入侵检测系统在扬州电力信息网安全管理中的应用研讨.pdfVIP

入侵检测系统在扬州电力信息网安全管理中的应用研究 入侵检测系统在扬州电力信息网安全管理中的应用研究 王开圣 (扬州供电公司．江苏省扬州市225001) 摘 要：电力信息网安全问题是当前电力信息化建设的重点。扬州供电公司通过以智能和动态分析为基础 的入侵检测系统的应用研究。实现了网络安全信息的可视性、可管理性．提高了网络的可靠性。 关键词：入侵检测；网络；安全；管理 1 应用背景 随着江苏电力信息化建设的不断深入，电力信息网安全问题已威胁到电力系统的安全、稳定、经济运 行，影响着“江苏数字电力”的实现进程。目前虽然防火墙系统作为网络边界的第一道安全防线，在网络安 全体系中仍然发挥着重要的作用。但随着入侵技术的不断改变和提高。基于策略及静态保护的防火墙系统 已经不能满足对安全高度敏感的电力信息网的要求，以智能和动态分析为基础的入侵检测系统(Intrusion Detection System，简称IDS)势必在今后的网络安全管理中发挥日益重要的作用。 入侵检测作为一种积极主动的安全防护技术，它提供了对内部攻击、外部攻击和误操作的实时保护， 在网络系统受到危害之前拦截和响应入侵。用来实现入侵检测的软硬件的结合体就称作入侵检测系统。从 网络安全的立体纵深、多层次防御的角度出发，入侵检测系统理应受到我们的高度重视。 2应用目标 在核心网段与企业互联界面之间部署入侵检测系统，对流经这些互联界面的数据流进行实时安全检测， 根据内置的专家系统和入侵分析引擎进行分析，发现、报警并(或)阻断潜在的攻击行为，使网络管理员清 楚地了解网络上发生的事件。并能够采取行动阻止可能的破坏。 3入侵检测系统介绍 (1)入侵检测系统(IDS)分类及比较 IDS是通过数据和行为模式来判断攻击事件是否存在的系统。它采用旁路侦听的方式接人到网络中， 网卡设置为混杂模式，实时抓取网络中的数据并对其进行分析。得到分析结果后，通过报警、日志、与其 他安全产品联动等方式对其进行响应，并提供相应的解决方法。 发现其中的攻击企图，根据事先制定的响应方式通知网络管理员、记录事件过程并，或自行采取保护措施， 特点：以旁路侦听的方式接人到网络中，独立于被监测的系统之外，不会增加网络中主机的负载。主机入侵检 测系统(HIDS)安装在被保护主机的系统内部，监视系统的各种运行状态，检测黑客试图攻击的系统。该 53 第二届电力安全论坛 2006年第S辑 论文集(第三分册调度通信信息安全) (总第94辑) 类IDS系统通常保护的是所在的主机系统，每一个需要监视的系统平台上都要安装。特点：安装在被保护 的主机上．主要分析主机的内部活动如审计日志、系统调用、文件完整性，会占用一定的系统资源。 1)两种系统相比，基于网络的IDS系统的主要优点有： ①检测速度快；②隐蔽性好；③视野较宽；④较少的检测器；⑤占资源少。 2)基于主机的IDS系统的主要优点有： ①性价比高；②更加细腻；③视野集中。 (2)入侵检测系统的作用 在安全体系中，IDS是唯一一个通过数据和行为模式判断其是否有效的系统，防火墙就象一道门，它 可以阻止一类人群的进入。但无法阻止同一类人群中的破坏分子，也不能阻止内部的破坏分子；访问控制 系统可以不让低级权限的人做越权工作，但无法保证高级权限的做破坏工作。也无法保证低级权限的人通 过非法行为获得高级权限。如图l所示．入侵检测系统两大作用： 1)实时监测——实时地监视、分析网络中所有的数据报文，发现并实时处理所捕获的数据报文； 2)安全审计——通过对IDS系统记录的网络事件迸行统计分析，发现其中的异常现象，得出系统的安 全状态．找出所需要的证据。 瘟焉是 袭示层 会话屡 传输层 口层 獭辔瞄层 物躲