劉祥

（南方電網(wǎng)數(shù)字電網(wǎng)研究院網(wǎng)安公司 廣東省廣州市 510700）

電力信息技術(shù)系統(tǒng)對于電力系統(tǒng)的安全和穩(wěn)定運行十分重要，但是當前計算機非法侵入技術(shù)也比較嚴重，這種對電力信息系統(tǒng)非法侵入的技術(shù)給系統(tǒng)安全、穩(wěn)定運行帶來極大不利影響。本文，首先對國內(nèi)當前數(shù)據(jù)挖掘這一新興技術(shù)的基本情況和工作機制進行了介紹，同時對數(shù)據(jù)挖掘這一新興技術(shù)中的每一部分都進行了深入認知，并結(jié)合國內(nèi)電力信息網(wǎng)絡(luò)系統(tǒng)的現(xiàn)狀，提出了更加適合國內(nèi)電力信息系統(tǒng)的方案。

1 入侵檢測系統(tǒng)和電力信息網(wǎng)絡(luò)安全概述

1.1 入侵檢測系統(tǒng)

網(wǎng)絡(luò)入侵檢測系統(tǒng)通過采集網(wǎng)絡(luò)流量等信息，發(fā)現(xiàn)被監(jiān)控網(wǎng)絡(luò)中違背安全策略、危及系統(tǒng)安全的行為，是一種重要的安全防護手段。面對日益復(fù)雜的網(wǎng)絡(luò)環(huán)境，傳統(tǒng)NIDS 所存在的缺點日益突出，例如系統(tǒng)占用資源過多、對未知攻擊檢測能力差、需要人工干預(yù)等。在此背景下，研究人員迫切地探尋新的解決方案，并將目光投向了發(fā)展迅速的機器學(xué)習技術(shù)?；跈C器學(xué)習的網(wǎng)絡(luò)入侵檢測器是將網(wǎng)絡(luò)入侵檢測的問題建模成一個針對網(wǎng)絡(luò)流量的分類問題，從而使用一些機器學(xué)習的方法精練出分類模型進行分類預(yù)測。目前，多種機器學(xué)習算法，例如決策樹、支持向量機、深度神經(jīng)網(wǎng)絡(luò)等，被用于區(qū)分入侵流量和良性流量，并取得了良好的實驗結(jié)果。

1.2 電力信息網(wǎng)絡(luò)安全

21世紀以來，國內(nèi)電力行業(yè)發(fā)生重大變革，電力行業(yè)在總結(jié)以往電力系統(tǒng)中重大信息安全事故的基礎(chǔ)上，在電力全行業(yè)范圍內(nèi)開展了電力信息系統(tǒng)安全的整治工作，21世紀初期，國家電力監(jiān)測委員會先后為縣里信息系統(tǒng)安全發(fā)布了一系列改革文件，要求國內(nèi)各電力系統(tǒng)按照文件要求扎實展開電力信息系統(tǒng)安全防護工作，這一系列政策的頒布為電力信息系統(tǒng)安全的維護起到了重要影響，隨后，國家網(wǎng)絡(luò)信息安全管理中心又將電力信息系統(tǒng)安全權(quán)限授予電力監(jiān)督委員會，國家電力監(jiān)督系統(tǒng)在授權(quán)時要求各電力部門和電力企業(yè)要認真貫徹國家信息安全政策，經(jīng)過幾年時間的努力，電力行業(yè)的信息安全系統(tǒng)逐漸形成了一套完整化的制度體系，電力行業(yè)建立了從應(yīng)急管理、分級保護、維護保障、知識宣傳、技術(shù)培訓(xùn)為一體的常態(tài)化工作機制，電力企業(yè)的信息安全水平得到極大提升。

2 電力信息網(wǎng)絡(luò)的結(jié)構(gòu)及其安全分析

我們在對電力信息網(wǎng)絡(luò)進行分析時，首先可以根據(jù)電力信息系統(tǒng)的業(yè)務(wù)種類和不同業(yè)務(wù)種類的業(yè)務(wù)特點，我們可以將電力信息分為以下四個主要部分：一是電力信息的實時控制部分，也就是安全區(qū)Ⅰ；二是非控制生產(chǎn)區(qū)，也就是安全區(qū)Ⅱ；第三個部分是生產(chǎn)活動的管理區(qū)，也就是安全區(qū)安全區(qū)Ⅲ；第四個部分是信息資源的管理區(qū)，也就是安全區(qū)安全區(qū)Ⅳ。其中第一部分和第二部分又被統(tǒng)稱為生產(chǎn)控制總區(qū)，第三部分和第四部分又被統(tǒng)稱為信息資源的控制總區(qū)。信息資源控制總區(qū)只是電力系統(tǒng)中一個小分區(qū)，其實電力信息系統(tǒng)十分復(fù)雜，其中包含許多小分區(qū)系統(tǒng)，且部分小分區(qū)系統(tǒng)規(guī)模較大、范圍分布較廣，因此我們這里所說的電力信息系統(tǒng)主要是針對電力信息系統(tǒng)中的網(wǎng)絡(luò)系統(tǒng)這一分區(qū)，重點是提高網(wǎng)絡(luò)系統(tǒng)的邊界防護力，通過邊界防護力的提高達到內(nèi)部防護力提高的目的，從而確保電力生產(chǎn)系統(tǒng)和電力信息系統(tǒng)中重要信息資源的安全。從電力信息系統(tǒng)的整體結(jié)構(gòu)來看，系統(tǒng)第一部分和系統(tǒng)第二部分屬于電力生產(chǎn)部分，這一部分的信息系統(tǒng)采取的是在線的運行模式，因此，第一部分的數(shù)據(jù)交換情況較多，這一部分與整個系統(tǒng)的安全聯(lián)系也比較密切，且這一部分主要保護的是電力生產(chǎn)硬件設(shè)備，而第三部分和第四部分屬于信息管理系統(tǒng)。因此，我們也可以得知，電力生產(chǎn)部分的安全因素主要由系統(tǒng)內(nèi)部決定，因此，電力生產(chǎn)系統(tǒng)的信息安全維護也要重點針對系統(tǒng)內(nèi)部的信息安全威脅因素，電力生產(chǎn)系統(tǒng)的信息資源雖然受到防火墻的保護，與外部的信息資源分開，但是一旦入侵者打破這道防火墻，電力生產(chǎn)系統(tǒng)內(nèi)部的信息安全照樣會受到威脅。

3 入侵檢測技術(shù)應(yīng)用于電力信息系統(tǒng)的設(shè)計原則

3.1 先進性

入侵檢測系統(tǒng)部署在電力信息資源網(wǎng)絡(luò)中維護信息資源的安全性，對于入侵檢測系統(tǒng)的數(shù)據(jù)準確性、網(wǎng)絡(luò)穩(wěn)定性等要求非常高，因此，我們在為電力信息系統(tǒng)設(shè)置入侵檢測系統(tǒng)時，要借鑒國際上電力信息安全檢測的數(shù)據(jù)，標準等，使用國際相對成熟的檢測設(shè)計模板，不斷保持電力檢測系統(tǒng)的安全性和先進性。

3.2 高性能

將入侵檢測系統(tǒng)加入電力信息系統(tǒng)中要注意，入侵檢測系統(tǒng)要支持電力信息系統(tǒng)不斷增加的數(shù)據(jù)量，以便各種電力信息可以及時得到處理，這要求入侵檢測系統(tǒng)各個分部有足夠的內(nèi)存，可以滿足當前甚至今后較長一段時間的數(shù)據(jù)容量需求，為了提高入侵檢測系統(tǒng)的信息檢測效率，設(shè)計人員要選擇高性能的數(shù)據(jù)處理設(shè)備，確保系統(tǒng)運行穩(wěn)定，滿足各種信息檢測的需求。

3.3 可靠性

電力數(shù)據(jù)網(wǎng)部署入侵檢測系統(tǒng)必須具有高度的可靠性。應(yīng)該從結(jié)構(gòu)設(shè)計、產(chǎn)品選擇以及信息管理上對其做出保證。為了保證整個運行系統(tǒng)達到所要求的可靠程度，根據(jù)可靠性設(shè)計指標。建議對系統(tǒng)有選擇地采取備份、冗余、容錯和異常處理技術(shù)措施。

3.4 安全性

為了保護用戶在數(shù)據(jù)的安全可靠（存儲安全、信息安全），必須提供多種方式和層次的訪問控制和安全策略，檢測系統(tǒng)中數(shù)據(jù)的安全存儲和傳輸。

3.5 可擴展性

運用在電力信息系統(tǒng)的入侵檢測系統(tǒng)要不斷對系統(tǒng)內(nèi)部進行更新，以便系統(tǒng)那個能夠更好地識別新型的電力信息數(shù)據(jù)，電力信息檢測系統(tǒng)逐漸稱為一個更加全面的信息檢測平臺，檢測系統(tǒng)要不斷擴充內(nèi)部存儲量，讓更多的用戶可以使用到這一系統(tǒng)，隨著平臺的不斷更新，平臺還要與當前世界先進技術(shù)和先進設(shè)備相銜接，確保系統(tǒng)支持目前及未來關(guān)鍵應(yīng)用的能力。

3.6 易于管理和維護

為了確保信息檢測系統(tǒng)的穩(wěn)定運行，系統(tǒng)設(shè)計人員要設(shè)計好系統(tǒng)的管理，系統(tǒng)要具備信息檢測、系統(tǒng)內(nèi)部故障排查、系統(tǒng)內(nèi)部故障隔離和系統(tǒng)內(nèi)部有害信息過濾等功能，以便系統(tǒng)更好進行后續(xù)更新和維護。

3.7 價格適中、投資合理

檢測系統(tǒng)檢測還要兼顧經(jīng)濟性要求，也就是最大限度降低建設(shè)成本，建設(shè)成本需要從兩個方面進行考察：一是系統(tǒng)建設(shè)過程中所需的各項成本，二是系統(tǒng)建設(shè)完成后系統(tǒng)更新和維護保養(yǎng)費用，相對來說，系統(tǒng)建成后的更新和維護保養(yǎng)費用更高，因此，電力信息檢測系統(tǒng)在建設(shè)時要充分考慮后期維護保養(yǎng)費用，在初期設(shè)計檢測方案時，設(shè)計人員就要充分結(jié)合實際，既要保證系統(tǒng)的高性能，又要保證系統(tǒng)的成本最小化。

4 基于數(shù)據(jù)挖掘技術(shù)的入侵檢測系統(tǒng)

入侵檢測系統(tǒng)是一個可以對電力信息系統(tǒng)運行情況進行實時監(jiān)測的系統(tǒng)，入侵檢測系統(tǒng)可以通過對電力信息系統(tǒng)的各種實施監(jiān)測，對各種企圖攻擊系統(tǒng)內(nèi)部、系統(tǒng)結(jié)構(gòu)的行為做出針對性的反應(yīng)，從而確保電力信息系統(tǒng)的安全，完整。將數(shù)據(jù)挖掘技術(shù)引入入侵檢測系統(tǒng)中，可以通過分析既往的數(shù)據(jù)，將用戶行為特征調(diào)取出來，分析以往入侵行為的規(guī)律，進而建設(shè)更加完善的數(shù)據(jù)系統(tǒng)支持入侵檢測。電力信息系統(tǒng)的檢測系統(tǒng)可以分為電力信息數(shù)據(jù)搜集、電力信息數(shù)據(jù)處理、外來信息入侵檢測等，相比于以往的入侵檢測系統(tǒng)，借助數(shù)據(jù)挖掘系統(tǒng)的入侵檢系統(tǒng)具有以下幾項優(yōu)勢：一是借助數(shù)據(jù)挖掘系統(tǒng)的入侵檢測系統(tǒng)自動化和智能化程度較高，數(shù)據(jù)挖掘技術(shù)綜合統(tǒng)計學(xué)、網(wǎng)絡(luò)神經(jīng)學(xué)、決策學(xué)等多種學(xué)科理論，這種檢測系統(tǒng)可以從大批數(shù)據(jù)中檢測出平時不易察覺的網(wǎng)絡(luò)行為數(shù)據(jù)，從這些篩選出來的數(shù)據(jù)中心可以切實緩解數(shù)據(jù)監(jiān)測人員的工作壓力，同時可以顯著提高入侵檢測的準確率。二是借助數(shù)據(jù)挖掘的入侵檢測系統(tǒng)檢測效率較高，數(shù)據(jù)挖掘技術(shù)還有對數(shù)據(jù)進行預(yù)處理的功能，數(shù)據(jù)挖據(jù)技術(shù)可以自動選取對于系統(tǒng)有效的數(shù)據(jù)，從而減少了大量無用的工作量，此外，基于數(shù)據(jù)挖掘技術(shù)的入侵檢測系統(tǒng)有較強的適應(yīng)能力，這個入侵檢測系統(tǒng)可以適用于多種檢測模式中。

5 基于數(shù)據(jù)挖掘技術(shù)的IDS模型

根據(jù)電力信息入侵檢測的一般過程，我們同時結(jié)合數(shù)據(jù)挖掘這一新興技術(shù)的特點，可以建立數(shù)據(jù)挖掘技術(shù)基礎(chǔ)上的電力信息入侵檢測體系。

5.1 數(shù)據(jù)采集和數(shù)據(jù)預(yù)處理模塊

電力信息數(shù)據(jù)搜集和電力信息數(shù)據(jù)預(yù)處理是對電力系統(tǒng)檢測目標進行檢測，也就是對電力信息系統(tǒng)的網(wǎng)絡(luò)設(shè)備進行檢測，工作人員將預(yù)先搜集到的信息在系統(tǒng)中進行預(yù)處理，可以形成一整套數(shù)據(jù)信息。

5.1.1 數(shù)據(jù)源

數(shù)據(jù)監(jiān)測系統(tǒng)中的數(shù)據(jù)來源主要有兩種，第一種是網(wǎng)絡(luò)來源的數(shù)據(jù)，第二種是主機來源的數(shù)據(jù)，其中，網(wǎng)絡(luò)來源的數(shù)據(jù)也有許多個層次，比如說IP 包頭被LAND 和TEARDROP 分析，這兩種分析方式可以準確監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)，但是網(wǎng)絡(luò)端口的掃描需要網(wǎng)絡(luò)創(chuàng)口屬于一個固定狀態(tài)，且這個狀態(tài)需要含有許多數(shù)據(jù)，只有這種狀態(tài)下對網(wǎng)絡(luò)數(shù)據(jù)的檢測才是有效的，因此我們也可以說，一個優(yōu)良的數(shù)據(jù)檢測系統(tǒng)，雖然有許多解析層次的協(xié)議，通常只能按照制定的協(xié)議來開展檢測，但是主機數(shù)據(jù)來源的第一個就是主機的日。從這些篇幅不等的日志中，我們可以得到大量的有用的數(shù)據(jù)信息。

5.1.2 安全設(shè)計數(shù)據(jù)

關(guān)于檢測系統(tǒng)的數(shù)據(jù)資源，需要從數(shù)據(jù)資源的特點、數(shù)據(jù)資源的處理方式應(yīng)急數(shù)據(jù)資源的屬性三方面開展分析，關(guān)于檢測設(shè)計數(shù)據(jù)的特征，主要有以下三點：一是相對于正常的訪問數(shù)據(jù)，入侵數(shù)據(jù)較為少見；二是通常情況下，安全系統(tǒng)的數(shù)據(jù)穩(wěn)定性較高；三是一旦系統(tǒng)受到外界數(shù)據(jù)攻擊，部分安全系統(tǒng)數(shù)據(jù)會偏離正常值，在對安全數(shù)據(jù)進行處理的過程中，數(shù)據(jù)采集部分和數(shù)據(jù)預(yù)處理部分會使用二進制數(shù)據(jù)對網(wǎng)絡(luò)信息資源進行處理。轉(zhuǎn)換的形式為：T（si）=di；si∈S，di∈D 關(guān)于設(shè)計記錄的特征和屬性。

6 基于數(shù)據(jù)挖掘的入侵檢測技術(shù)在電廠信息網(wǎng)絡(luò)安全中的應(yīng)用

6.1 應(yīng)用方案

將電力信息入侵檢測系統(tǒng)應(yīng)用在電力信息網(wǎng)絡(luò)設(shè)備中，主要是對外來侵入網(wǎng)絡(luò)行為進行監(jiān)測，將信息檢測控制中心安置在網(wǎng)絡(luò)系統(tǒng)中心，以便隨時接收到檢測器對入侵信息的警報，這樣還可以遠程控制檢測系統(tǒng)的監(jiān)測儀，網(wǎng)絡(luò)服務(wù)器、數(shù)據(jù)處理儀以及代理處理儀都是入侵檢測系統(tǒng)的組成部分。

6.2 IDS產(chǎn)品的選擇標準

IDS 產(chǎn)品的選擇，在產(chǎn)品選擇方面，設(shè)計人員要放在首位考慮的就是產(chǎn)品的綜合性能、產(chǎn)品運行的穩(wěn)定性、產(chǎn)品后續(xù)管理的便利性以及產(chǎn)品性能的延展性等，對于上述所說的幾個方面，設(shè)計人員要結(jié)合自身經(jīng)驗仔細甄別，從一系列產(chǎn)品中選出綜合性能最優(yōu)的一個。在IDS 產(chǎn)品的系統(tǒng)性能方面，設(shè)計人員首要考慮的是產(chǎn)品對于信息資源的流量監(jiān)測能力。具體來說，電力信息系統(tǒng)不管是對產(chǎn)品還是系統(tǒng)都有較高的要求。

7 結(jié)語

總而言之，電力信息入侵檢測系統(tǒng)已經(jīng)在國內(nèi)電力企業(yè)中得到了廣泛應(yīng)用，電力信息檢測系統(tǒng)顯著提高了電力企業(yè)信息資源的管理水平，但是應(yīng)用的過程中系統(tǒng)暴露出來的安全性問題也越來越多，主要是網(wǎng)絡(luò)信息技術(shù)不斷向前發(fā)展，電力信息資源檢測系統(tǒng)也要不斷更新。在這種情況下，若想提高電力信息系統(tǒng)的安全性，必須堅強入侵檢測系統(tǒng)建設(shè)。