劉祥

（南方電網數(shù)字電網研究院網安公司 廣東省廣州市 510700）

電力信息技術系統(tǒng)對于電力系統(tǒng)的安全和穩(wěn)定運行十分重要，但是當前計算機非法侵入技術也比較嚴重，這種對電力信息系統(tǒng)非法侵入的技術給系統(tǒng)安全、穩(wěn)定運行帶來極大不利影響。本文，首先對國內當前數(shù)據(jù)挖掘這一新興技術的基本情況和工作機制進行了介紹，同時對數(shù)據(jù)挖掘這一新興技術中的每一部分都進行了深入認知，并結合國內電力信息網絡系統(tǒng)的現(xiàn)狀，提出了更加適合國內電力信息系統(tǒng)的方案。

1 入侵檢測系統(tǒng)和電力信息網絡安全概述

1.1 入侵檢測系統(tǒng)

網絡入侵檢測系統(tǒng)通過采集網絡流量等信息，發(fā)現(xiàn)被監(jiān)控網絡中違背安全策略、危及系統(tǒng)安全的行為，是一種重要的安全防護手段。面對日益復雜的網絡環(huán)境，傳統(tǒng)NIDS 所存在的缺點日益突出，例如系統(tǒng)占用資源過多、對未知攻擊檢測能力差、需要人工干預等。在此背景下，研究人員迫切地探尋新的解決方案，并將目光投向了發(fā)展迅速的機器學習技術?；跈C器學習的網絡入侵檢測器是將網絡入侵檢測的問題建模成一個針對網絡流量的分類問題，從而使用一些機器學習的方法精練出分類模型進行分類預測。目前，多種機器學習算法，例如決策樹、支持向量機、深度神經網絡等，被用于區(qū)分入侵流量和良性流量，并取得了良好的實驗結果。

1.2 電力信息網絡安全

21世紀以來，國內電力行業(yè)發(fā)生重大變革，電力行業(yè)在總結以往電力系統(tǒng)中重大信息安全事故的基礎上，在電力全行業(yè)范圍內開展了電力信息系統(tǒng)安全的整治工作，21世紀初期，國家電力監(jiān)測委員會先后為縣里信息系統(tǒng)安全發(fā)布了一系列改革文件，要求國內各電力系統(tǒng)按照文件要求扎實展開電力信息系統(tǒng)安全防護工作，這一系列政策的頒布為電力信息系統(tǒng)安全的維護起到了重要影響，隨后，國家網絡信息安全管理中心又將電力信息系統(tǒng)安全權限授予電力監(jiān)督委員會，國家電力監(jiān)督系統(tǒng)在授權時要求各電力部門和電力企業(yè)要認真貫徹國家信息安全政策，經過幾年時間的努力，電力行業(yè)的信息安全系統(tǒng)逐漸形成了一套完整化的制度體系，電力行業(yè)建立了從應急管理、分級保護、維護保障、知識宣傳、技術培訓為一體的常態(tài)化工作機制，電力企業(yè)的信息安全水平得到極大提升。

2 電力信息網絡的結構及其安全分析

我們在對電力信息網絡進行分析時，首先可以根據(jù)電力信息系統(tǒng)的業(yè)務種類和不同業(yè)務種類的業(yè)務特點，我們可以將電力信息分為以下四個主要部分：一是電力信息的實時控制部分，也就是安全區(qū)Ⅰ；二是非控制生產區(qū)，也就是安全區(qū)Ⅱ；第三個部分是生產活動的管理區(qū)，也就是安全區(qū)安全區(qū)Ⅲ；第四個部分是信息資源的管理區(qū)，也就是安全區(qū)安全區(qū)Ⅳ。其中第一部分和第二部分又被統(tǒng)稱為生產控制總區(qū)，第三部分和第四部分又被統(tǒng)稱為信息資源的控制總區(qū)。信息資源控制總區(qū)只是電力系統(tǒng)中一個小分區(qū)，其實電力信息系統(tǒng)十分復雜，其中包含許多小分區(qū)系統(tǒng)，且部分小分區(qū)系統(tǒng)規(guī)模較大、范圍分布較廣，因此我們這里所說的電力信息系統(tǒng)主要是針對電力信息系統(tǒng)中的網絡系統(tǒng)這一分區(qū)，重點是提高網絡系統(tǒng)的邊界防護力，通過邊界防護力的提高達到內部防護力提高的目的，從而確保電力生產系統(tǒng)和電力信息系統(tǒng)中重要信息資源的安全。從電力信息系統(tǒng)的整體結構來看，系統(tǒng)第一部分和系統(tǒng)第二部分屬于電力生產部分，這一部分的信息系統(tǒng)采取的是在線的運行模式，因此，第一部分的數(shù)據(jù)交換情況較多，這一部分與整個系統(tǒng)的安全聯(lián)系也比較密切，且這一部分主要保護的是電力生產硬件設備，而第三部分和第四部分屬于信息管理系統(tǒng)。因此，我們也可以得知，電力生產部分的安全因素主要由系統(tǒng)內部決定，因此，電力生產系統(tǒng)的信息安全維護也要重點針對系統(tǒng)內部的信息安全威脅因素，電力生產系統(tǒng)的信息資源雖然受到防火墻的保護，與外部的信息資源分開，但是一旦入侵者打破這道防火墻，電力生產系統(tǒng)內部的信息安全照樣會受到威脅。

3 入侵檢測技術應用于電力信息系統(tǒng)的設計原則

3.1 先進性

入侵檢測系統(tǒng)部署在電力信息資源網絡中維護信息資源的安全性，對于入侵檢測系統(tǒng)的數(shù)據(jù)準確性、網絡穩(wěn)定性等要求非常高，因此，我們在為電力信息系統(tǒng)設置入侵檢測系統(tǒng)時，要借鑒國際上電力信息安全檢測的數(shù)據(jù)，標準等，使用國際相對成熟的檢測設計模板，不斷保持電力檢測系統(tǒng)的安全性和先進性。

3.2 高性能

將入侵檢測系統(tǒng)加入電力信息系統(tǒng)中要注意，入侵檢測系統(tǒng)要支持電力信息系統(tǒng)不斷增加的數(shù)據(jù)量，以便各種電力信息可以及時得到處理，這要求入侵檢測系統(tǒng)各個分部有足夠的內存，可以滿足當前甚至今后較長一段時間的數(shù)據(jù)容量需求，為了提高入侵檢測系統(tǒng)的信息檢測效率，設計人員要選擇高性能的數(shù)據(jù)處理設備，確保系統(tǒng)運行穩(wěn)定，滿足各種信息檢測的需求。

3.3 可靠性

電力數(shù)據(jù)網部署入侵檢測系統(tǒng)必須具有高度的可靠性。應該從結構設計、產品選擇以及信息管理上對其做出保證。為了保證整個運行系統(tǒng)達到所要求的可靠程度，根據(jù)可靠性設計指標。建議對系統(tǒng)有選擇地采取備份、冗余、容錯和異常處理技術措施。

3.4 安全性

為了保護用戶在數(shù)據(jù)的安全可靠（存儲安全、信息安全），必須提供多種方式和層次的訪問控制和安全策略，檢測系統(tǒng)中數(shù)據(jù)的安全存儲和傳輸。

3.5 可擴展性

運用在電力信息系統(tǒng)的入侵檢測系統(tǒng)要不斷對系統(tǒng)內部進行更新，以便系統(tǒng)那個能夠更好地識別新型的電力信息數(shù)據(jù)，電力信息檢測系統(tǒng)逐漸稱為一個更加全面的信息檢測平臺，檢測系統(tǒng)要不斷擴充內部存儲量，讓更多的用戶可以使用到這一系統(tǒng)，隨著平臺的不斷更新，平臺還要與當前世界先進技術和先進設備相銜接，確保系統(tǒng)支持目前及未來關鍵應用的能力。

3.6 易于管理和維護

為了確保信息檢測系統(tǒng)的穩(wěn)定運行，系統(tǒng)設計人員要設計好系統(tǒng)的管理，系統(tǒng)要具備信息檢測、系統(tǒng)內部故障排查、系統(tǒng)內部故障隔離和系統(tǒng)內部有害信息過濾等功能，以便系統(tǒng)更好進行后續(xù)更新和維護。

3.7 價格適中、投資合理

檢測系統(tǒng)檢測還要兼顧經濟性要求，也就是最大限度降低建設成本，建設成本需要從兩個方面進行考察：一是系統(tǒng)建設過程中所需的各項成本，二是系統(tǒng)建設完成后系統(tǒng)更新和維護保養(yǎng)費用，相對來說，系統(tǒng)建成后的更新和維護保養(yǎng)費用更高，因此，電力信息檢測系統(tǒng)在建設時要充分考慮后期維護保養(yǎng)費用，在初期設計檢測方案時，設計人員就要充分結合實際，既要保證系統(tǒng)的高性能，又要保證系統(tǒng)的成本最小化。

4 基于數(shù)據(jù)挖掘技術的入侵檢測系統(tǒng)

入侵檢測系統(tǒng)是一個可以對電力信息系統(tǒng)運行情況進行實時監(jiān)測的系統(tǒng)，入侵檢測系統(tǒng)可以通過對電力信息系統(tǒng)的各種實施監(jiān)測，對各種企圖攻擊系統(tǒng)內部、系統(tǒng)結構的行為做出針對性的反應，從而確保電力信息系統(tǒng)的安全，完整。將數(shù)據(jù)挖掘技術引入入侵檢測系統(tǒng)中，可以通過分析既往的數(shù)據(jù)，將用戶行為特征調取出來，分析以往入侵行為的規(guī)律，進而建設更加完善的數(shù)據(jù)系統(tǒng)支持入侵檢測。電力信息系統(tǒng)的檢測系統(tǒng)可以分為電力信息數(shù)據(jù)搜集、電力信息數(shù)據(jù)處理、外來信息入侵檢測等，相比于以往的入侵檢測系統(tǒng)，借助數(shù)據(jù)挖掘系統(tǒng)的入侵檢系統(tǒng)具有以下幾項優(yōu)勢：一是借助數(shù)據(jù)挖掘系統(tǒng)的入侵檢測系統(tǒng)自動化和智能化程度較高，數(shù)據(jù)挖掘技術綜合統(tǒng)計學、網絡神經學、決策學等多種學科理論，這種檢測系統(tǒng)可以從大批數(shù)據(jù)中檢測出平時不易察覺的網絡行為數(shù)據(jù)，從這些篩選出來的數(shù)據(jù)中心可以切實緩解數(shù)據(jù)監(jiān)測人員的工作壓力，同時可以顯著提高入侵檢測的準確率。二是借助數(shù)據(jù)挖掘的入侵檢測系統(tǒng)檢測效率較高，數(shù)據(jù)挖掘技術還有對數(shù)據(jù)進行預處理的功能，數(shù)據(jù)挖據(jù)技術可以自動選取對于系統(tǒng)有效的數(shù)據(jù)，從而減少了大量無用的工作量，此外，基于數(shù)據(jù)挖掘技術的入侵檢測系統(tǒng)有較強的適應能力，這個入侵檢測系統(tǒng)可以適用于多種檢測模式中。

5 基于數(shù)據(jù)挖掘技術的IDS模型

根據(jù)電力信息入侵檢測的一般過程，我們同時結合數(shù)據(jù)挖掘這一新興技術的特點，可以建立數(shù)據(jù)挖掘技術基礎上的電力信息入侵檢測體系。

5.1 數(shù)據(jù)采集和數(shù)據(jù)預處理模塊

電力信息數(shù)據(jù)搜集和電力信息數(shù)據(jù)預處理是對電力系統(tǒng)檢測目標進行檢測，也就是對電力信息系統(tǒng)的網絡設備進行檢測，工作人員將預先搜集到的信息在系統(tǒng)中進行預處理，可以形成一整套數(shù)據(jù)信息。

5.1.1 數(shù)據(jù)源

數(shù)據(jù)監(jiān)測系統(tǒng)中的數(shù)據(jù)來源主要有兩種，第一種是網絡來源的數(shù)據(jù)，第二種是主機來源的數(shù)據(jù)，其中，網絡來源的數(shù)據(jù)也有許多個層次，比如說IP 包頭被LAND 和TEARDROP 分析，這兩種分析方式可以準確監(jiān)測網絡數(shù)據(jù)，但是網絡端口的掃描需要網絡創(chuàng)口屬于一個固定狀態(tài)，且這個狀態(tài)需要含有許多數(shù)據(jù)，只有這種狀態(tài)下對網絡數(shù)據(jù)的檢測才是有效的，因此我們也可以說，一個優(yōu)良的數(shù)據(jù)檢測系統(tǒng)，雖然有許多解析層次的協(xié)議，通常只能按照制定的協(xié)議來開展檢測，但是主機數(shù)據(jù)來源的第一個就是主機的日。從這些篇幅不等的日志中，我們可以得到大量的有用的數(shù)據(jù)信息。

5.1.2 安全設計數(shù)據(jù)

關于檢測系統(tǒng)的數(shù)據(jù)資源，需要從數(shù)據(jù)資源的特點、數(shù)據(jù)資源的處理方式應急數(shù)據(jù)資源的屬性三方面開展分析，關于檢測設計數(shù)據(jù)的特征，主要有以下三點：一是相對于正常的訪問數(shù)據(jù)，入侵數(shù)據(jù)較為少見；二是通常情況下，安全系統(tǒng)的數(shù)據(jù)穩(wěn)定性較高；三是一旦系統(tǒng)受到外界數(shù)據(jù)攻擊，部分安全系統(tǒng)數(shù)據(jù)會偏離正常值，在對安全數(shù)據(jù)進行處理的過程中，數(shù)據(jù)采集部分和數(shù)據(jù)預處理部分會使用二進制數(shù)據(jù)對網絡信息資源進行處理。轉換的形式為：T（si）=di；si∈S，di∈D 關于設計記錄的特征和屬性。

6 基于數(shù)據(jù)挖掘的入侵檢測技術在電廠信息網絡安全中的應用

6.1 應用方案

將電力信息入侵檢測系統(tǒng)應用在電力信息網絡設備中，主要是對外來侵入網絡行為進行監(jiān)測，將信息檢測控制中心安置在網絡系統(tǒng)中心，以便隨時接收到檢測器對入侵信息的警報，這樣還可以遠程控制檢測系統(tǒng)的監(jiān)測儀，網絡服務器、數(shù)據(jù)處理儀以及代理處理儀都是入侵檢測系統(tǒng)的組成部分。

6.2 IDS產品的選擇標準

IDS 產品的選擇，在產品選擇方面，設計人員要放在首位考慮的就是產品的綜合性能、產品運行的穩(wěn)定性、產品后續(xù)管理的便利性以及產品性能的延展性等，對于上述所說的幾個方面，設計人員要結合自身經驗仔細甄別，從一系列產品中選出綜合性能最優(yōu)的一個。在IDS 產品的系統(tǒng)性能方面，設計人員首要考慮的是產品對于信息資源的流量監(jiān)測能力。具體來說，電力信息系統(tǒng)不管是對產品還是系統(tǒng)都有較高的要求。

7 結語

總而言之，電力信息入侵檢測系統(tǒng)已經在國內電力企業(yè)中得到了廣泛應用，電力信息檢測系統(tǒng)顯著提高了電力企業(yè)信息資源的管理水平，但是應用的過程中系統(tǒng)暴露出來的安全性問題也越來越多，主要是網絡信息技術不斷向前發(fā)展，電力信息資源檢測系統(tǒng)也要不斷更新。在這種情況下，若想提高電力信息系統(tǒng)的安全性，必須堅強入侵檢測系統(tǒng)建設。