摘  要： 如何保證電力系統自身的安全可靠運行、防止惡意攻擊以及加強入侵檢測功能等，已成為電力企業信息化建設過程中需要關注的問題。結合電力行業的實際應用，設計了一種專門應用于電力系統的入侵檢測云安全模型（C-DIDS），該模型結合多重檢測技術，在分析設備引擎中使用了三級檢測方法，并且在分析設備中添加了信息完整性分析策略，通過不同云安全管理區中的監視設備進行交互通信，從而加強了整個電力系統入侵檢測系統的綜合防范能力。

　　關鍵詞： 入侵檢測；多重檢測技術；信息完整性分析；云安全；電力系統

　　傳統的入侵檢測系統（IDS）是指依據一定的安全策略，通過軟硬件等相關措施對網絡或系統的運行狀況進行實時監控，盡可能發現違反安全策略的行為和被攻擊的對象，以保證網絡或系統資源的機密性、完整性以及可用性。

　　IDS依據不同的側重點可以分為不同的入侵檢測類型與方式：依據數據檢測類型可劃分為異常檢測、數據完整性檢測以及濫用檢測等；依據檢測收集到的數據來源可分為網絡型、主機型以及應用型入侵檢測系統等。這些入侵檢測技術各有優劣勢，單一使用這些檢測技術達不到理想要求，不能滿足電力系統的安全需求，并且面對日益復雜的電力系統網絡構造體系、電力系統分布式環境以及來自各方面的惡意攻擊等，使得集中式IDS不能滿足電力系統網絡安全的需求。因此分布式網絡IDS已被應用于電力系統中。

　　現有的分布式網絡IDS大同小異，通過分布式審計相關信息，統一傳送到一個設備區域中進行審計分析。盡管可以通過一定條件的數據信息過濾機制，但是由于采取的審計分析機制較為封閉，其擴展性能受到壓制。為了解決相關IDS拓展性問題，各國學者都展開了大量研究，同時提出了不少入侵檢測模型，如：AAFID[1]、EMERALD[2]等。另外，除了IDS拓展性需要改善之外，為了使不同IDS之間的交互性與共享性有所提高，又提出了相關入侵檢測框架結構（CIDF）[3]。

　　對于電力系統，由于以上大模型不能實現分布式入侵檢測功能，而且采取的檢測方式與手段較為單一，不能完全檢測到各種惡意行為與攻擊源，因此，通過將多種檢測技術統一融合，采取多重檢測方式以應對電力系統綜合防范的安全問題。本文在基于“云安全”[4]的理論基礎之上，提出了專門應用于電力系統的分布式入侵檢測云安全模型（C-DIDS）。

　　1 C-DIDS模型

　　在電力系統云安全檢測輔助管理信息平臺的基礎之上，分布式入侵檢測云安全系統模型(C-DIDS)功能是：檢測電力系統分布式環境下的各種惡意攻擊與行為；檢測電力系統分布式協同作用下的各種惡意攻擊與行為。為了達到這兩個目標，該入侵檢測模型對各種入侵檢測方式與手段進行了一定的改進與提升。模型的體系結構如圖1所示。

　　（1）電力系統云安全檢測輔助管理信息平臺

　　即入侵檢測信息安全策略輔助支撐平臺[5]。在整個電力系統分布式入侵檢測過程中，需要有一個公共的數據信息輔助管理信息平臺，用于入侵檢測數據信息的統一管理與處理，并對整個電力系統檢測其入侵與攻擊行為提供安全依據與策略。

　　（2）用戶交互接口(入侵檢測控制臺)

　　該接口使用戶可以實時觀察入侵檢測系統中的輸出數據與信號，并且對其進行相應監測與處理。為了便于統一管理與可操作性，應選擇可視化效果較好的用戶交互界面進行控制。

　　（3）監控設備(監視器)

　　從分析設備中提取到相關入侵攻擊與行為的分析數據信息，經過綜合過濾后將相關結果信息發送給安全管理員。通過安全管理員來監控分析設備，并對其警告事件作出實時響應。為了能夠與其他區域保持相互交互通信能力，在監控設備中添加了通信交互模塊。

　　（4）感應設備(感應器)

　　主要用于感應搜索相關的初始數據信息(如網絡、系統等用戶活動的行為與狀態信息)，通過一定條件的過濾與整合之后發送給分析設備。其工作重心是將各感應設備搜集到的初始數據信息按照相應模型體系結構下的規格類型分類，然后依據不同類型(如入侵事件攻擊與行為類型、時間段、源IP、目的IP等)，對入侵檢測報告信息進行關聯，這樣就能夠發現同攻擊源下的多目標行為與攻擊。在這個環節中，初始數據信息經過一定預處理與過濾操作，使得在分析設備中的數據信息已經得到了最大化的精簡以及分析設備在工作量上得到一定的減少。在C-DIDS模型中，有以下3種感應設備：①網絡型感應器，主要是基于網絡檢測的，從網絡范圍內的數據信息流量中獲得相關數據信息；②主機型感應器，用于主機檢測，其獲取相關數據信息主要是通過系統日志等；③應用型感應器，用于應用程序檢測，通過應用程序與軟件操作獲取相關數據信息。如何具備這3個感應器的技術與能力是該模型結構實現的難點。前兩種感應技術目前相對比較成熟，第三種由于應用程序的多樣性，單獨針對每一種應用程序開發相對應的入侵檢測機制幾乎是不可能實現的。但可以通過應用程序執行過程中保存下來的系統日志文件獲取相關數據信息，解決一定量的針對應用軟件的攻擊與行為。因此，通過綜合分析，可以對系統網絡階段中幾個重要的應用程序設置相關感應設備，不僅可以降低一定工作量，也能具備一定的入侵檢測能力。

　　（5）分析設備(分析檢測引擎)

　　對從感應設備中發送過來的數據信息進行相關抽象分析與處理，判斷是否有入侵攻擊活動與行為。其輸出為入侵檢測警告信息。此環節是整個C-DIDS模型的重點與關鍵部分，其重要性直接影響入侵檢測系統的性能。與感應設備相對應，C-DIDS模型共有3種分析設備：①網絡型分析器，數據信息流量主要是通過在系統網絡之間相互通信的數據信息包來獲取相關網絡的行為與狀態信息；②主機型分析器，從主機型感應設備中接收相關數據信息，從而獲取主機上的相關攻擊行為與狀態信息；③應用型分析器，從應用型感應設備中獲取相關數據信息，并對其進行分析與處理。不管是哪一種分析檢測引擎，一般都采用以下3種分析檢測技術：異常檢測、數據完整性檢測與濫用檢測。對于不同的分析檢測技術，使用場合與優缺點各不相同。如異常檢測技術可以檢測到未知、復雜的入侵攻擊與行為，但錯誤率較高，可信度較低；濫用檢測正好相反，精確性和可信度都較高，但不能檢測到較為復雜或未知的入侵攻擊與行為；數據完整性檢測使用以Hash算法為理論基礎的信息標記算法作為判斷入侵檢測攻擊與行為的檢測算法，其關注的是系統文件或數據信息是否被篡改、替換等，只要是對其發生改變的入侵攻擊與行為都能夠被發現，但數據完整性檢測進行的是事后檢測分析，不能實時響應操作。由于這3種分析檢測技術都有不同的適用場合，因此對其綜合使用，得到一種分析檢測引擎結構，如圖2所示。

　　在上述分析檢測引擎結構模型中，由于部分入侵攻擊和行為與歷史內容或數據信息響應有關，因此分析引擎包括三級檢測，保證檢測引擎不遺漏任何一種入侵攻擊與行為。

　　一級檢測：其主要功能是搜集一個或多個感應設備傳送過來的可疑攻擊或行為信息，通過多重檢測技術提高精準性。

　　二級檢測：主要是針對數據信息響應有關的攻擊與行為。由于在一級檢測之后，系統對有關數據信息產生響應，在二級檢測中，綜合相關庫信息，發現不同類型的入侵檢測攻擊與行為。

　　三級檢測：其主要作用是為了檢測到與歷史內容數據信息有關的攻擊與行為。經過一、二級檢測之后，生成了相關歷史內容信息庫，因此在三級檢測中，綜合多個信息庫，通過處理與分析，可以發現時間上較為分散的多步驟復雜行為攻擊等。如：系統發現分布式DOS攻擊，分析檢測引擎判斷其是否是一次簡單的入侵攻擊行為，需要在時間段上與相關數據信息關聯，才能獲取精準的分析結果。

　　2 實施過程

　　在一個需要監控的云安全管理區中存儲一個監控設備，可以使用一臺主機或客戶端設備作為一個監控設備，此外，也可以將其嵌入到一臺主機中。在這些云安全區域中，設置多個不同類型的感應設備，用于該區域中初始數據信息的搜集，然后對其重組、整合、過濾之后傳送給相對應的分析檢測引擎。

　　在每一種不同的分析檢測引擎中，為了提升電力系統入侵檢測系統的性能，都采用了3種分析檢測技術(即數據完整性檢測技術、異常檢測技術以及誤用檢測技術)。對于一些在電力系統云安全檢測輔助管理信息平臺中存儲的已知攻擊與行為，可在歷史內容信息庫中查尋到相關入侵攻擊方式與行為狀態相對應的匹配數據信息。利用此類手段可以事先檢測出一些入侵檢測攻擊與行為。如一個request請求到一臺server上的“/git-bin/word”，很可能斷定這是一個入侵攻擊者正在尋求系統的GIT漏洞風險。為了可以檢測到一些未知的、時刻都在變化的入侵攻擊與行為，可以在IDS中融合異常檢測技術，查尋其行為狀態是否保持在正常規定區域指標內，用此手段檢測電力系統云安全檢測輔助管理信息平臺中未存在的入侵攻擊與行為，然后通過分布式批處理手段定時定量地對其對象進行數據完整性分析。如果入侵攻擊者在Unix系統中增加一個用戶角色，/ipc/etect/password文件中的數據信息標記就會相應得到改變，安全管理人員就能發現這個文件被修改了，若入侵攻擊者本人未增加新的授權角色，就會出現一定問題。針對不同的入侵攻擊與行為，采用以上3種分析檢測技術，其系統入侵檢測能力都得到了提升。與此同時，采用多重檢測技術，不僅能夠檢測到與歷史內容、上下文相關的攻擊行為，也能夠與數據信息響應庫相呼應。

　　在多重檢測技術的統籌規劃應用方面，可依據融合理論基礎劃分適用于不同攻擊與行為類型的檢測技術，如Nai′ve-Bayes“trainable”fusion rule,將多重檢測技術獲取的相關結果整合之后發送給監控設備。

　　對于每一個監控設備所搜集的分析檢測引擎的數據信息，若是本區域的直接攻擊或行為，監控設備可以直接向安全管理人員報警并作出響應與反饋；若是其他區域的間接攻擊或行為，監控設備不能確定該對象是否具有攻擊行為或狀態時，就可以通過相關通信模塊與其他區域中的內部監控設備進行溝通，協同操作，通過統一整合分析與處理，獲取最終結果。

　　3 功能分析

　　由于在電力系統分布式環境下，C-DIDS模型采用多重檢測技術，結合基于不同類型的監控設備、感應設備以及分析檢測引擎等，因此該模型使得入侵檢測功能大大提高，主要包含以下優點：(1)各監控設備之間采用開放式分析方式進行交互通信，避免了集中式分析方式的不足；(2)采用數據完整性檢測技術，使電力系統入侵檢測功能更加完善、精準；(3)能夠實時檢測電力系統分布式協同作用下的入侵攻擊行為與狀態；(4)感應設備輸出的數據信息都經過一定條件過濾，降低了分析設備的工作量；(5)為了保證能夠檢測到更多入侵攻擊與行為，專門設置了針對于應用程序的分析設備，從而為電力系統中一些關鍵的應用程序與軟件提供了安全保護；(6)能夠對數據信息響應與歷史內容上下文相關的攻擊與行為作出精準的入侵分析；(7)提供了一個公共支撐系統，即云安全檢測輔助管理信息平臺，提高了電力系統入侵檢測系統的完善性、高效性以及可靠性等。

　　本文提出了一種專門應用于電力系統分布式環境下的入侵檢測云安全模型，即C-DIDS模型。該入侵檢測模型以電力系統云安全檢測輔助管理信息平臺為公共支撐系統，采用了多重檢測技術，在分析設備引擎中使用了三級檢測方法，并且在分析設備中添加了信息完整性分析策略，通過不同云安全管理區中的監視設備進行交互通信，在理論上能夠獲得很好的安全檢測效果。然而該模型在入侵檢測精準性與電力系統整體性能平衡度方面未設置相關標準，還有待于繼續探索與研究。

　　參考文獻

　　[1] PORRAS P P，NEUMANN P G.EMERALD：event monitor-ing enabling response to anomalous live disturbances[C].The20th National Information System Security Conference，US，1997：353-363.

　　[2] SPAFFORD E H，ZAMBONI D.Intrusion detection using automomous agents[J].Computer Networks，2000，34(3)：547-570.

　　[3] 趙麗，孫敏.一種融合多檢測技術的分布式入侵檢測模型[J].計算機工程，2005，31(9)：203-209.

　　[4] 許蓉，吳灝，張航.“云安全”檢測技術安全性分析[J].計算機工程與設計，2012，33(9)：112-120.

　　[5] 李志永，黃玉劃，畢媛媛.基于云安全的入侵檢測模型[C].南京：第六屆中國信息和通信安全學術會議（CCICS），2009.