入侵检测技术在电力信息网络安全中的应用.pdfVIP

第9卷(2007年第10期) 电力安全技术 A揣 入侵检测技术 在电力信息网络安全中的应甩 伍晖平1．金亚民1，蔡青有2 (1．包头供电局，内蒙古包头140000，2．中国电科院，北京100085) [摘要]介绍了基于数据挖掘技术的入侵检测系统的工作原理及其特点，说明了该检测系统中的模 块的作用，提出了用入侵检测系统建立安全体系，来加强电厂网络安全监控与管理的思想，并结合电厂 信息网络的实际情况，给出了该系统在电厂中的实际应用方案。 [关键词]数据挖掘；入侵检测系统；电力信息网络安全 为了应对日益严重的计算机网络非法入侵，在 主机)，将搜集到的网络或主机的活动数据进行预 电厂信息网络中引入基于数据挖掘技术的入侵检测 处理，形成由一套特征属性组成的审计记录。 系统，十分必要。 1基于数据挖掘的入侵检测系统 教槲采集 帛I坝处理 入侵检测系统是对系统的运行状态进行监视， 发现各种攻击企图、攻击行为和攻击结果，并做出 F是a 响应，以保证系统资源的机密性、完整性和可用性。 在入侵检测系统中使用数据挖掘技术，通过分 ／，—、、 f l挖掘幢块 析历史数据可以提取出用户的行为特征，总结入侵 b听禾型丛岳赢而磊南l i 行为的规律，从而建立起比较完备的规则库来进行 训黼毽l＼规则J乜／L——————————J 呷 人侵检测。该检测过程主要分为：数据收集、数据 的预处理、数据挖掘及入侵检测等几个步骤。与其 训缚敏据 特缸塞 他入侵检测系统比较，基于数据挖掘的入侵检测系 统有以下几点优势： 图1基于数据挖掘的人侵检测系统框架 (1)智能性好，自动化程度高。基于数据挖掘 2．1．1数据源 的检测方法采用了统计学、决策学以及神经网络等 2．1．1．1网络数据源 多种方法，自动地从数据中提取难以发现的网络行 可以分为多个分析层次，例如：land和 为模式，从而减少了人的参与，减轻了入侵检测分 teardrop通过对IP包头的分析就可以准确检测， 而端口扫描就必须通过维护一个基于时间窗口的状 析员的负担，同时也提高了检测的准确性。 (2)检测效率高。数据挖掘可以自动地对数据 态栈，通过对多数数据包的包头进行分析才能检 进行预处理，抽取数据中的有用部分，有效地减少 测。对于其他一些涉及到高层协议的攻击方法，比 数据处理量，因而检测效率较高。 协议解析才能检测。因此，一个好的网络入侵检测 (3)自适应能力强。应用数据挖掘方法的检测 系统不是基于预定义的。 系统总是尽可能多地解析高层协议，或者根据已知 攻击模式的特征进行尽可能准确的匹配，或者通过 2基于数据挖掘技术的IDS模型 建立正常的协议行为模式来检测异常。 2．1．1．2主机数据源 根据入侵检测的一般过程，结合数据挖掘的特