電力網絡日志分析系統設計與實現

李祝紅　趙燦明　杜炳　楊安東

摘 要：隨著電力企業信息化水平不斷提升，信息業務支撐服務范圍越來越廣，各類業務終端接入數量呈快速增長趨勢，公司擬通過通過建設電力網絡日志分析系統捕獲網絡實時訪問數據，對用戶訪問數據信息進行行為挖掘和分析，以監管信息內網用戶非授權網絡訪問行為，并對用戶訪問信息進行其它有益挖掘；實現業務終端安全管控、終端網絡訪問行為的數據挖掘和數據分析。

關鍵詞：電力網絡；日志分析；數據挖掘

中圖分類號：TP311.13 文獻標識碼：A 文章編號：1671-2064（2018）07-0023-01

隨著電力企業信息化水平不斷提升，信息業務支撐服務范圍越來越廣，各類業務終端接入數量呈快速增長趨勢，加強對業務終端安全管控、對終端網絡訪問行為進行挖掘和數據分析意義重大。

現有的桌面終端安全管控技術和手段均難以滿足需求，如：IP管控、桌面VRV偏重于對IP地址或用戶終端的管理，但均無法針對用戶網絡訪問行為數據進行分析和管理；上網行為管理系統偏重于對網絡訪問行為管理，但是數據包級的挖掘功能不足，且需要高成本的軟硬件支持，針對特定網絡支持不足；而入侵檢測系統偏重于對數據報級網絡行為特征分析，對用戶終端網絡行為難以有效管理。

如何有效克服現狀不足，設計出一種能夠基于網絡用戶訪問行為的日志分析系統，使得用戶能夠有效管理網絡訪問行為進行用戶有用數據挖掘分析具有重大意義。

1 國內外現狀

近年來，對于網絡日志分析的研究和相關產品研發也取得突破性進展。

在網絡用戶行為分析方面，主要的分析方法有兩大類：一類是以網絡用戶的正常行為建模，來判斷采集到的行為信息是否異常，其稱為異常檢測技術，主要是指通過對數據的聚類分析和深度神經算法的檢測；第二類主要是指通過利用用戶網絡訪問行為中的異常數據進行建模分析，主要包含模式匹配技術、專家系統和推理監測方法等。需要特別指出的是，模式匹配技術是其主要的代表性檢測技術，它的主要原理是通過采集用戶的網絡訪問行為與已建立的網絡行為數據庫進行比較分析和匹配，一旦發現用戶行為與數據庫無法匹配，則認為該用戶的網絡訪問違反了安全策略。這種方法的原理簡單，操作性強，數據監測準確率高；但是缺點也相當明顯即智能檢測到已知的網絡行為，數據庫需要不斷的更新；除此之外，在高速、大規模的網絡環境中，如果僅僅依靠模式匹配技術無法及時分析處理大量的數據包，處理速度和處理準確率值得商榷。

2 技術關鍵點

2.1 基于WinPcap的數據包捕獲和過濾技術

WinPcap主要包含三個部分，分別是數據包監聽程序、底層動態鏈接和獨立的靜態庫；其中數據包監聽程序是主要的核心程序，動態鏈接和獨立的靜態庫懂事為用戶層服務的。

（1）數據包監聽設備驅動程序。為實現數據抓包，理論上必須不經過操作系統的協議而直接對網絡傳輸的原始數據進行抓包。鑒于此，Winpcap程序必須要部署一部分核心程序在操作系統的核心層，該程序與網絡接口直接連接。（2）底層的動態連接庫（packet.dll）和高層靜態庫（wpcap.dll）。為了保證程序的合理性和可運行性，Winpcap需要提供一個可用于程序編匯的接口。這個接口也被稱之為底層動態鏈接庫和高層靜態庫。需要指出的是，底層動態鏈接庫主要用于提供一個底層的API，方便數據包監聽程序直接訪問驅動函數；高層靜態庫則主要用于高層抓包數據庫的完成，建設數據庫的目的主要是是數據抓包可以不經過操作系統核心層的管理。

與此同時，關于底層動態鏈接其主要部署在用戶層，同時與其他兩個運行程序實現邏輯隔離，主要是為了該程序可以在多版本的WINDOWS上穩定運行。

2.2 基于聚類分析算法的網絡流量統計

數據挖掘一般是指從大量的數據中通過算法抽取挖掘出潛在、未知的有價值的模式或規律等知識的復雜過程。

基于以上描述，本系統運用了自動聚類分析方法。我們通過流的頭字段中的源IP地址、目的IP地址、源端口、目的端口等參數對流簇進行了定義。其中，IP地址的定義主要是利用長度在8至32的數值個數來定義；端口的定義則主要是通過某個較為獨特的端口值或所有可能值來定義，因為網路中分配給固定的端口其值一般是不大于1024的，只有是臨時的端口值采會大于1023；一次我們認為大于1023或者是小于1024的端口數值是可以被定義的。

3 功能描述

3.1 系統功能圖（如圖1）

3.2 功能描述

3.2.1 數據處理

（1）數據抓包。指通過利用對網絡端口的實時監控，實現網絡訪問的實時數據包。（2）數據包篩選。主要指對抓包到的網絡數據依據源地址和目的地址開展數據篩選，對符合篩選條件的數據包進行過濾，對符合條件的數據包開展下一步分析。（3）數據包分析存儲。解析數據包內容，丟棄非郵件發送和網頁瀏覽的數據包，對符合條件的數據包進行進一步內容解析，解析出郵件行為的發件人地址、收件人地址、郵件標題、發送時間等信息和網頁訪問行為的網頁地址、訪問者IP等信息，分別存儲到數據庫中。最后存儲到數據庫中的數據是終端行為審計信息查詢的主要依據。

3.2.2 用戶行為挖掘與分析

（1）用戶數據流量排名。以柱狀圖展示所選時間段內不同類型數據包中用戶訪問流量排名前10位。（2）用戶興趣點分布。統計某一時間段內用戶興趣點的具體用戶訪問量和訪問流量占比，并以餅狀圖展示。（3）網絡實時流量圖。實時展示核心交換機中不同類型數據包流量情況以及每個網絡終端中網絡流量情況。（4）不同類型包流量統計。統計某一時間段內ARP、HTTP、ICMP、TCP、UDP等不同類型數據包的累計流量，并以柱狀圖展現。

3.2.3 系統管理

（1）監控關鍵字管理。提供用戶網絡訪問行為中關鍵字設置，系統對存在關鍵字信息的網絡訪問行為進行自動預警。（2）白名單管理。提供監測用戶白名單管理，系統會自動過濾掉白名單中用戶，不對其進行網絡訪問行為查詢和統計。（3）組織管理。提供系統用戶的組織機構信息維護。（4）用戶管理。提供系統訪問用戶的信息管理，包括用戶姓名、手機號、郵箱地址等信息。

4 結語

系統已成功應用于國網蕪湖供電公司信息內網用戶終端安全管理當中，系統捕獲網絡實時訪問數據，對用戶訪問數據信息進行行為挖掘和分析，以監管信息內網用戶非授權網絡訪問行為，并對用戶訪問信息進行其它有益挖掘。本研究對于加強安全終端管控、增強網絡信息安全有著顯著作用。