基于数据挖掘和粗糙集的入侵检测系统在电力网络中的应用

合集下载

入侵检测系统在电力行业的应用案例

入侵检测系统在电力行业的应用案例电力行业关系到国计民生，是我国经济快速发展的重要基石。

电力系统的信息化建设有力地推动了电力行业生产、办公、服务水平，随着电力系统网络规模的不断发展和信息化水平的不断提高，信息安全建设作为保障生产的一个重要组成部分，越来越多地受到重视并被提到议事日程上来。

据来自有关部门的资料，目前电力系统存在的一些信息安全问题已明显地威胁到电力系统的安全和稳定，，影响着“数字电力系统”的实现进程。

研究电力系统信息安全问题、开发相应的应用系统、制定电力系统信息遭受外部攻击时的防范与系统恢复措施，是电力行业当前信息化工作的重要内容。

电力系统信息安全已经成为电力企业生产、经营和管理的重要组成部分。

榕基入侵检测系统（RJ-IDS）是榕基网安公司除了漏洞扫描系统外的一条全新产品线，该产品是一种动态的入侵检测与响应系统，除了能对高速网络上的数据包捕获、分析、结合特征库进行相应的模式匹配外，还具有强大的行为和事件统计分析功能，能够自动检测可疑行为，及时发现来自网络外部或内部的攻击，并可以实时响应，切断攻击方的连接，帮助企业最大限度的保护公司内部的网络安全。

网络构架描述国内电力行业某省级公司，随着业务需求的进一步扩展，原有的网络及系统平台已经不能满足应用需求，从保障业务系统高效、稳定和安全运行等方面考虑，必须升级优化现有系统，其中提高网络的安全性是重中之重。

该公司信息系统基础设施包括电力系统网络、局域网和互联网三个部分。

电力系统网络是承载该公司与各个子公司内部业务交流的核心平台，局域网是该公司内部日常办公的主要载体，外部信息的获取和发布通过互联网来完成。

该公司的局域网于2001年建成并投入运行，核心交换机为Cisco Catalyst 6509。

以千兆下联十多台设在各部门的百兆交换机，均为Cisco Catalyst 3524XL/3550系列交换机，并划分了多个VLAN；在网络出口处，该公司通过Cisco 7401交换机与Internet连接，Internet接入边界有最基本的安全设备，一台硬件防火墙和一台VPN设备。

数据挖掘技术及其在电力系统中的应用

阐明了数据挖掘技术的重要性，展望今后发展趋势。
【关键词】数据挖掘粗糙集决策树
１引言
进入２０世纪８０年代后，计算机技术迅速发展。各大企业公司都相继引入信息平台建设、数据库应用，并建立自己的数据仓库，有的已经购买并应用决
概率应该符合一定的统计意义。
对于结构化的数据，以客户的购买习惯数据为
例，利用关联分析，可以发现客户的关联购买需要。
适合决策分析需要的分析型数据，来提高整个管理系统的决策分析能力。因此，围绕电力企业关键指标体系，应用数据挖掘技术势在必行。
略，扩展客户购买的产品范围，吸引更多的客户。通
过调整商品的布局便于顾客买的经常同时购买的商品，或者通过降低一种商品的价格来促进另一种商品的销售等。
作者简介：梁瑜内蒙古电力勘测设计院系统窜工程师
策支持系统，旨在提高自身在同行业自检的竞争力。
电力系统也不例外。目前，电力企业的各类业务越来
常用的数据挖掘技术包括关联分析、序列分析、分类ห้องสมุดไป่ตู้、预测、聚类分析以及时间序列分析等。
２．．１１关联分析
义的、隐含的、以前未知的并有潜在使用价值的知识
的过程，是一个多学科交叉性学科，它涉及统计学、

一个基于粗糙集理论的数据挖掘模型及应用

可分辨关系（等价关系）定给定问题的近似域，而找出确从
该问题中的内在规律。
上，为每一种类别找到一个合理的描述或模型；４聚类规（）则挖掘：客观地按被处理对象的特征分类，将有相同特征的对象归为一类；５预测及趋势性规则挖掘：（）对数据进行分
ｅｌｏｉｈｎｐａｔａａａｔｌｉｎｈｆｒｔｎｓｔｆａｈｌｖｌａｄｇｔｕｅｓｔｖｎｕｌ．Ｃｎｌｓｏｓａｅａ－ｌａｇｒｔｍｓｏｒｃｉｌｔｅｉｔｇｔｅｉｏｍａｉｅｃｅ，ｎｅｓａｒｌｅｅｔａｌｃｄＯｃｉｎｏｏｅｅｅｙｏｃｕｉｎｒｃ
文章编号：０７１０２０）９００－４１０－３Ｘ（０７０－１６０
一
个基于粗糙集理论的数据挖掘模型及应用。
ＲｏｇｅｅｒｎｔｐｉａｉｎｉｔｉｉｇｕｈＳｔＴｈｏｙａｄＩｓＡｐｌｔｎＤａａＭｎｎｃｏ
理技术。
模式的非平凡过程［，是近年来随着人工智能和数据库技１’ ］，术的发展而出现的一门较新兴的技术。知识发现包括数据
预处理、数据挖掘、模式评估和知识表示等几个步骤。按照数据挖掘技术所能发现的规律，以将挖掘任务分成五种：可
（）１总结规则挖掘：从指定的数据中，不同的角度或层次从
的信息集，最后得到规则集。在进行推理和决策分析时，按照一定算法进行匹配得出结论。另外，给出了模拟例子说明还

电力系统入侵检测及网络安全保护技术研究

电力系统入侵检测及网络安全保护技术研究引言随着信息技术的快速发展，电力系统的自动化程度不断提高，同时也埋下了网络安全隐患。

电力系统的安全性对于国家和社会的稳定运行至关重要。

电力系统入侵检测及网络安全保护技术的研究变得非常紧迫和迫切。

本文将对电力系统入侵检测及网络安全保护技术进行研究，并提出一种综合的安全保护解决方案。

1. 电力系统入侵检测技术1.1 入侵检测系统架构入侵检测系统需要具备监测、收集和分析网络流量数据的能力。

一种典型的电力系统入侵检测系统架构包括数据采集、数据分析和告警三个主要模块。

数据采集模块负责获取电力系统中的网络数据流量，数据分析模块对采集到的数据进行异常检测和威胁分析，告警模块在检测到威胁时发送警报。

1.2 入侵检测方法入侵检测方法可以分为基于特征的检测和基于行为的检测两类。

基于特征的检测依靠已知的攻击特征标识入侵行为，比如常见的入侵检测系统Snort就是采用基于特征的检测方法。

基于行为的检测则通过学习正常系统行为的模式，来发现异常行为。

这种方法更适用于未知攻击的检测，但也容易受到误报或漏报的困扰。

2. 电力系统网络安全保护技术2.1 网络安全架构设计电力系统的网络安全架构应该具备以下几个方面的特征：安全策略、网络隔离、访问控制、安全监测和日志管理等。

安全策略用于明确网络安全的目标和政策；网络隔离将电力系统内部网络与外部网络分离开，以防止潜在攻击者入侵；访问控制则是管理系统内部的权限和访问规则；安全监测和日志管理负责检测异常行为，并记录日志以供事后分析。

2.2 数据加密与防护电力系统中的数据加密与防护是保护敏感数据安全的重要手段。

对传输的数据进行加密可以防止黑客窃取信息，对数据库中的数据进行加密可以防止未经授权的访问。

此外，使用防火墙、入侵防御系统和反病毒软件等工具也有助于提高数据的安全性。

3. 综合安全保护解决方案鉴于电力系统的复杂性和对安全性的高要求，推荐采用综合安全保护解决方案。

数据挖掘技术在入侵检测领域的应用

整个体系结构包含了传感器，检测器，个数据仓库以一及一个模型生成器组件。这个体系结构不仅支持数据的收
每类若干样本的数据信息，将这些数据分为训练样本集和测试样本集两部分，然后经过训练、测试和算法应用３个阶段来构造代码分类器。在训练阶段，分析训练样本集合中的数据记录的特征属性，通过特征抽取，总结出分类的规律
的，字或符号的。在这个结构体系中，模型可以是神经数其网络模型、规则集模型或概率模型。为了处理这种异
生成精确的分类规则描述，就是分类的映射规则。在测也试阶段，利用这些分类规则对测试样本集合中的数据进行测试，来检验分类规则的正确性和精度，并根据测试结果，
ＬｒｅＩｍｔａｇｅＳｅ）：ｔ
一
个映射的过程，类器将未标明类别的二进制代码映射分
到不同的类别中，用数学公式表示如下：
ｆ：
凿
图１
其中，为待分类的代码集合，为分类体系中的类别ＡＢ
集合。构造分类器是进行分类的关键。分类器的构造方法
器ｐ
行机器学习，从而构造出代码分类器，在遇到新人侵时，就可以运用这个分类器对实际数据进行分类，确定入侵的类
别。一般来说，试阶段的代价远远低于训练阶段。测
对分类模型进行评估主要用到下列指标：一是预测精度，分类器正确预测新的或先前未见过的数据类的能力：二是学习效率，产生和使用分类器的时间：三是健壮性，给定

粗糙集属性约简在入侵检测系统中的应用

关键词：粗糙集；据挖掘；性约简；侵检测数属入
中图分类号：Ｐ７．２Ｔ２１８
文献标识码：Ａ
文章编号：０４８（００００４０１８－６１２１）２— ０７— ３０
近年来，算机和网络基础设施，别是各种计特官方机构的网站，断受到黑客的攻击，种人侵不各事件层出不穷．一些传统的网络安全技术，如访问控制机制、密、火墙等已不能满足网络安全的加防要求，逐渐成熟起来的入侵检测系统（ｎｒｓｎ而ＩｔｉｕｏＤｔｔｎＳｓｍ，ｅｅｉｙｔ简称为ＩＳ则为我们提供了又一ｃｏｅＤ）重保障．数据挖掘在人侵检测中的应用，旨在对海量的安全审计数据进行智能化处理，图从大量数试据中提取人们感兴趣的数据信息，与安全相关的及系统特征属性，立基于数据挖掘的入侵检测模建型，括数据源选择、据预处理、法选择、建包数算创数据挖掘模型、掘结果分析处理及其可视挖化等，．由于入侵检测系统采集的数据量是巨大的，因此对采集的数据采用分等级多次抽样的方法获取信息系统表．粗糙集理论作为一种新的数据挖掘工具，在处理不确定性知识方面有着突出的优势．用粗集理论的属性约简方法对样本信息系统进行预处理，除冗余的属性，而得到入侵检测数据的删从决策规则，进而判断流经网络的数据包的安全与否．

基于粗糙集数据挖掘和分类集成学习的网络入侵检测模型

维普资讯
第２３卷第４期
２００６年４月
计算机应用与软件
ＣｏｕｅｐｉａｉｎｎｏｔｒｍｐｔｒＡｐｌｃｔｏｓａｄＳｆｗａｅ
Ｖｏ．３，．１ｃＥｓｍｂｅＬａｎｎｅｈｏｏｙｉｎｆｔｅｉｏｔｎｅｅｒｈｄｒｃｉｎｎｉｔｌｇｎｅｗｏｋｉｔｓｏｅｅｔｎ．ｓｄｏｎｅｌｅｒｉｇｔｃｎｌｇｓｏｅｏｈｍｐｒｔｒｓａｃｉｔｓｉｎｅｌｅｔｎｔｒｎｒｉｎｄｔｃｉｓＢａｅｎａｅｏｉｕｏ
ＫｅｗｏｄｙｒｓＮｅｗｏｋｉｔｕｉｎｄｔｃｉｎＲｏｇｅＤａａｍｉｉｇＥｎｅｌｅｒｉｇｔｒｎｒｓｏｅｅｔｏｕｈｓｔｔｎｎｓｍｂｅｌａｎｎ
模方法和算法设计提供信息和指导。本文在上述基础上提出基
ａｄＥｓｍｂｅＬａｎｎｓｐｏｏｅ，ｈｃａｍｐｏｅｔｅｄｔｃｉｎｒｔｎａｅａｖｎａｅｏｇｅｔｎｎｕｈａｉｈｍｏ — ｎｎｅｌｅｒｉｇｉｒｐｓｄｗｉｈｃｎｉｒｖｅｅｔａｅａｄｈｓｔｄａｔｇｓｏＲｕｈＳｔｈｏｈｆＤａａＭｉｉｇｓｃｓｈｇｄｅｘｌｎｔｎ，ａｕｅｒｎｉｇａｄｉｒｃｓｎｏｍａｉｎａａｔｎｅｃｌｅｐａａｉｆｔｒａｋｎｎｍｐｅｉｅｉｆｒｔｄｐｉｔ．ｏｅｏｏ
特性同时结合了粗糙集能够处理不确定信息、生成规则具有高
解释性、特征排序在获得检测规则前完成等优点。

数据挖掘技术在入侵检测系统中的应用

随机的数据集中识别有效的、新颖的、潜在有用的，以及最终可理解的模式的过程。它是一门涉及面很广的交叉学科，包括机器学习、数理统计、神经网络、数据库、模式识别、
粗糙集、模糊数学等相关技术。将数据挖掘技术应用于入侵检测能够广泛地审计数据来得到模型，从而精确地捕获实际的入侵和正常行为模式。这
流，有利于建造适应性强的入侵检测系统。入侵检测领域的一个研究重点是在收集到网络的原始数据后，如何从大量的原始数据属性中有效地区分正常行为和异常行为，以及如何自动有效地生成入侵规则。要完成这项工作必须研究各种数据挖掘算法，例如关联分析数据挖掘算法、序列分析数据挖掘算法、分类分析数据挖掘算法等等。关联分析数据挖掘算法可用于发现网络连接记录各属性之间的关系，序列分析数据挖掘算法能发现网络连接记录问的时序关系。使用关联分析数据挖掘和序列分析数据挖掘算法可以得到正常行为的模式，用于异常入侵检测。分类分析数据挖掘算法可以从训练数据中挖掘出能识别出正常行为和入侵行为的规则。
这种行为是入侵。这种检测模型误报率低，但漏报率高。对于已知的攻击，它可以详细、准确地报告出攻击类型，但是对未知攻击却效果有限，而且特征库必须不断更新。个优秀的入侵检测系统应具有有效性、自适应性和可扩展性，常用的入侵检测系统多属于基于规则的误用检测，

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

I SS N 100829446C N1321265/TE 承德石油高等专科学校学报Journal of Chengde Petr oleu m College 第10卷第1期,2008年3月Vol .10,No .1,M ar .2008基于数据挖掘和粗糙集的入侵检测系统在电力网络中的应用刘翠娟1,衡军山2,昶晶炜3(1.石家庄经济学院信息工程学院,河北石家庄　050031;2.承德石油高等专科学校计算机与信息工程系,河北承德　067000;3.承德市园林管理处,河北承德　067000)摘要:根据电力系统的网络安全风险的特点,简要介绍各技术层面的解决办法,重点设计了网络层中入侵检测系统应用的部署和结构。

在中心控制台采用基于数据挖掘和粗糙集的网络入侵检测系统,结合滥用检测和异常检测方法,并给出体系结构和模型建立的过程。

关键词:电力系统;信息安全;入侵检测;数据挖掘中图分类号:T M711 文献标识码:B 文章编号:100829446(2008)0120030204Appli ca ti on of I n trusi on D etecti on System Ba sed on Da t aM i n i n g and Rough Sets to Electr i c Power NetworkL IU Cui 2juan 1,HENG Jun 2shan 2,CHANG J ing 2wei 3(1.College of I nf or mati on Engineering,Shijiazhuang University of Econom ics,Shijiazhuang 050031,Hebei,China;2.Depart m ent of Computer and I nf or mati onEngineering,Chengde Petr oleu m College,Chengde 067000,Hebei,China;3.Chengde Garden Adm inistrati on,Chengde 067000,Hebei,China )Abstract:I n vie w of the characteristics of net w ork security of electric power syste m ,the s oluti on of each technical as pect is briefly intr oduced,and the dep l oy ment and structure of I ntrusi on Detecti on Syste m in the net w ork layer is designed .I n the center cons ole,the net w ork I D S based on data m ining and r ough sets is used,t ogether with m isuse detecti on and anomaly detecti on methods,and the architecture and modeling p r ocess are p resented .Key words:electric power syste m;inf or mati on security;intrusi on detecti on;data m ining 收稿日期:2007211222 作者简介:刘翠娟(1980-),女,河北宁晋人,石家庄经济学院助教,硕士研究生,主要研究方向是数据挖掘与软件工程。

1　电力系统信息安全分析由于网络技术的普及和市场化的需要,开放、互连、标准化已成为电力工业中业务系统发展的必然趋势[1]。

电力信息网络采用与公共网类似的组网技术,公共网存在的安全问题也存在于电力信息网中。

随着电力系统的大规模网络化和应用的逐渐增多,电力系统也越来越依赖于信息系统,与外部世界的信息交流也越来越频繁,按照信息数据重要性的不同可将电力系统信息分为4个级别[2]:一级信息和电力系统运行安全直接相关,二级信息和财务相关,三级和内部重要管理相关,四级是一般信息。

电力系统信息网络的安全实施是一个系统工程,安全问题涉及身份认证、访问控制、数据保密性、数据完整性、抗　刘翠娟,等:基于数据挖掘和粗糙集的入侵检测系统在电力网络中的应用抵赖、审计、可用性和可靠性等多种基本的安全服务,对于关系到国计民生的电力系统而言,如何才能保证电力系统安全稳定的运行,是一个重大的战略问题。

信息安全威胁可以分为外部威胁和内部威胁2种。

内部威胁非常严重,因为内部人员对系统、应用、网络结构非常了解,很容易采用合适的攻击工具进行权限提升和数据窃取、破坏等活动。

这种活动还往往发生在电力公司和管理机构的内联网中,如下级对上级部门的恶意攻击、部门之间的攻击等,而外部威胁主要是指非内部人员的攻击行为。

为了保证网络系统的安全,就需要有一种能够及时发现并报告系统中未授权或异常现象的技术,即入侵检测系统(I ntrusi on Detecti on Syste m ,I D S ),它可在一定程度上预防和检测来自系统内、外的入侵。

2　入侵检测技术入侵检测系统是近十多年来发展起来的新一代动态安全防范技术,它通过对计算机网络或系统中若干关键点来收集数据,并对其进行分析,从而发现是否有违反安全策略的行为和被攻击的迹象。

从检测策略上说,入侵检测技术可以分为2类:滥用检测(M isuse Detecti on )和异常检测(Anomaly Detecti on )。

滥用检测是利用已知的入侵方法和系统的薄弱环节识别非法入侵。

该方法的核心是建立并维护一个入侵模式库,主要缺点为:由于所有已知的入侵模式都被植入系统中,所以,一旦出现任何未知形式的入侵,都无法检测出来。

但该方法的检测效率较高。

异常检测则是首先建立系统或用户的正常行为模式库,通过检查当前用户行为是否与已建立的正常行为轮廓相背离来鉴别是否有非法入侵或越权操作。

该方法的优点是无需了解系统缺陷,适应性较强,但发生误报的可能性较高。

数据挖掘技术应用于入侵检测系统中的优点在于从海量的计算机网络数据流中自动产生精确的适用的检测模型,使得构建规则库的过程自动化,减少人工干预成分。

很适合电力系统网络的数据量大、数据来源差别大的环境。

哥伦比亚大学W enke Lee [2]研究组将数据挖掘中的关联规则挖掘、序列模式挖掘和分类算法应用于入侵检测系统,检测效果不错。

3　网络系统模型结构从技术层面分析,电力系统的安全可以从物理层、网络层、系统层和数据层来进行部署。

在物理层主要考虑自然灾害以及物理运行环境等因素,可以通过建立数据备份和容灾体系解决,选择合理的备份设备,制定相应的备份策略;数据层主要考虑数据在存储和传输中的安全,可以通过数据通信加密,通信信道专有协议等方式解决;系统层主要考虑操作系统和应用系统的安全性,主要依靠专用的操作系统安全加固软件实现,并设置操作系统的安全机制,对关键操作系统实现管理员权限限制。

网络层是攻击发起的重要途径,也是安全防范的重点。

因此必须组建科学严密的防火墙体系,并在关键位置装入入侵检测系统,以有效地提高攻击者进入网络系统的门槛。

为了适应网络的复杂结构,将传感器安装在网络多个关键位置,形成分布式入侵检测系统(D istribute I D S )。

现有的很多D I D S 只是在各地收集检测数据,再重新汇集到中心控制台进行分析,这就要求高速的数据通信网络,对于数据量特别大且实时性要求较高的系统,这是一个瓶颈。

数据源的丰富,数据处理的复杂,以至传统的传感器—中心控制台2层分布式体系结构已不能适应网络的快速发展。

将数据综合到一个集中的平台是不现实的,考虑数据的私有性、保密性以及传输速度太慢,仅仅把各地的可疑数据汇集到中心控制台。

本系统实现各部分单独处理与集中分析相结合的方法检测入侵行为,在传感器和中心控制台中间加一层,作为分析器,接收多个传感器的数据,进行实时高效分析。

在重点保护区域(如调度自动化系统等),可以单独部署一套网络监控系统(传感器+分析器),在每个需要保护的地方单独部署一个传感・13・承德石油高等专科学校学报2008年第10卷　第1期　器,结果都传到中心控制台集中管理。

传感器获取的原始数据经过预处理之后送到分析器,分析器的主要任务是处理从传感器送来的数据,并且使用滥用检测模型来评判这些数据是否是攻击。

分析器的另一个任务就是将结果送到中心控制台中留作以后的分析和报告,对于滥用检测评判不了的可疑数据也将传到中心控制台,作为下一步进行异常检测的重要数据。

中心控制台由于可以利用来源于不同的入侵检测系统的数据和长期以来收集的数据,使得对复杂的和大规模的分布式攻击的检测成为了可能,也更有利于发现新的入侵模式,然后更新到下一级的入侵模式库中。

系统的核心是中心控制台,它通过入侵模式库迅速的判断来自传感器的用户数据是否攻击,把评估结果提交管理员控制,对于暂时不是攻击的数据记录,作为历史数据参与到异常检测的用户行为构建中。

中心控制台采用的基于数据挖掘的网络入侵检测系统的模型,其结构如图1。

3.1　训练阶段训练阶段建立入侵模式库和历史行为库,各个模块如下:1)预处理:对收集的数据进行过滤、格式转换、离散化等处理,生成粗糙集可以处理的决策表结构。

2)粗糙集约简:在保持条件属性相对于决策属性的分类能力不变的情况下,删除其中不必要的或不重要的属性,减小数据挖掘原始数据的维度。

3)规则挖掘:利用各种成熟的数据挖掘算法对粗糙集约简后的数据进行分析,从中提取特征、规则等有用的知识。

4)规则合并:为了减少规则的数量,提高匹配的效率,将规则尽量合并。

5)入侵模式库:存放已知的异常模式,根据模式匹配算法将待检测的行为特征与入侵模式库中的模・23・　刘翠娟,等:基于数据挖掘和粗糙集的入侵检测系统在电力网络中的应用式进行比较,做出判断并给出相应的响应报警,如果是入侵行为,则应向系统报警;如果是许可行为,则进入异常检测阶段。

6)用户历史行为库:存放用户的历史行为模式,比较当前行为和历史行为的偏差值,超过某一阈值则判定为异常并报警,否则更新历史行为库。

3.2　监控检测入侵阶段从传感器收集的数据经过预处理,筛选出训练阶段粗糙集所约简的属性集合,和入侵模式库中的每个规则进行匹配,若匹配上,则响应报警;否则说明此次数据不是已知攻击。

进入检测的第2个阶段,计算和用户历史行为的距离,若该距离超过某一阈值则认为是新的可疑或攻击行为,以做出相应的响应。

每次行为数据都要修改入侵模式库或历史行为库,保证各个库中模式的动态更新,来适应用户行为的变化。