协议异常检测技术在核电厂实时信息系统中的用途.docVIP

协议异常检测技术在核电厂实时信息系统中的用途 　　域建立相应的安全防护体系。]m本文针对核电厂生产运行的特定环境，将协议异常随着网络安全问题的日益严重，人侵检测已成为检测技术应用于KNS系统，建立了协议异常检测系统。保护信息安全的重要手段。异常检测是人侵检测技本文的结构如下：在第二部分介绍结合转移和频术[1_2]方法之一，它根据用户或系统的正常程度来判率特性的协议异常检测算法;第三部分介绍系统的运定人侵，可以检测到变种的和新的攻击。协议异常行流程;第四部分展示系统的运行效果;最后，给出总检测可看作异常检测的一个特例，因为所有的网络活结和未来的研究方向。动都应遵循网络通信协议的规定，所以当出现违反网络通信协议的行为时纖可能是人侵活动。 　　15H异吊鼻法在2011年日本福岛核事故发生后，确保核电安全目前用于入侵检测的数据主要包括网络数据、用户是我国的一项重要国策。随着数字化技术和信息技术行为数据和系统调用数据。这些数据具有3种统计特的推广和发展，核电企业日常办公和生产运行已离不性：转移特性、频率特性和关联特性⑷。转移特性描述开网络。 　　但是简单的安全防护手段，如防火墙和杀毒数据特征之间的转移关系，适用于基于主机的人侵检软件，已不能满足核电企业对网络安全的特殊需求。测，通过建立隐马尔科夫模型(hiddenMarkovmodel，核电厂实时信息监控系统(KNS)采用三层网络架HMM)[5_6]或马尔科夫模型17_8]进行检测。频率特性描构，作为核电厂的实时数据和历史数据的传输和应用述数据特征的分布特点，通过研究分布特点进行人侵检平台，它连接底层控制系统，同时向管理信息系统网输测。关联特性同时在时间上和空间上对事件进行关联。出数据，因此，保障KNS的安全至关重要。当前防护本文首先根据数据包标志位的转移特性建立HMM，并KNS系统的安全方法单一，仅包括设防病毒服务根据频率特性建立支持向量机(supportvectormachine，器、更新病毒库、配有专门的安全人员等手段，并没有SVM)，进行协议异常检测。试验结果表明，这种方法比针对KNS系统进行细致的网络区域划分，并对不同区单一的考虑转移特性或频率特性的方法检测效果好。 　　1.1标志位的转移特性女年毕业于北京交通大学计算机专爪协议的状态转移图如图1所示，描述了各个业，获博士学位，讲师;主要从事计算机技术及网络安全的研究。数据包标志位之间的转移特性。状态转移图中的每个4状态代表协议连接的某一步，状态的转移是在一定的点验证了方案的可行性。当系统初始运行时，需要在条件下按照特定的顺序发生的，不符合的状态转移就网络上观察并学习一段时间，建立系统中HMM和可能是攻击行为。我们根据这些状态的转移特性构造SVM检测模型以及状态模式库。我们采用攻击工具HMM检测模型㈩。发起攻击，通过系统运行结果验证系统功能。系统使用C#实现。我们使用了与lib包括1.2标志位的频率特性异常数据总数、FTP异常数据总数、HTTP异常数据总通过TCP的标志位可以确定协议在连接开始时、结数、SSH异常数据总数、源IP地址、目的IP地址。协议束时的相关标志信息，进而判断在完整的连接过程中，流量趋势给出了检测的数据中各种协议所占的百分比。6种标志的频率特性是有规律的。以FTP协议连接为在FTP协议的界面中设置了“隐马尔科夫模型的例：连接开始时对应标志位为SYN-SYN+ACK-ACK，状态”，允许修改状态值。这是因为我们是根据RFC连接断开时对应的标志位为FIN+ACK-ACK-FIN+草案来设定FTP检测模型的参数。 Gk 　　如果局域网中存ACK-ACK，中间状态的转换代表两台主机的数据传在一些没有严格遵守RFC中协议规定的软件应用程输。因此，可以通过检测标志位的频率特性，从正常的序，该选项可以根据具体的网络环境设定增加或减少频率分布中找出异常的频率分布，具体过程见文献。状态值。“状态数据库”列出当前FTP协议的状态数