电力信息网络安全管理过程中入侵检测技术应用策略

电力信息网络安全管理过程中入侵检测技术应用策略

鲍娌娜

国网山东省电力公司烟台供电公司山东烟台264000

摘要：信息技术的快速发展改变了社会各领域的运行模式与发展方向，例如在电网中信息技术就得到了普遍应用，从而构建出了电力信息系统。其优势在于能够高效整合电力信息，实现现代化管理，并且能够有效降低电力系统出现安全问题的可能性。但为了使信息系统充分发挥其作用，入侵检测技术的应用是必不可少的，其对于拦截、防范非法信息具有重要作用，能够有效保障电力系统的安全性，本文就对此问题进行了详细探讨。

关键词：入侵检测技术；电力信息网络安全；应用

引言

尽管信息技术对于提高整个电力系统的安全性、可靠性发挥了重要作用，但由于网络入侵现象十分普遍且严重，如果处理不当，就会导致系统瘫痪，最终造成不可估量的损失。因此需要应用先进的入侵检测技术，充分发挥其拦截功能，保障系统安全性，为居民提供更加可靠的电力服务。

一、网络结构及安全

电力系统结构复杂，包括许多规模大、分布广的子系统。系统的防护要点在于安全防护，边界防护则属于重中之重，具有维护信息安全性的作用。另外，电力信息网络分为电力生产与管理信息两个重要区域，各自又可分别细分为两个安全区域，不同安全区的隔离是通过硬件设备来实现的[1]。此外，这两个区域所受到的威胁存在一定的差异，控制区以内部预防为主，管理区尽管设有防火墙，但仍然无法实现绝对安全，存在被黑客侵袭的危险。

二、入侵检测系统

入侵检测系统的监控能力十分强大，能够给各类攻击以实时化反应。将数据挖掘技术应用于该系统中则能够更加充分地发挥系统的功能，其能够提取用户行为，掌握入侵规律。当系统被外界非法因素入侵时，能够立即调动规则库，从而快速做出反应。此外，在检测电力信息系统时需要对数据进行收集、处理及挖掘，能够实现数据的全面整合与分析。具体来说，融入了挖掘技术的系统具备智能化特点，涵盖统计、决策等多个方面的专业知识，具有提取隐晦网络行为的作用，可明显减少入侵检测量，并确保检测的准确性。另外，挖掘技术具有预处理特点，可自动筛选无用信息，因此检测效率相对较高，并且适应能力极强，不受限于特定的系统模式，应用范围较广。

三、IDS模型

（一）采集和预处理

1.数据源

首先是网络数据源，可分析的层次较多。例如IP包头能够为land检测网络，cgi漏洞在完成检测之前必须经过高层协议解析这一环节。系统的功能也可通过高层协议的解析结果来体现，异常情况的监测可借助于正常协议[2]。其次是主机数据源。主机日志是数据的主要来源，其中具有价值的信息较多。

2.安全审计数据

此类数据的特点包括攻击事件较少、数据相对稳定，数据会因攻击而偏离正常值等。在处理此类数据时应充分结合网络和主机所获得的数据信息，确保数据更加全面，有效保障入侵检测质量。此类数据必须进行预处理，处理之后可称为审计记录，主要具有以下几项基本特点。第一是网络连接，包括连接端口地址、传输量、持续时间等。第二是连接内容，包括关键文件的访问、不同身份所对应的登录次数以及登录失败与成功的总次数。第三是连接统计，可从两个层面探讨，首先是以目的主机作为基础，需要统计连接与主机相同的个数。其次是以服务为基础，有时间限制，同样统计的是相同连接个数。

（二）收集、提取模块

审计数据可能存在重复问题，这样在分类计算时就会明显增加工作量，进而影响建模质量，难以体现数据的时效性。因此在收集训练型数据时必须进行专业指导，利用序列规则不断挖掘记录、提取模式，而后进行合并，并制定出指导措施，完成数据的收集后可重新建立规则，并通过分析客户信息明确网络与用户行为之间较之前产生了怎样的变化[3]。如果新规则与另一规则相同，可直接进行合并，使其成为一条新的规则。当总规则处于稳定状态时，意味着其已经包含所有变化，当达到此种程度时无需再收集数据。

提取模块时的主要规则是关联/序列，用于反应行为模式，发现属性关系，完成网络活动的统计，在选择时主要对象包括属性和支持度。挖掘时主要依据的是分类算法，需要以特征集作为基础，从而为不同类型的行为找到符合要求的模型，并完成新纪录的分类工作。

（三）入侵检测模块

该模块主要用于识别、记录及判断事件属性。针对属于正常或入侵的行为做出相应的反应。如果记录与规则一致，则需通知管理员，尽快消除危害。如果两者不一致，则应关联收集模块，继续收集数据即可。

四、具体应用

（一）应用方案

在具体应用的过程中首先需要将探测器安装在服务器上，其主要功能是检测系统中有无入侵性行为，并通过配置服务台接收告警信息，具有远距离控制的作用，使得各个探测器均处于监控范围之内。另外，还需在代理服务等多种不同类型的服务器上安装具有实时性特点的入侵检测器，其功能在于有效区分入侵企图，检测范围较广，网络内外部均在检测范围内，一旦发现异常现象，除了发出警报信息之外，还能快速进行响应，并在此基础上做好防范工作，是除防火墙之外的第二道有效拦截工具。除了处理网络内外部的非法攻击之外，还可检测出用户在操作过程中所出现的误差，然后在短时间内进行拦截，起到保护系统的作用。

（二）IDS产品选择

IDS产品的选择较为关键，在具体选择的过程中应着重于其扩展性与总体性能，尽量多选择一些同类产品，辨别出其之间的相同点与差异之处，从而在综合对比的基础上选择出性能最佳的产品。另外，监控能力是一项重要指标，是产品功能能否充分发挥的重要条件。该指标的衡量可通过以下几个方面。第一，明确需要受保护的资源所处的范围，从而将保护范围缩小至服务器或其他设备中。第二，明确网络结构的类型，例如交换或拓扑[4]。第三，明确产品所对应的是单个人、多个人或整个部门。只要把握好这几项选择依据，就能确保IDS产品充分发挥其对网络的保护功能。

五、结语

总而言之，入侵检测技术具备强大的实时保护功能，能够快速拦截非法入侵行为，但这并不意味着系统中仅应用该技术就可，而是应当与身份认证等其他先进技术联合应用，从而有效保障网络安全管理质量。

参考文献：

[1]党林.电力系统网络安全维护中入侵检测技术的应用分析[J].电子技术与软件工程，2013，（21）：214-215.

[2]邢静宇.电力信息网络节点安全检测和评估技术研究[D].北京邮电大学，2015.

[3]任天成.电力信息网络主动式风险预警系统开发研究[D].华北电力大学，2015.

[4]张海鹏.智能电网信息安全威胁及防御技术研究[D].河北科技大学，2014.