測技術，對下一步工作進行部署時可以降低網絡系統中存在的漏報率和預報率。

4 結語

結合電力信息網絡的實際情況，加以運用入侵檢測技術，可以保障電力信息網絡安全。入侵檢測技術作為一種積極的電力信息網絡安全技術，對內預防了內部攻擊，對外預防了外部攻擊和失誤操作，對信息網絡系統中所面臨的威脅因素，提供了響應入侵和攔截入侵的功能。入侵檢測技術系統可以通過主機的安全技術、身份認證技術、訪問控制技術等多種技術結合，增強電力系統的網絡安全性能。

[1]陳新和.探討入侵檢測技術在電力信息網絡安全中的應用[J].通訊世界，2014.

[2]黃曉霞.電廠信息網絡安全分析——基于數據挖掘技術的入侵檢測系統的研究[D].西安理工大學，2003.

[3]黨林.電力系統網絡安全維護中入侵檢測技術的應用分析[J].電子技術與軟件工程，2013.