探讨入侵检测技术在电力信息网络安全中的应用韩波

探讨入侵检测技术在电力信息网络安全中的应用韩波

韩波

国网晋中供电公司山西晋中030600

摘要：近年来，电力信息系统已经得到了普遍的应用，电力部门的管理信息化也得到了高度关注。在这一背景下，其中面对的安全问题也比较多，所以需要相关部门对电力信息安全问题进行全面的保障，从而提高电力系统的安全稳定运行。本文就对电力信息网络安全中应用入侵检测技术的策略进行探讨。

关键词：入侵检测；技术；电力信息；网络安全

随着科技的发展，黑客攻击技术日渐高明，网络系统存在的漏洞也越来越多，传统的网络操作系统加固技术和防火墙技术都是属于静态的安全防御技术，对网络安全攻击的反应缺乏主动性，越来越不能满足现有的网络系统对网络安全的要求。因此，需要一种新型的技术从纵向的、横向的、多层次的方向进行网络安全管理。

1、电力信息网络的结构及其安全分析

按照电力信息网络的业务和安全特点，其可以划分为四个区域：①实时控制区（安全区Ⅰ）；②非控制生产区（安全区Ⅱ）；③生产管理区（安全区Ⅲ）；④信息管理区（安全区Ⅳ）。其中，实时控制区和非控制生产区又统称为生产控制大区，生产管理区和信息管理区统称为管理信息大区。电力信息系统由多个复杂的异构子系统，其是由这些子系统所构成的具有超大规模、地域分布广泛和分级递阶的大系统。电力信息系统的安全防护主要针对的是网络系统和基于网络系统的电力生产控制系统，而其重点则是边界防护，以提高内部安全防护的能力，从而保证电力生产控制系统及其内部重要数据的安全性。从电力信息网络的整体结构来看，安全Ⅰ区和安全Ⅱ区的业务系统属于电力生产系统，采用的是电力调度数据网络在线运行方式，因此其数据交换比较多，关系也较为密切。这两个安全区的隔离使用的是硬件设备。而安全Ⅲ区和安全Ⅳ区的业务系统则属于信息系统，二者之间的隔离使用的也是硬件设备。由此，我们可以看出，生产控制大区的安全威胁来自于系统的内部，因此其安全防护的重点应放在来自于其内部的安全威胁上。管理信息大区虽有防火墙与外部的互联网隔离，但这并不意味着完全不受来自外部的安全威胁，黑客就可以跳过防火墙威胁电力信息系统。

2、基于数据挖掘入侵检测系统

将入侵检测技术应用到电力信息网络中，本质上就是对其运行过程进行实时监控，及时发现网络内存在的攻击意图、结构以及行为等，然后做出应对反应，避免入侵行为对系统数据安全性产生影响，保证电力企业所有数据信息的完整性与可用性。将数据挖掘技术应用到入侵检测系统内，可以对以往生产管理中积累的大量数据进行处理，按照特征来对相应数据进行提取、分析以及总结，确定入侵行为的规律性，然后以此为依据，建立功能完备的数据库完成入侵检测。基于数据挖掘技术入侵检测系统的实现，主要可分为数据收集、数据预处理、数据挖掘以及入侵检测四个环节，与其他入侵检测技术相比，在实际应用优势更为明显。一方面，自动化程度高。以成熟的数据挖掘技术作为基础，综合统计学、神经网络以及决策学等多门学科，来通过对大量数据的分析，得到数据间相似的特征，发现网络行为模式，使得网络入侵检测工作量大幅度减少，极大程度上减轻了工作强度，且检测结果也具有更高的可靠性与准确性。另一方面，检测效率高。数据挖掘技术可以对相关数据进行预处理，从所有数据内只抽取有用的部分，使得数据处理对象急剧减少，处理效果明显提高。

3、基于数据挖掘技术IDS模型

3.1数据的采集和处理

在数据采集和预处理的模块当中，可以实现对监视目标系统的有效监视，从而将搜集到的网络活动信息作出相关的处理，最终形成一套具有自身特点的数据。在数据源方面，可以分为多种数据源，网络数据源当中又可以实现多个分析层次，利用对IP的检测就会实现对数据包的分析，从而进行分析和检测。通过对一些涉及到高层协议的攻击方法，就必须利用相对应的高层协议进行分析解析才能完成解析。主机数据源当中，主要是是对主机的日志进行数据的审计，一般情况下都是利用后台进程进行处理的。在安全审计数据当中，一般都需要利用数据挖掘算法对数据进行处理，在现阶段当中，对于需要审计的数据攻击事件都是相对较小的，摈弃给在安全审计的数据方面都保持正常稳定的状态，在攻击的时候会发生数据变量变化的现象。

3.2训练数据收集模块功能分析

在构建入侵分类规则中，可能存在很多审计数据是没有利用价值的，或者其存在信息重复现象。因此，若所收集的训练数据过多，则会使分类的计算量增加，进而使建模的实效性降低。所以，便需要拥有一个训练数据收集模块，进而对训练数据的收集发挥指导作用。在收到新审计数据之后，需从当中将新规则进行提取。规则能够反映出网络及用户新的行为的变化。此时，总规则当中便增加了一个新规则，加入总规则当中还存在另一个规则，那么这两个规则的支持度及可信度便极为相近。鉴于上述分析，便可将两个规则合并成为一条规则，在总规则处于稳定状态时，便表明训练数据已经覆盖了整个网络以及用户行为的新变化，然后便可以停止数据的收集工作。

3.3入侵检测模块

在入侵检测模块当中，主要是利用分类规则对于审计记录来实现有效的识别，判断审计记录当中所记载的事件类型，从而来实现对事件进行入侵现象的判断。在数据的对比过程当中，如果发现了审计数据和主机异常行为数据相一致的现象，就说明了出现了入侵的现象，需要采取相关的措施，来消除对系统造成的危害。在第一时间进行异常现象的捕捉，并且进行分析，以此来实现将训练数据模块的搜集改为收集训练数据的过程。

4、入侵检测的技术在电力信息安全中的相关应用

4.1实际运用的方案

在电力信息网络系统中的一些重要的服务器上，都配备有实时非法入侵的检测装置，也叫探测器。该探测器主要是自动的发掘出非法的入侵行为。我们在网络的中心管理系统中，配备有一个中心的控制台，这个中心的控制台可以接受从各个分布开来的小探测器发出的入侵警报。同时，这个中心的控制台还可以远程控制并且管理那些小探测器。这个入侵检测系统在网络上发散代理的服务器，并在数据服务器上都配有实时的入侵检测系统，而这些代理的服务器就可以在它们所管辖的范围内对计算机进行实时的入侵检测。各服务器可以有效的指出来源于网络外部和内部的入侵行为，通过报警、防范和做出相应的反应。一旦发现问题，就可以非常及时的解决。这样分开由各代理服务器来进行检测可以更高效、快速的对入侵威胁进行防范，避免不必要的数据损失。这个入侵检测系统同时还可以被视为计算机防火墙的一个重要的稳固系统，大大降低了非法入侵的可能性。

4.2IDS产品的选择标准

IDS产品的选择，首先需要考虑的是产品的性能、可靠性以及管理性能、拓展性等；对这些方面，要认真仔细进行辨别，从而选择出最优的产品。而在IDS产品的系统性能方面，要把其所提供的数据流量监控能力作为一个重要的指标来考核。具体来说，电力信息系统对IDS产品的要求很高，其选择的标准可从以下几个方面来考虑：①确定所要保护的数据资源；②网络的拓扑结构；③使用此类工具的人员的数量。

5、结语

综上所述，在信息化的时代当中，入侵检测技术已经成为了一种积极主动的安全防护措施，为计算机的内部防护以及外部攻击提供了相当重要的措施。在网络系统受到危害拦截的时候，可以起到保护计算机的作用。但是值得注意的是在现阶段当中是不可以完全的取代其他安全的机制的，需要结合实际情况的基础上和其他的防护措施来共同形成对计算机的保护屏障，以此来增强网络和系统的安全性能，最终提高网络安全管理的质量。

参考文献

[1]陈新和.探讨入侵检测技术在电力信息网络安全中的应用[J].通讯世界，2017（1）：67~68.

[2]杨亚芸.入侵检测技术在电力信息网络安全中的运用研究[J].军民两用技术与产品，2017（11）：50.

[3]刘沛.入侵检测技术在电力信息网络安全中的应用分析[J].通讯世界，2016（22）：92，93.

[4]史海丽.入侵检测技术在电力信息网络安全中的应用[J].科技经济导刊，2016（21）：33.