刘祥

（南方电网数字电网研究院网安公司 广东省广州市 510700）

电力信息技术系统对于电力系统的安全和稳定运行十分重要，但是当前计算机非法侵入技术也比较严重，这种对电力信息系统非法侵入的技术给系统安全、稳定运行带来极大不利影响。本文，首先对国内当前数据挖掘这一新兴技术的基本情况和工作机制进行了介绍，同时对数据挖掘这一新兴技术中的每一部分都进行了深入认知，并结合国内电力信息网络系统的现状，提出了更加适合国内电力信息系统的方案。

1 入侵检测系统和电力信息网络安全概述

1.1 入侵检测系统

网络入侵检测系统通过采集网络流量等信息，发现被监控网络中违背安全策略、危及系统安全的行为，是一种重要的安全防护手段。面对日益复杂的网络环境，传统NIDS 所存在的缺点日益突出，例如系统占用资源过多、对未知攻击检测能力差、需要人工干预等。在此背景下，研究人员迫切地探寻新的解决方案，并将目光投向了发展迅速的机器学习技术。基于机器学习的网络入侵检测器是将网络入侵检测的问题建模成一个针对网络流量的分类问题，从而使用一些机器学习的方法精练出分类模型进行分类预测。目前，多种机器学习算法，例如决策树、支持向量机、深度神经网络等，被用于区分入侵流量和良性流量，并取得了良好的实验结果。

1.2 电力信息网络安全

21世纪以来，国内电力行业发生重大变革，电力行业在总结以往电力系统中重大信息安全事故的基础上，在电力全行业范围内开展了电力信息系统安全的整治工作，21世纪初期，国家电力监测委员会先后为县里信息系统安全发布了一系列改革文件，要求国内各电力系统按照文件要求扎实展开电力信息系统安全防护工作，这一系列政策的颁布为电力信息系统安全的维护起到了重要影响，随后，国家网络信息安全管理中心又将电力信息系统安全权限授予电力监督委员会，国家电力监督系统在授权时要求各电力部门和电力企业要认真贯彻国家信息安全政策，经过几年时间的努力，电力行业的信息安全系统逐渐形成了一套完整化的制度体系，电力行业建立了从应急管理、分级保护、维护保障、知识宣传、技术培训为一体的常态化工作机制，电力企业的信息安全水平得到极大提升。

2 电力信息网络的结构及其安全分析

我们在对电力信息网络进行分析时，首先可以根据电力信息系统的业务种类和不同业务种类的业务特点，我们可以将电力信息分为以下四个主要部分：一是电力信息的实时控制部分，也就是安全区Ⅰ；二是非控制生产区，也就是安全区Ⅱ；第三个部分是生产活动的管理区，也就是安全区安全区Ⅲ；第四个部分是信息资源的管理区，也就是安全区安全区Ⅳ。其中第一部分和第二部分又被统称为生产控制总区，第三部分和第四部分又被统称为信息资源的控制总区。信息资源控制总区只是电力系统中一个小分区，其实电力信息系统十分复杂，其中包含许多小分区系统，且部分小分区系统规模较大、范围分布较广，因此我们这里所说的电力信息系统主要是针对电力信息系统中的网络系统这一分区，重点是提高网络系统的边界防护力，通过边界防护力的提高达到内部防护力提高的目的，从而确保电力生产系统和电力信息系统中重要信息资源的安全。从电力信息系统的整体结构来看，系统第一部分和系统第二部分属于电力生产部分，这一部分的信息系统采取的是在线的运行模式，因此，第一部分的数据交换情况较多，这一部分与整个系统的安全联系也比较密切，且这一部分主要保护的是电力生产硬件设备，而第三部分和第四部分属于信息管理系统。因此，我们也可以得知，电力生产部分的安全因素主要由系统内部决定，因此，电力生产系统的信息安全维护也要重点针对系统内部的信息安全威胁因素，电力生产系统的信息资源虽然受到防火墙的保护，与外部的信息资源分开，但是一旦入侵者打破这道防火墙，电力生产系统内部的信息安全照样会受到威胁。

3 入侵检测技术应用于电力信息系统的设计原则

3.1 先进性

入侵检测系统部署在电力信息资源网络中维护信息资源的安全性，对于入侵检测系统的数据准确性、网络稳定性等要求非常高，因此，我们在为电力信息系统设置入侵检测系统时，要借鉴国际上电力信息安全检测的数据，标准等，使用国际相对成熟的检测设计模板，不断保持电力检测系统的安全性和先进性。

3.2 高性能

将入侵检测系统加入电力信息系统中要注意，入侵检测系统要支持电力信息系统不断增加的数据量，以便各种电力信息可以及时得到处理，这要求入侵检测系统各个分部有足够的内存，可以满足当前甚至今后较长一段时间的数据容量需求，为了提高入侵检测系统的信息检测效率，设计人员要选择高性能的数据处理设备，确保系统运行稳定，满足各种信息检测的需求。

3.3 可靠性

电力数据网部署入侵检测系统必须具有高度的可靠性。应该从结构设计、产品选择以及信息管理上对其做出保证。为了保证整个运行系统达到所要求的可靠程度，根据可靠性设计指标。建议对系统有选择地采取备份、冗余、容错和异常处理技术措施。

3.4 安全性

为了保护用户在数据的安全可靠（存储安全、信息安全），必须提供多种方式和层次的访问控制和安全策略，检测系统中数据的安全存储和传输。

3.5 可扩展性

运用在电力信息系统的入侵检测系统要不断对系统内部进行更新，以便系统那个能够更好地识别新型的电力信息数据，电力信息检测系统逐渐称为一个更加全面的信息检测平台，检测系统要不断扩充内部存储量，让更多的用户可以使用到这一系统，随着平台的不断更新，平台还要与当前世界先进技术和先进设备相衔接，确保系统支持目前及未来关键应用的能力。

3.6 易于管理和维护

为了确保信息检测系统的稳定运行，系统设计人员要设计好系统的管理，系统要具备信息检测、系统内部故障排查、系统内部故障隔离和系统内部有害信息过滤等功能，以便系统更好进行后续更新和维护。

3.7 价格适中、投资合理

检测系统检测还要兼顾经济性要求，也就是最大限度降低建设成本，建设成本需要从两个方面进行考察：一是系统建设过程中所需的各项成本，二是系统建设完成后系统更新和维护保养费用，相对来说，系统建成后的更新和维护保养费用更高，因此，电力信息检测系统在建设时要充分考虑后期维护保养费用，在初期设计检测方案时，设计人员就要充分结合实际，既要保证系统的高性能，又要保证系统的成本最小化。

4 基于数据挖掘技术的入侵检测系统

入侵检测系统是一个可以对电力信息系统运行情况进行实时监测的系统，入侵检测系统可以通过对电力信息系统的各种实施监测，对各种企图攻击系统内部、系统结构的行为做出针对性的反应，从而确保电力信息系统的安全，完整。将数据挖掘技术引入入侵检测系统中，可以通过分析既往的数据，将用户行为特征调取出来，分析以往入侵行为的规律，进而建设更加完善的数据系统支持入侵检测。电力信息系统的检测系统可以分为电力信息数据搜集、电力信息数据处理、外来信息入侵检测等，相比于以往的入侵检测系统，借助数据挖掘系统的入侵检系统具有以下几项优势：一是借助数据挖掘系统的入侵检测系统自动化和智能化程度较高，数据挖掘技术综合统计学、网络神经学、决策学等多种学科理论，这种检测系统可以从大批数据中检测出平时不易察觉的网络行为数据，从这些筛选出来的数据中心可以切实缓解数据监测人员的工作压力，同时可以显著提高入侵检测的准确率。二是借助数据挖掘的入侵检测系统检测效率较高，数据挖掘技术还有对数据进行预处理的功能，数据挖据技术可以自动选取对于系统有效的数据，从而减少了大量无用的工作量，此外，基于数据挖掘技术的入侵检测系统有较强的适应能力，这个入侵检测系统可以适用于多种检测模式中。

5 基于数据挖掘技术的IDS模型

根据电力信息入侵检测的一般过程，我们同时结合数据挖掘这一新兴技术的特点，可以建立数据挖掘技术基础上的电力信息入侵检测体系。

5.1 数据采集和数据预处理模块

电力信息数据搜集和电力信息数据预处理是对电力系统检测目标进行检测，也就是对电力信息系统的网络设备进行检测，工作人员将预先搜集到的信息在系统中进行预处理，可以形成一整套数据信息。

5.1.1 数据源

数据监测系统中的数据来源主要有两种，第一种是网络来源的数据，第二种是主机来源的数据，其中，网络来源的数据也有许多个层次，比如说IP 包头被LAND 和TEARDROP 分析，这两种分析方式可以准确监测网络数据，但是网络端口的扫描需要网络创口属于一个固定状态，且这个状态需要含有许多数据，只有这种状态下对网络数据的检测才是有效的，因此我们也可以说，一个优良的数据检测系统，虽然有许多解析层次的协议，通常只能按照制定的协议来开展检测，但是主机数据来源的第一个就是主机的日。从这些篇幅不等的日志中，我们可以得到大量的有用的数据信息。

5.1.2 安全设计数据

关于检测系统的数据资源，需要从数据资源的特点、数据资源的处理方式应急数据资源的属性三方面开展分析，关于检测设计数据的特征，主要有以下三点：一是相对于正常的访问数据，入侵数据较为少见；二是通常情况下，安全系统的数据稳定性较高；三是一旦系统受到外界数据攻击，部分安全系统数据会偏离正常值，在对安全数据进行处理的过程中，数据采集部分和数据预处理部分会使用二进制数据对网络信息资源进行处理。转换的形式为：T（si）=di；si∈S，di∈D 关于设计记录的特征和属性。

6 基于数据挖掘的入侵检测技术在电厂信息网络安全中的应用

6.1 应用方案

将电力信息入侵检测系统应用在电力信息网络设备中，主要是对外来侵入网络行为进行监测，将信息检测控制中心安置在网络系统中心，以便随时接收到检测器对入侵信息的警报，这样还可以远程控制检测系统的监测仪，网络服务器、数据处理仪以及代理处理仪都是入侵检测系统的组成部分。

6.2 IDS产品的选择标准

IDS 产品的选择，在产品选择方面，设计人员要放在首位考虑的就是产品的综合性能、产品运行的稳定性、产品后续管理的便利性以及产品性能的延展性等，对于上述所说的几个方面，设计人员要结合自身经验仔细甄别，从一系列产品中选出综合性能最优的一个。在IDS 产品的系统性能方面，设计人员首要考虑的是产品对于信息资源的流量监测能力。具体来说，电力信息系统不管是对产品还是系统都有较高的要求。

7 结语

总而言之，电力信息入侵检测系统已经在国内电力企业中得到了广泛应用，电力信息检测系统显著提高了电力企业信息资源的管理水平，但是应用的过程中系统暴露出来的安全性问题也越来越多，主要是网络信息技术不断向前发展，电力信息资源检测系统也要不断更新。在这种情况下，若想提高电力信息系统的安全性，必须坚强入侵检测系统建设。