基于ELK的Windows系統安全風險分析的研究探索

阮曉龍 馮順磊

摘? 要： 操作系統安全尤其是Windows操作系統安全廣受重視，如何分析Windows系統運行情況、評估Windows系統安全風險，實現Windows系統安全威脅感知是網絡安全研究的重要方向。本文以ELK為基礎，從日志分析角度入手，建立海量實時日志分析平臺，高效利用Windows系統事件日志，挖掘Windows事件日志價值，實現Windows系統日志審計與分析，完成系統安全風險評估與威脅感知。

關鍵詞： ELK;Windows事件日志;日志分析;系統安全

【Abstract】： The security of the operating system， especially the security of the windows operating system， has been paid more and more attention. How to analyze the operation of the windows system， evaluate the security risk of the windows system， and realize the security threat awareness of the windows system is an important direction of the network security research. Based on elk and from the perspective of log analysis， this paper establishes a massive real- time log analysis platform， makes efficient use of windows system event log， excavates the value of windows event log， realizes windows system log audit and analysis， and completes system security risk assessment and threat perception.

【Key words】： ELK; Windows; Log analysis; System safety

0? 引言

根據NetMarketShare 2019全球操作系統市場調研，Windows操作系統仍以87.48%的比例占據最大份額，Windows操作系統依舊是使用最為廣泛的操作系統，Windows系統的安全防護顯得尤為重要。Windows系統的安全防護可從Windows事件日志開始，Windows事件日志中記錄著操作系統、應用程序以及用戶操作情況，是系統運行的重要痕跡信息[1]。采集Windows事件日志，挖掘Windows事件日志價值，分析事件日志產生原因，歸納安全事件發生規律，可有效感知Windows操作系統運行狀態與安全風險[2]。

通過ELK可建設集中式Windows事件日志分析與安全風險感知平臺，統一采集Windows系統事件日志，集中存儲、實時分析、可視化呈現。依托集中式Windows事件日志分析與風險感知平臺可審計Windows系統運行狀態與安全風險，精細化感知操作系統層面的安全與服務，并以此實現系統安全審計與危險操作行為溯源。

1? Windows日志

1.1? 日志審計

Windows核心日志文件有系統（System）、安全（Security）和應用程序（Application）三種，各類型日志的詳細描述信息與存儲位置如表1所示。

1.2? 日志解讀

通過事件查看器查看Windows日志信息，選擇其中一條日志解讀如下。Windows事件日志記錄的XML如圖2所示。

此事件日志由Windows在創建登錄會話時生成。“使用者”字段指本地系統上請求登錄的帳戶。通常是一個服務或本地進程。

“登錄信息”中的“登錄類型”字段表示發生的登錄類型。登錄類型信息描述如表3所示。

“新登錄”字段指本次登錄的帳戶。“網絡賬戶名稱”、“網絡賬戶域”字段表示遠程登錄請求源自哪里。“工作站名稱”并非始終可用，在某些情況下可能會留空。

1.3? 關鍵日志

Windows事件日志由事件級別、記錄時間、事件來源、事件ID、事件描述、涉及的用戶、計算機、操作代碼及任務類別等多個字段構成。每個事件ID代表不同的Windows操作行為，關鍵的Windows事件日志如表4、5、6所示，可依據事件ID挖掘Windows日志價值[3]。

2? 日志數據處理

Windows事件日志數據處理依托于ELK實現，使用Beats（采集日志）、Elasticsearch（存儲數據）、Kibana（數據分析模型）實現可視化呈現。Windows日志的采集使用Winlogbeat實現，Winlogbeat是ELK的Beats系列采集器，可密切監控Windows設備上產生的各類事件，并實時流式傳輸至Elasticsearch或Logstash[4]。

（1）安裝Winlogbeat

下載并解壓Winlogbeat，使用Windows PowerShell將Winlogbeat安裝為Windows服務，安裝過程如圖3所示。

（2）采集Windows事件日志

修訂Winlogbeat配置文件，將采集Windows事件日志推送至Elasticsearch中。

啟動Winlogbeat服務，命令如下所示。

Start-Service winlogbeat采集的Windows事件日志如圖4所示。

3? 日志數據分析

3.1? 分析模型

基于采集的Windows事件日志數據并結合Windows事件含義可創建Windows事件日志分析模型，Windows事件分析模型將從不同角度展示Windows系統運行情況。分析模型主要分為四類：日志統計、事件分析、安全審計與風險評估。

（1）日志統計

日志統計將實時分析各類型事件個數、占比、排行等，從宏觀上展示Windows系統整體運行狀態。

（2）事件分析

事件分析將根據格式化后的Windows事件字段進行分析，深入事件日志本身，挖掘日志價值，從細節上展示Windows操作系統服務情況。

（3）安全審計

安全審計將集中展示多個Windows設備的事件日志信息，支持通過各種篩選條件查看Windows系統日志信息。

（4）風險評估

風險評估將重點關注Windows系統安全事件，實時展示Windows系統運行風險。

3.2? 數據可視化

為更好呈現Windows事件日志分析效果，可結合數據分析模型創建數據可視化視圖。數據可視化視圖依托于開源日志分析與可視化平臺Kibana創建，使用Kibana可快速從Elasticsearch中抽取數據創建直觀的分析圖表，并可將各種分析圖表匯總，形成儀表盤展示要點信息。

以分析模型“Windows日志變化趨勢”為例，繪制數據可視化視圖。其步驟如下所示。

（1）創建數據索引，將推送至Elasticsearch的Windows事件日志創建索引，索引名稱為“Winlogbeat*”。

（2）選擇數據源，依據采集的Windows事件日志信息，選擇索引為“Winlogbeat*”。

（3）選擇可視化類型為“折線圖”。

（4）配置X軸數據為“時間”，Y軸數據為“計數”，并將序列以“log.level”拆分，形成可視化分析圖表如圖5所示。

4? 安全風險審計

建設集中式Windows事件日志分析與安全風險感知平臺可實現Windows操作系統安全風險監測。Windows事件日志分析與安全風險感知平臺可采集Windows系統事件日志，集中存儲于Elasticsearch，并使用Kibana可視化呈現。

（1）集中審計Windows事件日志

基于集中式Windows事件日志分析與安全風險感知平臺可實現TB級的日志數據存儲，依托此平臺可實現Windows日志統一審計與管理。本文使用Winlogbeat不間斷采集5臺Windows 10系統事件日志并推送至Windows事件日志分析與安全風險感知平臺。使用Kibana的“Discover”查看指定時間周期的Windows事件日志，快速定位系統安全風險，發現前因后果，幫助系統管理人員更高效率的解決系統安全問題[5]。

（2）實時分析Windows安全風險

Winlogbeat將Windows事件日志實時地流式傳輸至Windows事件日志分析與安全風險感知平臺，實現實時的安全風險分析與可視化數據呈現[6]。依據Windows事件含義創建如表7所示的數據分析模型，完成Windows系統登錄情況分析、軟件運行情況分析、服務質量分析、可移動設備使用情況分析等多個主題分析。以此挖掘Windows安全風險產生規律分布，發現Windows系統常見安全問題與安全風險較高設備、軟件、服務等，并可基于此建設Windows操作系統安全風險防護知識庫，有準備、有目的的解決Windows系統安全風險[7-9]。

（3）及時感知Windows安全威脅

基于ELK的Windows事件日志分析與安全風險感知平臺可實現精細化日志格式化與毫秒級的數據處理，及時感知Windows安全威脅。依據Windows操作系統安全防護知識庫，定義不同級別的Windows安全風險，關聯Windows事件日志。當平臺監測到相應的Windows事件日志產生后可快速判斷安全風險等級并通過郵件、短信、微信等方式將情況推送給相關管理人員，實現Windows安全風險動態感知[10-11]。

5? 總結

基于ELK技術完成了集中式Windows事件日志分析與安全風險感知平臺的建設，探索了海量數據下Windows事件日志方法，研究了Windows系統的安全風險，實現了對Windows系統的安全威脅感知，有效提升了Windows系統的運維服務質量與安全防護能力。

參考文獻

[1]張文琦， 周喜， 趙凡， 馬博. 基于多維時序日志的異常行為可視分析[J/OL]. 計算機工程與應用： 1-13[2019-08-09]. http：//kns.cnki.net/kcms/detail/11.2127.tp.20190408.1735.012.html.

[2]王全民， 韓曉芳. 基于Netflow的網絡安全大數據可視化分析[J]. 計算機系統應用， 2019， 28（04）： 1-8.

[3]李春強， 夏偉. 基于Windows日志分析的終端安全研究[J]. 網絡空間安全， 2018， 9（09）： 70-77.

[4]姚攀， 馬玉鵬， 徐春香. 基于ELK的日志分析系統研究及應用[J]. 計算機工程與設計， 2018， 39（07）： 2090-2095.

[5]申月莉. 基于Windows主機日志的取證分析方法研究[J]. 洛陽師范學院學報， 2016， 35（08）： 62-67.

[6]陳飛. 基于windows日志的安全審計技術研究[D]. 四川師范大學， 2012.

[7]曹政. 基于Mahout 框架的Hadoop 平臺作業日志分析平臺設計與實現[J]. 軟件， 2015， 36（11）： 43-47.

[8]江三鋒， 王元亮. 基于Hive 的海量web 日志分析系統設計研究[J]. 軟件， 2015， 36（4）： 93-96.

[9]陳星， 霍珊珊， 劉健. 物聯網信息系統安全測評服務模式的研究[J]. 軟件， 2016， 37（3）： 09-15.

[10]黃堃. 基于計算機網絡技術的計算機網絡信息安全及其防護策略分析[J]. 軟件， 2018， 39（6）： 139-141.

[11]尚永強. 計算機網絡信息安全中數據加密技術的探討[J]. 軟件， 2018， 39（12）： 198-201.