摘  要： 如何保證電力系統(tǒng)自身的安全可靠運行、防止惡意攻擊以及加強(qiáng)入侵檢測功能等，已成為電力企業(yè)信息化建設(shè)過程中需要關(guān)注的問題。結(jié)合電力行業(yè)的實際應(yīng)用，設(shè)計了一種專門應(yīng)用于電力系統(tǒng)的入侵檢測云安全模型（C-DIDS），該模型結(jié)合多重檢測技術(shù)，在分析設(shè)備引擎中使用了三級檢測方法，并且在分析設(shè)備中添加了信息完整性分析策略，通過不同云安全管理區(qū)中的監(jiān)視設(shè)備進(jìn)行交互通信，從而加強(qiáng)了整個電力系統(tǒng)入侵檢測系統(tǒng)的綜合防范能力。

　　關(guān)鍵詞： 入侵檢測；多重檢測技術(shù)；信息完整性分析；云安全；電力系統(tǒng)

　　傳統(tǒng)的入侵檢測系統(tǒng)（IDS）是指依據(jù)一定的安全策略，通過軟硬件等相關(guān)措施對網(wǎng)絡(luò)或系統(tǒng)的運行狀況進(jìn)行實時監(jiān)控，盡可能發(fā)現(xiàn)違反安全策略的行為和被攻擊的對象，以保證網(wǎng)絡(luò)或系統(tǒng)資源的機(jī)密性、完整性以及可用性。

　　IDS依據(jù)不同的側(cè)重點可以分為不同的入侵檢測類型與方式：依據(jù)數(shù)據(jù)檢測類型可劃分為異常檢測、數(shù)據(jù)完整性檢測以及濫用檢測等；依據(jù)檢測收集到的數(shù)據(jù)來源可分為網(wǎng)絡(luò)型、主機(jī)型以及應(yīng)用型入侵檢測系統(tǒng)等。這些入侵檢測技術(shù)各有優(yōu)劣勢，單一使用這些檢測技術(shù)達(dá)不到理想要求，不能滿足電力系統(tǒng)的安全需求，并且面對日益復(fù)雜的電力系統(tǒng)網(wǎng)絡(luò)構(gòu)造體系、電力系統(tǒng)分布式環(huán)境以及來自各方面的惡意攻擊等，使得集中式IDS不能滿足電力系統(tǒng)網(wǎng)絡(luò)安全的需求。因此分布式網(wǎng)絡(luò)IDS已被應(yīng)用于電力系統(tǒng)中。

　　現(xiàn)有的分布式網(wǎng)絡(luò)IDS大同小異，通過分布式審計相關(guān)信息，統(tǒng)一傳送到一個設(shè)備區(qū)域中進(jìn)行審計分析。盡管可以通過一定條件的數(shù)據(jù)信息過濾機(jī)制，但是由于采取的審計分析機(jī)制較為封閉，其擴(kuò)展性能受到壓制。為了解決相關(guān)IDS拓展性問題，各國學(xué)者都展開了大量研究，同時提出了不少入侵檢測模型，如：AAFID[1]、EMERALD[2]等。另外，除了IDS拓展性需要改善之外，為了使不同IDS之間的交互性與共享性有所提高，又提出了相關(guān)入侵檢測框架結(jié)構(gòu)（CIDF）[3]。

　　對于電力系統(tǒng)，由于以上大模型不能實現(xiàn)分布式入侵檢測功能，而且采取的檢測方式與手段較為單一，不能完全檢測到各種惡意行為與攻擊源，因此，通過將多種檢測技術(shù)統(tǒng)一融合，采取多重檢測方式以應(yīng)對電力系統(tǒng)綜合防范的安全問題。本文在基于“云安全”[4]的理論基礎(chǔ)之上，提出了專門應(yīng)用于電力系統(tǒng)的分布式入侵檢測云安全模型（C-DIDS）。

　　1 C-DIDS模型

　　在電力系統(tǒng)云安全檢測輔助管理信息平臺的基礎(chǔ)之上，分布式入侵檢測云安全系統(tǒng)模型(C-DIDS)功能是：檢測電力系統(tǒng)分布式環(huán)境下的各種惡意攻擊與行為；檢測電力系統(tǒng)分布式協(xié)同作用下的各種惡意攻擊與行為。為了達(dá)到這兩個目標(biāo)，該入侵檢測模型對各種入侵檢測方式與手段進(jìn)行了一定的改進(jìn)與提升。模型的體系結(jié)構(gòu)如圖1所示。

　?。?）電力系統(tǒng)云安全檢測輔助管理信息平臺

　　即入侵檢測信息安全策略輔助支撐平臺[5]。在整個電力系統(tǒng)分布式入侵檢測過程中，需要有一個公共的數(shù)據(jù)信息輔助管理信息平臺，用于入侵檢測數(shù)據(jù)信息的統(tǒng)一管理與處理，并對整個電力系統(tǒng)檢測其入侵與攻擊行為提供安全依據(jù)與策略。

　　（2）用戶交互接口(入侵檢測控制臺)

　　該接口使用戶可以實時觀察入侵檢測系統(tǒng)中的輸出數(shù)據(jù)與信號，并且對其進(jìn)行相應(yīng)監(jiān)測與處理。為了便于統(tǒng)一管理與可操作性，應(yīng)選擇可視化效果較好的用戶交互界面進(jìn)行控制。

　?。?）監(jiān)控設(shè)備(監(jiān)視器)

　　從分析設(shè)備中提取到相關(guān)入侵攻擊與行為的分析數(shù)據(jù)信息，經(jīng)過綜合過濾后將相關(guān)結(jié)果信息發(fā)送給安全管理員。通過安全管理員來監(jiān)控分析設(shè)備，并對其警告事件作出實時響應(yīng)。為了能夠與其他區(qū)域保持相互交互通信能力，在監(jiān)控設(shè)備中添加了通信交互模塊。

　?。?）感應(yīng)設(shè)備(感應(yīng)器)

　　主要用于感應(yīng)搜索相關(guān)的初始數(shù)據(jù)信息(如網(wǎng)絡(luò)、系統(tǒng)等用戶活動的行為與狀態(tài)信息)，通過一定條件的過濾與整合之后發(fā)送給分析設(shè)備。其工作重心是將各感應(yīng)設(shè)備搜集到的初始數(shù)據(jù)信息按照相應(yīng)模型體系結(jié)構(gòu)下的規(guī)格類型分類，然后依據(jù)不同類型(如入侵事件攻擊與行為類型、時間段、源IP、目的IP等)，對入侵檢測報告信息進(jìn)行關(guān)聯(lián)，這樣就能夠發(fā)現(xiàn)同攻擊源下的多目標(biāo)行為與攻擊。在這個環(huán)節(jié)中，初始數(shù)據(jù)信息經(jīng)過一定預(yù)處理與過濾操作，使得在分析設(shè)備中的數(shù)據(jù)信息已經(jīng)得到了最大化的精簡以及分析設(shè)備在工作量上得到一定的減少。在C-DIDS模型中，有以下3種感應(yīng)設(shè)備：①網(wǎng)絡(luò)型感應(yīng)器，主要是基于網(wǎng)絡(luò)檢測的，從網(wǎng)絡(luò)范圍內(nèi)的數(shù)據(jù)信息流量中獲得相關(guān)數(shù)據(jù)信息；②主機(jī)型感應(yīng)器，用于主機(jī)檢測，其獲取相關(guān)數(shù)據(jù)信息主要是通過系統(tǒng)日志等；③應(yīng)用型感應(yīng)器，用于應(yīng)用程序檢測，通過應(yīng)用程序與軟件操作獲取相關(guān)數(shù)據(jù)信息。如何具備這3個感應(yīng)器的技術(shù)與能力是該模型結(jié)構(gòu)實現(xiàn)的難點。前兩種感應(yīng)技術(shù)目前相對比較成熟，第三種由于應(yīng)用程序的多樣性，單獨針對每一種應(yīng)用程序開發(fā)相對應(yīng)的入侵檢測機(jī)制幾乎是不可能實現(xiàn)的。但可以通過應(yīng)用程序執(zhí)行過程中保存下來的系統(tǒng)日志文件獲取相關(guān)數(shù)據(jù)信息，解決一定量的針對應(yīng)用軟件的攻擊與行為。因此，通過綜合分析，可以對系統(tǒng)網(wǎng)絡(luò)階段中幾個重要的應(yīng)用程序設(shè)置相關(guān)感應(yīng)設(shè)備，不僅可以降低一定工作量，也能具備一定的入侵檢測能力。

　?。?）分析設(shè)備(分析檢測引擎)

　　對從感應(yīng)設(shè)備中發(fā)送過來的數(shù)據(jù)信息進(jìn)行相關(guān)抽象分析與處理，判斷是否有入侵攻擊活動與行為。其輸出為入侵檢測警告信息。此環(huán)節(jié)是整個C-DIDS模型的重點與關(guān)鍵部分，其重要性直接影響入侵檢測系統(tǒng)的性能。與感應(yīng)設(shè)備相對應(yīng)，C-DIDS模型共有3種分析設(shè)備：①網(wǎng)絡(luò)型分析器，數(shù)據(jù)信息流量主要是通過在系統(tǒng)網(wǎng)絡(luò)之間相互通信的數(shù)據(jù)信息包來獲取相關(guān)網(wǎng)絡(luò)的行為與狀態(tài)信息；②主機(jī)型分析器，從主機(jī)型感應(yīng)設(shè)備中接收相關(guān)數(shù)據(jù)信息，從而獲取主機(jī)上的相關(guān)攻擊行為與狀態(tài)信息；③應(yīng)用型分析器，從應(yīng)用型感應(yīng)設(shè)備中獲取相關(guān)數(shù)據(jù)信息，并對其進(jìn)行分析與處理。不管是哪一種分析檢測引擎，一般都采用以下3種分析檢測技術(shù)：異常檢測、數(shù)據(jù)完整性檢測與濫用檢測。對于不同的分析檢測技術(shù)，使用場合與優(yōu)缺點各不相同。如異常檢測技術(shù)可以檢測到未知、復(fù)雜的入侵攻擊與行為，但錯誤率較高，可信度較低；濫用檢測正好相反，精確性和可信度都較高，但不能檢測到較為復(fù)雜或未知的入侵攻擊與行為；數(shù)據(jù)完整性檢測使用以Hash算法為理論基礎(chǔ)的信息標(biāo)記算法作為判斷入侵檢測攻擊與行為的檢測算法，其關(guān)注的是系統(tǒng)文件或數(shù)據(jù)信息是否被篡改、替換等，只要是對其發(fā)生改變的入侵攻擊與行為都能夠被發(fā)現(xiàn)，但數(shù)據(jù)完整性檢測進(jìn)行的是事后檢測分析，不能實時響應(yīng)操作。由于這3種分析檢測技術(shù)都有不同的適用場合，因此對其綜合使用，得到一種分析檢測引擎結(jié)構(gòu)，如圖2所示。

　　在上述分析檢測引擎結(jié)構(gòu)模型中，由于部分入侵攻擊和行為與歷史內(nèi)容或數(shù)據(jù)信息響應(yīng)有關(guān)，因此分析引擎包括三級檢測，保證檢測引擎不遺漏任何一種入侵攻擊與行為。

　　一級檢測：其主要功能是搜集一個或多個感應(yīng)設(shè)備傳送過來的可疑攻擊或行為信息，通過多重檢測技術(shù)提高精準(zhǔn)性。

　　二級檢測：主要是針對數(shù)據(jù)信息響應(yīng)有關(guān)的攻擊與行為。由于在一級檢測之后，系統(tǒng)對有關(guān)數(shù)據(jù)信息產(chǎn)生響應(yīng)，在二級檢測中，綜合相關(guān)庫信息，發(fā)現(xiàn)不同類型的入侵檢測攻擊與行為。

　　三級檢測：其主要作用是為了檢測到與歷史內(nèi)容數(shù)據(jù)信息有關(guān)的攻擊與行為。經(jīng)過一、二級檢測之后，生成了相關(guān)歷史內(nèi)容信息庫，因此在三級檢測中，綜合多個信息庫，通過處理與分析，可以發(fā)現(xiàn)時間上較為分散的多步驟復(fù)雜行為攻擊等。如：系統(tǒng)發(fā)現(xiàn)分布式DOS攻擊，分析檢測引擎判斷其是否是一次簡單的入侵攻擊行為，需要在時間段上與相關(guān)數(shù)據(jù)信息關(guān)聯(lián)，才能獲取精準(zhǔn)的分析結(jié)果。

　　2 實施過程

　　在一個需要監(jiān)控的云安全管理區(qū)中存儲一個監(jiān)控設(shè)備，可以使用一臺主機(jī)或客戶端設(shè)備作為一個監(jiān)控設(shè)備，此外，也可以將其嵌入到一臺主機(jī)中。在這些云安全區(qū)域中，設(shè)置多個不同類型的感應(yīng)設(shè)備，用于該區(qū)域中初始數(shù)據(jù)信息的搜集，然后對其重組、整合、過濾之后傳送給相對應(yīng)的分析檢測引擎。

　　在每一種不同的分析檢測引擎中，為了提升電力系統(tǒng)入侵檢測系統(tǒng)的性能，都采用了3種分析檢測技術(shù)(即數(shù)據(jù)完整性檢測技術(shù)、異常檢測技術(shù)以及誤用檢測技術(shù))。對于一些在電力系統(tǒng)云安全檢測輔助管理信息平臺中存儲的已知攻擊與行為，可在歷史內(nèi)容信息庫中查尋到相關(guān)入侵攻擊方式與行為狀態(tài)相對應(yīng)的匹配數(shù)據(jù)信息。利用此類手段可以事先檢測出一些入侵檢測攻擊與行為。如一個request請求到一臺server上的“/git-bin/word”，很可能斷定這是一個入侵攻擊者正在尋求系統(tǒng)的GIT漏洞風(fēng)險。為了可以檢測到一些未知的、時刻都在變化的入侵攻擊與行為，可以在IDS中融合異常檢測技術(shù)，查尋其行為狀態(tài)是否保持在正常規(guī)定區(qū)域指標(biāo)內(nèi)，用此手段檢測電力系統(tǒng)云安全檢測輔助管理信息平臺中未存在的入侵攻擊與行為，然后通過分布式批處理手段定時定量地對其對象進(jìn)行數(shù)據(jù)完整性分析。如果入侵攻擊者在Unix系統(tǒng)中增加一個用戶角色，/ipc/etect/password文件中的數(shù)據(jù)信息標(biāo)記就會相應(yīng)得到改變，安全管理人員就能發(fā)現(xiàn)這個文件被修改了，若入侵攻擊者本人未增加新的授權(quán)角色，就會出現(xiàn)一定問題。針對不同的入侵攻擊與行為，采用以上3種分析檢測技術(shù)，其系統(tǒng)入侵檢測能力都得到了提升。與此同時，采用多重檢測技術(shù)，不僅能夠檢測到與歷史內(nèi)容、上下文相關(guān)的攻擊行為，也能夠與數(shù)據(jù)信息響應(yīng)庫相呼應(yīng)。

　　在多重檢測技術(shù)的統(tǒng)籌規(guī)劃應(yīng)用方面，可依據(jù)融合理論基礎(chǔ)劃分適用于不同攻擊與行為類型的檢測技術(shù)，如Nai′ve-Bayes“trainable”fusion rule,將多重檢測技術(shù)獲取的相關(guān)結(jié)果整合之后發(fā)送給監(jiān)控設(shè)備。

　　對于每一個監(jiān)控設(shè)備所搜集的分析檢測引擎的數(shù)據(jù)信息，若是本區(qū)域的直接攻擊或行為，監(jiān)控設(shè)備可以直接向安全管理人員報警并作出響應(yīng)與反饋；若是其他區(qū)域的間接攻擊或行為，監(jiān)控設(shè)備不能確定該對象是否具有攻擊行為或狀態(tài)時，就可以通過相關(guān)通信模塊與其他區(qū)域中的內(nèi)部監(jiān)控設(shè)備進(jìn)行溝通，協(xié)同操作，通過統(tǒng)一整合分析與處理，獲取最終結(jié)果。

　　3 功能分析

　　由于在電力系統(tǒng)分布式環(huán)境下，C-DIDS模型采用多重檢測技術(shù)，結(jié)合基于不同類型的監(jiān)控設(shè)備、感應(yīng)設(shè)備以及分析檢測引擎等，因此該模型使得入侵檢測功能大大提高，主要包含以下優(yōu)點：(1)各監(jiān)控設(shè)備之間采用開放式分析方式進(jìn)行交互通信，避免了集中式分析方式的不足；(2)采用數(shù)據(jù)完整性檢測技術(shù)，使電力系統(tǒng)入侵檢測功能更加完善、精準(zhǔn)；(3)能夠?qū)崟r檢測電力系統(tǒng)分布式協(xié)同作用下的入侵攻擊行為與狀態(tài)；(4)感應(yīng)設(shè)備輸出的數(shù)據(jù)信息都經(jīng)過一定條件過濾，降低了分析設(shè)備的工作量；(5)為了保證能夠檢測到更多入侵攻擊與行為，專門設(shè)置了針對于應(yīng)用程序的分析設(shè)備，從而為電力系統(tǒng)中一些關(guān)鍵的應(yīng)用程序與軟件提供了安全保護(hù)；(6)能夠?qū)?shù)據(jù)信息響應(yīng)與歷史內(nèi)容上下文相關(guān)的攻擊與行為作出精準(zhǔn)的入侵分析；(7)提供了一個公共支撐系統(tǒng)，即云安全檢測輔助管理信息平臺，提高了電力系統(tǒng)入侵檢測系統(tǒng)的完善性、高效性以及可靠性等。

　　本文提出了一種專門應(yīng)用于電力系統(tǒng)分布式環(huán)境下的入侵檢測云安全模型，即C-DIDS模型。該入侵檢測模型以電力系統(tǒng)云安全檢測輔助管理信息平臺為公共支撐系統(tǒng)，采用了多重檢測技術(shù)，在分析設(shè)備引擎中使用了三級檢測方法，并且在分析設(shè)備中添加了信息完整性分析策略，通過不同云安全管理區(qū)中的監(jiān)視設(shè)備進(jìn)行交互通信，在理論上能夠獲得很好的安全檢測效果。然而該模型在入侵檢測精準(zhǔn)性與電力系統(tǒng)整體性能平衡度方面未設(shè)置相關(guān)標(biāo)準(zhǔn)，還有待于繼續(xù)探索與研究。

　　參考文獻(xiàn)

　　[1] PORRAS P P，NEUMANN P G.EMERALD：event monitor-ing enabling response to anomalous live disturbances[C].The20th National Information System Security Conference，US，1997：353-363.

　　[2] SPAFFORD E H，ZAMBONI D.Intrusion detection using automomous agents[J].Computer Networks，2000，34(3)：547-570.

　　[3] 趙麗，孫敏.一種融合多檢測技術(shù)的分布式入侵檢測模型[J].計算機(jī)工程，2005，31(9)：203-209.

　　[4] 許蓉，吳灝，張航.“云安全”檢測技術(shù)安全性分析[J].計算機(jī)工程與設(shè)計，2012，33(9)：112-120.

　　[5] 李志永，黃玉劃，畢媛媛.基于云安全的入侵檢測模型[C].南京：第六屆中國信息和通信安全學(xué)術(shù)會議（CCICS），2009.