基于数据挖掘的入侵检测系统及其应用.pdfVIP

基于数据挖掘的入侵检测系统及其应用 刘翠娟 (石家庄经济学院，河北石家庄050031) 摘要：分析电力系统的网络安全风险，简要介绍各技术层面的解决办法，重点设计了网络层中人侵检测系 统应用的部署和结构。采用传感器一分析器一中心控制台三层分布式体系结构，在中心控制台采用基于数 据挖掘的网络人侵检测系统，并结合滥用检测和异常检测方法。给出丁体系结构和模型建立的过程，最后讨 论了系统的特点和优越性。 关键词：电力系统；信息安全；人侵检测；数据挖掘 份设备，制定相应的备份策略；数据层主要考虑数据 1 电力系统信息安全分析 在存储和传输中的安全，可以通过数据通信加密，通 除了物理安全威胁外，信息安全威胁可以分为 信信道专有协议等方式解决；系统层主要考虑操作 系统和应用系统的安全性，主要依靠专用的操作系 外部威胁和内部威胁2种。内部威胁非常严重，因 统安全加固软件实现，并设置操作系统的安全机制， 为内部人员对系统、应用、网络结构非常了解，很容 对关键操作系统实现管理员权限限制。网络层是攻 易采用合适的攻击工具进行权限提升和数据窃取、 击发起的重要途径，也是安全防范的重点。因此必 破坏等活动。这些活动还往往发生在电力公司和管 须组建科学严密的防火墙体系，并在关键位置装人 理机构的内联网中，如下级对上级部门的恶意攻击、 入侵检测系统，以有效地提高攻击者进入网络系统 部门之间的攻击等。而外部威胁主要是指非内部人 的门槛。 员的攻击行为。 防火墙是惯常采用的防护方式，它可以防止利 2人侵检测技术 用协议漏洞，源路由、地址仿冒等多种攻击手段，并 提供安全的数据通道。但对于应用层的后门，内部 从检测策略上说，入侵检测技术可以分为2类： 用户的越权操作等导致的攻击或窃取，以及信息破 滥用检测(Misuse 坏却无能为力。另外，由于防火墙的位置处在网络 Detection)。 中的明处，自身的设计缺陷也难免会暴露给众多的 滥用检测是利用已知的入侵方法和系统的薄弱 攻击者，所以仅凭防火墙是难以抵御多种多样层出 环节识别非法入侵。该方法的核心是建立并维护一一 不穷的攻击的。来自内部人员的攻击和一些自然因 个人侵模式库，主要缺点为：由于所有已知的入侵模 素对信息安全的威胁也必须引起足够的重视，一味 式都被植入系统中，所以，一旦出现任何未知形式的 依赖物理隔离，不但会浪费网络设施的投资，更会阻 入侵，都无法检测出来。但该方法的检测效率较高。 碍新的信息技术的应用。 异常检测则是首先建立系统或用户的正常行为 因此，为了保证网络系统的安全，就需要有一种 模式库，通过检查当前用户行为是否与已建立的正 能够及时发现并报告系统中未授权或异常现象的技 常行为轮廓相背离来鉴别是否有非法入侵或越权操 Detection 作。该方法的优点是无需了解系统缺陷，适应性较 术，即入侵检测系统(IntrusionSystem， IDS)，它可在一定程度上预防和检测来自系统内、强，但发生误报的可能性较高。