入侵检测技术在电力信息网络安全中的应用

入侵检测技术在电力信息网络安全中的应用

ID:46276623

大小:305.31 KB

页数:3页

时间:2019-11-22

入侵检测技术在电力信息网络安全中的应用_第1页
入侵检测技术在电力信息网络安全中的应用_第2页
入侵检测技术在电力信息网络安全中的应用_第3页
资源描述:

《入侵检测技术在电力信息网络安全中的应用》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、第9卷(2007年第10期)电力安全技术安技平台Anjipingtai人最检测技术在电力信息网络安定中的应用伍晖平,.金亚民’.蔡青有z(1.包头供电局,内蒙古包头140000,2.中国电科院,北京100085)〔摘要〕介绍了基于数据挖掘技术的入侵检刚系统的工作原理及其特点,说明T该检测系统中的模块的作用,提出了用入侵检刚系统建立安全体系,来加强电厂网络安全监控与管理的思想,并结合电厂信息网络的实际情况,给出了该系统在电厂中的实际应用方案。〔关键词〕数据挖握;入侵检测系统;电力信息网络安全为了应对日益严重的计算机网络非法人侵,在主机),将搜集到的网络或主机的活

2、动数据进行预电厂信息网络中引人基于数据挖掘技术的人侵检测处理,形成由一套特征属性组成的审计记录。系统,十分必要。1基于数据挖掘的入侵检测系统人侵检测系统是对系统的运行状态进行监视,发现各种攻击企图、攻击行为和攻击结果,并做出响应,以保证系统资源的机密性、完整性和可用性。在人侵检测系统中使用数据挖掘技术,通过分析历史数据可以提取出用户的行为特征,总结人侵行为的规律,从而建立起比较完备的规则库来进行人侵检测。该检测过程主要分为:数据收集、数据的预处理、数据挖掘及人侵检测等几个步骤。与其他人侵检测系统比较,基于数据挖掘的人侵检测系统有以下几点优势:图1基于数据挖掘的

3、人侵检测系统框架2.1.1数据源(1)智能性好,自动化程度高。基于数据挖掘2.1.1.1网络数据源的检测方法采用了统计学、决策学以及神经网络等多种方法,自动地从数据中提取难以发现的网络行可以分为多个分析层次,例如:land和为模式,从而减少了人的参与,减轻了人侵检测分teardrop通过对IP包头的分析就可以准确检测,析员的负担,同时也提高了检测的准确性。而端口扫描就必须通过维护一个基于时间窗口的状(2)检测效率高。数据挖掘可以自动地对数据态栈,通过对多数数据包的包头进行分析才能检进行预处理,抽取数据中的有用部分,有效地减少测。对于其他一些涉及到高层协议的攻击

4、方法,比数据处理量,因而检测效率较高。如mailbomg和cgi漏洞,则必须进行相应的高层(3)自适应能力强。应用数据挖掘方法的检测协议解析才能检测。因此,一个好的网络人侵检测系统不是基于预定义的。系统总是尽可能多地解析高层协议,或者根据已知攻击模式的特征进行尽可能准确的匹配,或者通过2基于数据挖掘技术的IDS模型建立正常的协议行为模式来检测异常。2.1.1.2主机数据源根据入侵检测的一般过程,结合数据挖掘的特点,可建立应用数据挖掘技术的人侵检测系统模型安全审计数据首先来自于主机日志,在UN工X(如图1所示)0环境中,通常是由后台进程syslogd产生的sys

5、log2.1采集和预处理模块日志,以及由其他应用程序如Apachewebserver采集和预处理模块监视目标系统(网络或和ftpd产生的日志,从这些日志中可以得到大量安技平台电力安全技术第9卷(2007年第10期)Anjipingtai有价值的信息。或含有重复信息,如果收集的训练数据过多,就会2.1.2安全审计数据增大分类过程的计算量,降低建模的时效性。因此,2.1.2.1安全审计数据的特征需要有一个训练数据收集模块来指导训练数据的收采用数据挖掘算法进行数据处理,要求所选取集。训练数据收集模块中的关联/序列规则发掘的安全审计数据具备以下特征:模块,对审计记录进

6、行规则发掘,提取出关联模式(1)攻击事件相对于正常的访问是很少见的,和序列模式。通过对以上发掘出来的规则进行合并(2)安全审计数据在正常情况下非常稳定;来指导训练数据的收集。(3)攻击总是使安全审计数据的某些特征变量当收集到新的审计数据后,从新的审计数据集明显地偏离正常值。中计算出新的规则,它反映了网络和用户行为的新因此,在安全审计数据处理方案中要综合网络变化。把新的规则r;加入到总规则集时,如果规和主机两方面的审计数据源,最大限度地提高对网则集中存在另一规则r2,使得:络及主机系统的信息收集,为实现准确、高效的人(1)rr2左右相同,或其左右可以合并;侵检测

7、提供保障。(2)它们的支持度和可信度相差甚小。2.1.2.2安全审计数据的处理那么可以把r,,r2合并为一条规则。否则,r,数据采集和预处理模块收集到的网络传输数据作为一个新规则加入到总规则集中。最后,当总规是二进制码数据。需要进行预处理,形成由ASCII则集稳定时,说明训练数据集已涵盖了网络和用户码数据属性组成的网络传输记录和主机会话记录,行为的所有变化,可以停止进行数据的收集。这里统称为审计记录。审计数据的预处理是从原始2.3训练数据特征提取模块数据集到审计记录集的转换过程,用下式表示:训练数据特征提取模块选择特征的依据是关联T(s;)=d;,s;(S,d

8、;〔D/序列规则,关联/序列规则反映了

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。