入侵检测技术在电力信息网络安全中的应用new

入侵检测技术在电力信息网络安全中的应用new

ID:34418665

大小:269.16 KB

页数:4页

时间:2019-03-06

入侵检测技术在电力信息网络安全中的应用new_第1页
入侵检测技术在电力信息网络安全中的应用new_第2页
入侵检测技术在电力信息网络安全中的应用new_第3页
入侵检测技术在电力信息网络安全中的应用new_第4页
资源描述:

《入侵检测技术在电力信息网络安全中的应用new》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、万方数据第9卷(2007年第10期)电力安全技术A揣入侵检测技术在电力信息网络安全中的应甩伍晖平1.金亚民1,蔡青有2(1.包头供电局,内蒙古包头140000,2.中国电科院,北京100085)[摘要]介绍了基于数据挖掘技术的入侵检测系统的工作原理及其特点,说明了该检测系统中的模块的作用,提出了用入侵检测系统建立安全体系,来加强电厂网络安全监控与管理的思想,并结合电厂信息网络的实际情况,给出了该系统在电厂中的实际应用方案。[关键词]数据挖掘;入侵检测系统;电力信息网络安全为了应对日益严重的计算机网络非法入侵,在电厂信息网络中引入基于数据挖掘技术的入侵检测系统,十分必要。1基于数据

2、挖掘的入侵检测系统入侵检测系统是对系统的运行状态进行监视,发现各种攻击企图、攻击行为和攻击结果,并做出响应,以保证系统资源的机密性、完整性和可用性。在入侵检测系统中使用数据挖掘技术,通过分析历史数据可以提取出用户的行为特征,总结入侵行为的规律,从而建立起比较完备的规则库来进行人侵检测。该检测过程主要分为:数据收集、数据的预处理、数据挖掘及入侵检测等几个步骤。与其他入侵检测系统比较,基于数据挖掘的入侵检测系统有以下几点优势:(1)智能性好,自动化程度高。基于数据挖掘的检测方法采用了统计学、决策学以及神经网络等多种方法,自动地从数据中提取难以发现的网络行为模式,从而减少了人的参与,减

3、轻了入侵检测分析员的负担,同时也提高了检测的准确性。(2)检测效率高。数据挖掘可以自动地对数据进行预处理,抽取数据中的有用部分,有效地减少数据处理量,因而检测效率较高。(3)自适应能力强。应用数据挖掘方法的检测系统不是基于预定义的。2基于数据挖掘技术的IDS模型根据入侵检测的一般过程,结合数据挖掘的特点,可建立应用数据挖掘技术的入侵检测系统模型(如图1所示)。2.1数据采集和预处理模块数据采集和预处理模块监视目标系统(网络或53主机),将搜集到的网络或主机的活动数据进行预处理,形成由一套特征属性组成的审计记录。教槲采集帛I坝处理训黼毽l呷/,—、、fl挖掘幢块b听禾型丛岳赢而磊南

4、li\规则J乜/L——————————J训缚敏据特缸塞图1基于数据挖掘的人侵检测系统框架2.1.1数据源2.1.1.1网络数据源可以分为多个分析层次,例如:land和teardrop通过对IP包头的分析就可以准确检测,而端口扫描就必须通过维护一个基于时间窗口的状态栈,通过对多数数据包的包头进行分析才能检测。对于其他一些涉及到高层协议的攻击方法,比如mailbomg和cgi漏洞,则必须进行相应的高层协议解析才能检测。因此,一个好的网络入侵检测系统总是尽可能多地解析高层协议,或者根据已知攻击模式的特征进行尽可能准确的匹配,或者通过建立正常的协议行为模式来检测异常。2.1.1.2主机数

5、据源安全审计数据首先来自于主机日志,在UNIX环境中,通常是由后台进程syslogd产生的syslog日志,以及由其他应用程序如Apachewebserver和ftpd产生的日志,从这些日志中可以得到大量是aFA耥万方数据电力安全技术第9卷(2007年第10期)有价值的信息。2.1.2安全审计数据2.1.2.1安全审计数据的特征采用数据挖掘算法进行数据处理,要求所选取的安全审计数据具备以下特征:(1)攻击事件相对于正常的访问是很少见的,(2)安全审计数据在正常情况下非常稳定;(3)攻击总是使安全审计数据的某些特征变量明显地偏离正常值。因此,在安全审计数据处理方案中要综合网络和主机

6、两方面的审计数据源,最大限度地提高对网络及主机系统的信息收集,为实现准确、高效的入侵检测提供保障。2.1.2.2安全审计数据的处理数据采集和预处理模块收集到的网络传输数据是二进制码数据。需要进行预处理,形成由ASCII码数据属性组成的网络传输记录和主机会话记录,这里统称为审计记录。审计数据的预处理是从原始数据集到审计记录集的转换过程,用下式表示:r(si)=di,si∈S,di∈D式中:S一原始数据集lD一审计记录集,P一转换函数,d;一审计记录。2.1.2.3审计记录的特征属性(1)网络连接特征。连接建立的时间、连接持续的时间、建立连接双方的主机的IP地址及端口、两个方向的字节

7、传输量、连接的结束状态等。(2)连接的内容特征。登录失败的次数、登录成功的次数、是否获取根用户权限、对重要文件的访问状态、以重要身份登录的次数、以匿名方式登录的次数等。(3)连接的统计特征。统计特性分基于目的主机和基于服务的特征统计。基于目的主机的统计存在某一时间段(如2s)内,与本连接目的主机相同的连接个数,其中有SYN错误的连接个数,有REJ错误的连接个数,使用相同服务和不同服务的连接个数等。基于服务的统计有:在某一时间段(如2S)内,与本连接服务相同的连接个数,其中有SYN

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。