电力系统网络安全维护中的入侵检测技术探究武伟

电力系统网络安全维护中的入侵检测技术探究武伟

武伟

（呼和浩特供电局武川供电分局011700）

摘要：随着经济的快速发展和科技的不断进步，电力信息网络系统已经广泛应用在电力企业中，电力部门在实现信息管理的同时，也面临着十分严峻的网络安全问题，目前电力信息的安全问题已经成为影响电力系统安全运行的重要因素，因此，加强电力系统网络安全维护有十分重要的作用。本文重点介绍了入侵检测技术在电力系统网络安全维护中的应用。

关键词：电力系统；网络安全维护；入侵检测技术

1入侵检测技术简述

1.1入侵检测技术的基本概念

所谓的入侵检测技术，就是通过分析计算机系统中的一些关键数据、重要文件以及用户的具体操作行为，及时发现这些关键数据、重要文件是否遭受了非法访问行为以及受拒绝服务攻击、身份攻击、病毒攻击、防火墙攻击等非法攻击，之后立即采取措施阻拦攻击行为或者是发出警报，最终确保电力系统的完整性与安全性。对于入侵检测技术来说，需要检测主要两个方面的内容:第一，非法访问行为；第二，系统外部入侵行为。应用入侵检测技术的主要目的是，通过检测计算机网络中的未经授权行为，判断这些未经授权行为是否符合有关规定，之后再根据检测结果进行处理或者是上报。防火墙技术、入侵检测技术的联合运用，为计算机系统构建了一个保护罩，大大降低了计算机的受攻击概率。

1.2简述入侵检测技术的基本类型

按照相应技术设计对入侵检测技术进行分类，发现可以把入侵检测技术分为以下三种类型：第一，以网络为基础的入侵检测技术，主要是对网络中的数据进行分析，一旦感应到计算机遭受入侵或网络数据异常，入侵检测技术就会切断网络或者发出警报；第二，以主机为基础的入侵检测技术，在指定主机上安装入侵检测系统，入侵检测系统检测主机中的网络系统、日志，一旦发现主机数据遭受干扰，就会立即采取相应对策来处理干扰；第三，混合入侵检测技术，也就是有机融合了以网络为基础的入侵检测技术、以主机为基础的入侵检测技术的入侵检测系统，混合入侵检测技术可以充分发挥上述两种类型的优势，这种具有集成化特征的入侵检测技术，能够更好的保护数据。

1.3简述入侵检测系统的基本结构

对于入侵检测系统来说，其主要有三个组成部分，即数据检测、数据分析、数据处理。通过使用数据模块，入侵检测系统就可以获取网络中的数据包，之后对这些获取的数据进行处理，把经过处理的数据传递到系统中的数据分析模块。在入侵检测系统之中，处于核心位置的数据检测模块，最主要的内容是对获得的数据进行分析、匹配，一旦发现系统中的数据出现异常，数据检测模块就会把异常的数据移送到数据分析模块，数据分析模块再将其传递给数据处理模块进行处理。

2入侵检测的意义

电力系统的信息十分繁杂并且信息量很大，将计算机信息技术应用在电力系统中，能实现电力信息的标准化、开放化、高效化管理，同时还能增加和外界的信息交流，及时发现电力系统中存在的问题。电力系统在于外界进行信息交流及问题处理时，就需要用入侵检测技术对电力系统安全新提供保障，入侵检测技术贯穿在电力系统每个需要安全维护的环节中，它能有效地阻止非法入侵，使电力系统网络安全得到保障。

3电力系统网络安全维护中入侵检测技术的应用

3.1信息的收集

数据占据了非常重要的位置在入侵检测当中。数据源大体上有这四种：以物理形态进行入侵；在程序的执行过程中不希望出现的行为；在文件和目录当中不希望出现的改变；网络日志与系统的文件。在应用的时候，进行信息采集时要在每一个网段上都布置单个或者更多的IDS代理，因为网络的构成都不一样，所以它的数据收集也就被分成了不一样的接连方式，如果把网段用集线器接连起来，在交换机的芯片上大多都有一个端口，它是用来调试的，使用者可以把网络从这里接入，也可以将入侵检测系统安置在一些重要数据的出入口当中，差不多能够得到全部的数据。与此同时，对于一些在计算机网络系统中不同关键点的信息进行采集，除了要根据目标来检测，使检测的范围尽可能地大，还有一个相对欠缺的环节，有可能对来自同一个地方信息检测不出来一丁点可疑的地方。这就需要我们在对入侵信息进行采集时，着重探析来自不同目标之间不同的特性，以此来作为系统判别是否属于可疑的行为或者是入侵的最好标志。针对于当今的网络时代，入侵的行为还是比较少见的，对于那些不常见的数据可以进行单独处理，加强入侵分析的针对性。因此，对于孤立点的挖掘在入侵的检测技术当中是信息搜集的基础手段，它的操作原理就是把那些不一样的、不常见的、部分的数据从复杂的大量数据当中抽取出来进行单独的处理，这就大大的克服了之前所说的困难，因为样本当中的正常的模式不健全而带来的失误率高的问题。

3.2对信息进行分析

对于上述所收集到的有关信息，通过对数据的分析，从而发现当中的违反了安全规定的活动，而且把它发送给了管理器。设计人员应该对于各种系统的漏洞和网络的协议等具有非常深刻清醒的认识，然后完善关于计算机网络的安全措施并健全安全信息库。然后再分别建立异常检测模型和滥用检测模型，能够使机器对自己进行模拟分析，最后再把分析得到的最后结果汇聚成报警提示，对控制中心尽心警告。与此同时，相对于TCP/IP的这个网络来说，网络探测引擎在入侵的检测手段中也占据着重要的位置。网络探测引擎就相当于是一个传感器，它对网络上流通的数据包进行检测的方式主要是旁路监听，对于检测到异常事件形成警示，并且最终整合成警示消息，传递给控制台。

3.3关于信息的响应

遇到入侵时候能够做出相应的反应是IDS使命。它运作过程是，对数据进行基本的分析，然后检测本地的网段，把藏匿在数据包当中入侵行为搜寻出来，并及时对探测到的入侵行为做出相应的反应。大体上就包含网络引擎通知或者是告警，比方说对控制台给出警示、发送E－mail或者是SNMPtrap给负责安全的管理人员、对其他控制台进行通报和对实时通话查看等；对现场进行记录，比方说对整个会话进行记录以及事件日志等；采取安全响应行动，比方说对指定用户响应程序进行执行、对入侵的接连进行终止等等。

3.4把防火墙和入侵检测技术进行结合应用

防火墙可以很好地对周边的危机起到防御作用，能够非常好控制网络层或应用层的访问，但是，不能够对内部网络进行非常好的监视和控制。那么，就很容易导致利用协议隧道来避绕开防火墙进行网络入侵行为，给计算机网络造成了严重的威胁，也就是说，防火墙不能完全保证计算机网络安全。那么，我们就可以把防火墙和入侵检测的级数结合起来，发挥双方的优秀特性，以达到对计算机网络安全防护。第一步，入侵检测系统或者是防火墙为对方开放一个借口，防火墙和入侵检测系统按照约定好的规则来进行信息交流，进行信息交流的两方，事先互相约定，设定互相交流的端口。第二步，防火墙对经过其数据包进行检测，把经过的数据包与其制定好规则进行对比，最终过滤掉那些不符合规则和没有经过授权的数据包。最后，关于那些在防火墙的“漏网之鱼”，入侵检测技术就利用已经建立起来的入侵信息样本数据库，对那些不符合规则的数据包进行相应的警示响应，以使用户进行相应的防护措施。

结语

随着现代计算机网络技术的不断进步，电力系统的网络信息资源的安全问题则日益凸显，在我国电力系统的网络安全维护中运用入侵检测技术，实现防患于未然，将任何的攻击入侵行为扼杀在萌芽状态，有效控制了不良攻击事件的发生与扩大，进而为电力网络信息系统提供一个高效、可靠、优质的运行环境，这对于电力系统的网络信息安全来说具有十分重要的意义。

参考文献

[1]胥琼丹.入侵检测技术在计算机网络安全维护中的应用[J].电脑知识与技术，2010.

[2]王春艳，史海成.网络安全维护中入侵检测技术的有效应用[J].企业导报，2012.

武伟，（1991.7-），男，内蒙古呼和浩特人，内蒙古工业大学本科毕业，专业:电子信息工程，工作单位:呼和浩特供电局武川供电分局