入侵檢測技術(shù)在電力信息網(wǎng)絡(luò)安全中的應(yīng)用

陳猛 國網(wǎng)山東省電力公司鄆城縣供電公司

1 電力系統(tǒng)計算機網(wǎng)絡(luò)中存在的網(wǎng)絡(luò)安全風險

不管是管理網(wǎng)絡(luò)系統(tǒng)還是生產(chǎn)控制網(wǎng)絡(luò)系統(tǒng)的安全風險，除了系統(tǒng)和軟件漏洞或者人為、物理破壞等因素影響之外，各種入侵、病毒等網(wǎng)絡(luò)攻擊也是引起上述電力系統(tǒng)數(shù)據(jù)丟失或數(shù)據(jù)錯誤的主要原因之一，從而極大的降低了電力網(wǎng)絡(luò)信息系統(tǒng)數(shù)據(jù)的保密性與完整性。因此，為了預(yù)防電力系統(tǒng)遭受網(wǎng)絡(luò)攻擊而造成嚴重損失，必須進一步加強電力系統(tǒng)的網(wǎng)絡(luò)安全建設(shè)工作。

2 計算機網(wǎng)絡(luò)信息系統(tǒng)入侵方式

1.1 病毒攻擊

計算機病毒是一種可實現(xiàn)自我復(fù)制的計算機程序，其主要是用于特定系統(tǒng)資源目標的破壞，通過拒絕服務(wù)等方式來破壞數(shù)據(jù)的完整性。病毒攻擊具有一定的潛伏性、隱蔽性、寄生性、傳染性，目前病毒攻擊主要是通過FTP 文件下載、網(wǎng)頁瀏覽、電子郵件或者BBS等對信息系統(tǒng)實施攻擊。

1.2 身份攻擊

身份攻擊主要是通過口令攻擊、漏洞攻擊、收集信息攻擊等等。身份攻擊竊取信息資源主要是采取試探方式，如：通過掃描漏洞、掃描賬戶、ping以及端口與嗅探網(wǎng)絡(luò)等方式對系統(tǒng)漏洞、權(quán)限以及服務(wù)進行探測，并使用公開協(xié)議和工具對網(wǎng)絡(luò)系統(tǒng)主機中存儲的信息資源進行竊取，同時還可以捕捉信息系統(tǒng)的漏洞，為后續(xù)攻擊提供支持。若網(wǎng)絡(luò)信息系統(tǒng)遭到身份攻擊，可能導(dǎo)致整個網(wǎng)絡(luò)系統(tǒng)癱瘓、崩潰，從而導(dǎo)致用戶遭受重大損失。

1.3 防火墻攻擊

對于網(wǎng)絡(luò)信息系統(tǒng)來說，防火墻的抗攻擊能力一般比較強，因而不易被攻破。但是，在防火墻的設(shè)計和實現(xiàn)中仍然存在一定的缺陷問題，這是導(dǎo)致防火墻被攻擊的主要原因。

1.4 拒絕服務(wù)攻擊

拒絕服務(wù)攻擊可稱為 DoS（Denial of Service），在攻擊時攻擊主體將一定序列和數(shù)量的資源上傳至網(wǎng)絡(luò)中，并令其大量恢復(fù)要求信息運行于服務(wù)器中，這樣導(dǎo)致系統(tǒng)資源及網(wǎng)絡(luò)寬帶被不良消耗，從而導(dǎo)致網(wǎng)絡(luò)系統(tǒng)無法實現(xiàn)正常訪問，嚴重時可能出現(xiàn)死機、癱瘓等現(xiàn)象。

3 入侵檢測技術(shù)的概念及其優(yōu)勢

3.1 入侵檢測技術(shù)的基本概念

入侵檢測技術(shù)是一種計算機技術(shù)，其能夠及時發(fā)現(xiàn)并報告系統(tǒng)中沒有經(jīng)過授權(quán)或者異常的現(xiàn)象，主要用于對計算機網(wǎng)絡(luò)系統(tǒng)中的各種違反安全策略的行為進行檢測，保證計算機網(wǎng)絡(luò)系統(tǒng)的安全性和數(shù)據(jù)完整性。入侵檢測系統(tǒng)（IDS）是指用于對網(wǎng)絡(luò)系統(tǒng)實施入侵檢測的軟件及硬件的總稱。IDS主要用于識別并處理網(wǎng)絡(luò)系統(tǒng)的惡意使用行為，包括系統(tǒng)內(nèi)部及外部的各類未經(jīng)授權(quán)行為。在發(fā)現(xiàn)入侵行為時，IDS會立即作出響應(yīng)，響應(yīng)行為有切斷網(wǎng)絡(luò)連接、記錄入侵行為、報警等。入侵檢測技術(shù)主要是通過對某些關(guān)鍵點的信息進行收集和分析，從而檢測系統(tǒng)是否存在違反安全策略或是遭到入侵等跡象。

3.2 入侵檢測技術(shù)的應(yīng)用優(yōu)勢

與其他類型的網(wǎng)絡(luò)安全防護技術(shù)相比，入侵技術(shù)的優(yōu)勢如下：首先，入侵檢測技術(shù)不僅能夠檢測授權(quán)程序，還能夠?qū)Ψ鞘跈?quán)的非法訪問程序進行檢測，并對其相關(guān)的攻擊性因素進行分析；其次，入侵檢測技術(shù)的接入方式比其他類型的防護技術(shù)簡單，產(chǎn)生的風險少，并且不會對主機的正常運行造成影響；再次，入侵檢測技術(shù)在應(yīng)用時不僅不會對網(wǎng)絡(luò)運行性能產(chǎn)生影響，反而可通過檢測網(wǎng)絡(luò)數(shù)據(jù)來提高系統(tǒng)的安全性；最后，入侵檢測技術(shù)與網(wǎng)絡(luò)系統(tǒng)的連接簡單，只需連網(wǎng)就可實現(xiàn)全部的檢測功能。

4 電力網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)及安全分析

根據(jù)電力網(wǎng)路系統(tǒng)業(yè)務(wù)和安全特點，可以將電力網(wǎng)絡(luò)系統(tǒng)分為實時控制區(qū)、非控制生產(chǎn)區(qū)、生產(chǎn)管理區(qū)、信息管理區(qū)等四部分，其中實時控制區(qū)和非控制生產(chǎn)區(qū)可以稱為生產(chǎn)控制大區(qū)，生產(chǎn)管理區(qū)和信息管理區(qū)可以稱為管理信息大區(qū)。電力網(wǎng)絡(luò)系統(tǒng)是由多個復(fù)雜的子系統(tǒng)組成的，電力網(wǎng)絡(luò)系統(tǒng)的安全維護就是對網(wǎng)絡(luò)系統(tǒng)和電力生產(chǎn)控制系統(tǒng)的邊界進行維護，從而保證電力網(wǎng)絡(luò)系統(tǒng)的安全，為電力生產(chǎn)控制系統(tǒng)的重要信息數(shù)據(jù)提供安全保障。

從電力系統(tǒng)的整體結(jié)構(gòu)來看，實施控制區(qū)與非控制生產(chǎn)區(qū)的主要工作內(nèi)容是電力生產(chǎn)，其運行方式是采用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)在線方式，這兩部分之間的數(shù)據(jù)交換現(xiàn)象比較常見，生產(chǎn)管理區(qū)和信息管理區(qū)主要業(yè)務(wù)是進行信息管理，確保信息的完整性和準確性。實時控制區(qū)、非控制生產(chǎn)區(qū)、生產(chǎn)管理區(qū)、信息管理區(qū)這四部分都是使用硬件設(shè)備進行安全隔離，其中實時控制區(qū)和非生產(chǎn)控制區(qū)的安全威脅主要來源于系統(tǒng)內(nèi)部，在進行安全防護時，要將重點放在內(nèi)部管理中；雖然在生產(chǎn)管理區(qū)以及信息管理區(qū)設(shè)置有防火墻和外部互聯(lián)網(wǎng)隔離，但是外部環(huán)境依然可能會對系統(tǒng)造成一定的安全風險。

5 電力網(wǎng)絡(luò)安全維護中入侵檢測技術(shù)的應(yīng)用

5.1 數(shù)據(jù)挖掘技術(shù)的應(yīng)用

數(shù)據(jù)挖掘技術(shù)主要是用于挖掘電力網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)，并對其進行智能化分析，將電力網(wǎng)絡(luò)系統(tǒng)中存在異常、錯誤或者不規(guī)范的數(shù)據(jù)找出來進行處理。在電力系統(tǒng)中運用數(shù)據(jù)挖掘技術(shù)可以及時發(fā)現(xiàn)異?；蛘卟灰?guī)范的程序，對這些程序按照一定的方式進行分類，同時根據(jù)數(shù)據(jù)記錄對其正常與否進行判斷。對于不同類型的數(shù)據(jù)，數(shù)據(jù)挖掘技術(shù)的處理方式不同，因此不會造成電力網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的丟失。

5.2 智能分布技術(shù)的應(yīng)用

網(wǎng)絡(luò)的可擴展性強，具自我適應(yīng)性、智能性和無關(guān)性等特征，智能分布技術(shù)則主要是依據(jù)網(wǎng)絡(luò)的這些特征檢測網(wǎng)絡(luò)安全的一種技術(shù)。在電力網(wǎng)絡(luò)安全當中應(yīng)用智能分布技術(shù)可實現(xiàn)網(wǎng)絡(luò)的領(lǐng)域劃分檢測，尤其適用于電力系統(tǒng)網(wǎng)絡(luò)這種復(fù)雜且龐大的網(wǎng)絡(luò)環(huán)境當中。其可將電力系統(tǒng)網(wǎng)絡(luò)進行檢測區(qū)域劃分，并根據(jù)所劃分的區(qū)域設(shè)置相應(yīng)的檢測點，同時于整個電力系統(tǒng)網(wǎng)絡(luò)統(tǒng)當中設(shè)置一個總管理點，以管理各劃分領(lǐng)域檢測點所檢測到的信息，通過這些信息可以分析并判定電力網(wǎng)絡(luò)安全系統(tǒng)是否存在異常數(shù)據(jù)或是入侵活動等。

5.3 聚類算法的應(yīng)用

聚類算法在電力系統(tǒng)網(wǎng)絡(luò)中的應(yīng)用主要是用于檢測電力系統(tǒng)網(wǎng)絡(luò)中無需指導(dǎo)的網(wǎng)絡(luò)異常數(shù)據(jù)，其可對沒有經(jīng)過標記的數(shù)據(jù)進行分類，并對網(wǎng)絡(luò)安全系統(tǒng)是否存在異常數(shù)據(jù)進行有效判定。在電力系統(tǒng)網(wǎng)絡(luò)安全當中應(yīng)用聚類算法，可加強網(wǎng)絡(luò)運行的可靠性，從而提高網(wǎng)絡(luò)系統(tǒng)的安全性。此外，電力系統(tǒng)網(wǎng)絡(luò)當中存在大量數(shù)據(jù)，且數(shù)據(jù)的種類繁多，其中還包含了很多相似數(shù)據(jù)，同時這些數(shù)據(jù)也可能存在潛在的危險因素，若這些數(shù)據(jù)未被及時發(fā)現(xiàn)并被攔截，則可能給電力系統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)帶來一定威脅，導(dǎo)致系統(tǒng)遭到破壞。

5.4 入侵檢測技術(shù)在電力系統(tǒng)中應(yīng)用的意義

電力系統(tǒng)信息復(fù)雜而繁多，通過運用計算機信息技術(shù)可以使管理更加標準、開放、互聯(lián)和高效，和外界信息的交流也能夠更加頻繁，能夠及時處理電力系統(tǒng)中出現(xiàn)的一些問題。對于這個過程中的安全性問題需要入侵檢測技術(shù)來進行解決，該技術(shù)的使用已經(jīng)成為整個電力系統(tǒng)戰(zhàn)略性的問題。入侵檢測技術(shù)貫穿于整個電力系統(tǒng)中每一個需要維護的環(huán)節(jié)，它能夠在源頭上高效地抑制非法入侵，保障電力系統(tǒng)的網(wǎng)絡(luò)安全。

6 結(jié)語

對于網(wǎng)絡(luò)不良入侵行為的影響，一般是采取主動的防御措施防范網(wǎng)絡(luò)入侵行為，入侵檢測技術(shù)可以有效實現(xiàn)實時動態(tài)監(jiān)控網(wǎng)絡(luò)非法入侵行為，因此廣泛應(yīng)用于各種不同環(huán)境中并發(fā)揮著關(guān)鍵性作用。