智能日志審計(jì)與預(yù)警系統(tǒng)功能設(shè)計(jì)與實(shí)現(xiàn)分析

摘?要：當(dāng)前，計(jì)算機(jī)技術(shù)在多個領(lǐng)域中被得到廣泛運(yùn)用，需要在與網(wǎng)絡(luò)相連的各類信息系統(tǒng)中存儲的重要信息也越來越多，尤其是受到利益驅(qū)使，容易出現(xiàn)各種入侵事件，從而使信息安全問題加重。因此，本文在概述網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)上，從系統(tǒng)架構(gòu)、功能設(shè)計(jì)以及系統(tǒng)實(shí)現(xiàn)等多個方面對智能日志審計(jì)與預(yù)警系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)進(jìn)行了探討，以預(yù)防和減少安全威脅事件，從而使審計(jì)效率提高。

關(guān)鍵詞：預(yù)警系統(tǒng);智能日志審計(jì);設(shè)計(jì);實(shí)現(xiàn)

近年來，隨著知識經(jīng)濟(jì)時代的到來，再加上互聯(lián)網(wǎng)技術(shù)的普及，企業(yè)采用辦公自動化來促進(jìn)協(xié)作效率和管理水平的提高，并且在企業(yè)辦公中，網(wǎng)絡(luò)信息系統(tǒng)是比較基礎(chǔ)的一個設(shè)施[1]。但是在信息化過程中，由于受到諸多因素如流程復(fù)雜、用戶眾多以及組織機(jī)構(gòu)復(fù)雜等影響，導(dǎo)致大中型企業(yè)普遍呈現(xiàn)出數(shù)據(jù)量大、業(yè)務(wù)系統(tǒng)負(fù)載大等特點(diǎn)，再加上廣泛的信息化，在一定程度上也加劇了信息安全問題。雖然集中式日志服務(wù)器能夠統(tǒng)一存儲IT系統(tǒng)的相關(guān)信息，但是無法對各種異常日志進(jìn)行處理和識別且及時預(yù)警，所以亟須一種智能日志審計(jì)預(yù)警系統(tǒng)，從而確保IT系統(tǒng)的信息和網(wǎng)絡(luò)安全性[2]。

1?網(wǎng)絡(luò)安全技術(shù)

網(wǎng)絡(luò)安全即網(wǎng)絡(luò)系統(tǒng)中的相關(guān)數(shù)據(jù)、硬件以及軟件，避免遭到惡意或偶然的泄露、更改以及破壞，對系統(tǒng)的持續(xù)運(yùn)行提供有效保障，且不需要網(wǎng)絡(luò)服務(wù)的一種措施。一般來說，將網(wǎng)絡(luò)安全的本質(zhì)界定作為基本依據(jù)，其特征如下：

（1）完整性，即在未授權(quán)的基礎(chǔ)上數(shù)據(jù)無法改變的特性，或者在傳輸、儲存信息期間保持不被丟失、破壞或者修改的特性;

（2）保密性，即在授權(quán)前提下運(yùn)用保護(hù)信息的一種特征;

（3）可控制性，即信息傳播被授權(quán)后具有控制能力的一種特性。

1.1?安全威脅

通常情況下，計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅主要有以下幾點(diǎn)：

（1）惡意程序威脅，以惡意軟件為主，比如木馬程序、間諜軟件、網(wǎng)絡(luò)蠕蟲以及計(jì)算機(jī)病毒等，開發(fā)這些軟件的目的在于網(wǎng)絡(luò)攻擊，其攻擊比較有規(guī)律且頻繁，也是比較常見的一種威脅;（2）計(jì)算機(jī)網(wǎng)絡(luò)實(shí)體威脅，主要為網(wǎng)絡(luò)、安全等計(jì)算機(jī)設(shè)備，存在較多漏洞，且配置錯誤;（3）潛在動機(jī)和對手，即人為的各種非惡意或惡意攻擊，這些操作或者攻擊可帶來較大的危害。有文獻(xiàn)[3]報(bào)道，人為因素泄露信息帶來的影響較大。

對于上述計(jì)算機(jī)安全的各種威脅，其實(shí)際表現(xiàn)有非法訪問、抵賴、信息的拒絕服務(wù)、破壞信息、篡改信息以及泄露信息等。

1.2?防護(hù)方法

面對各種威脅，當(dāng)前采用的防護(hù)手段有很多，包括以下幾種：

（2）對網(wǎng)絡(luò)上的病毒進(jìn)行防御;

（3）對網(wǎng)絡(luò)的攻擊進(jìn)行防御;

（4）邏輯隔離，即兩個網(wǎng)絡(luò)從物理層面上來看是互相連接的，但是在傳輸數(shù)據(jù)時通道缺乏，一般運(yùn)用多種措施如數(shù)據(jù)流控制、數(shù)據(jù)格式控制以及協(xié)議轉(zhuǎn)換等隔離不同的安全領(lǐng)域;

（5）物理隔離。物理隔離器作為一個不同網(wǎng)絡(luò)的隔離部件，通過這一方法可以對兩個網(wǎng)絡(luò)進(jìn)行完全隔離，且公用儲存信息缺失，可以在網(wǎng)際間避免計(jì)算機(jī)被重用，也是避免外網(wǎng)攻擊的一個有效方法[4]。

1.3?日志審計(jì)

通常情況下，日志能夠?qū)λ杏布O(shè)備、應(yīng)用系統(tǒng)以及操作系統(tǒng)的生成行為進(jìn)行記錄，且表達(dá)符合既定規(guī)范。比如，IPC系統(tǒng)遭到入侵時，在安全日志中系統(tǒng)能夠記錄相關(guān)信息如用戶名、IP以及探測時間等，若入侵者行FTP探測，則會在FIP服務(wù)器上對FTP進(jìn)行記錄，包括探測用戶名、時間以及IP等，甚至系統(tǒng)某項(xiàng)服務(wù)的停止或啟動時間，在日志文件中，都會記錄相關(guān)情況。

2?智能日志審計(jì)與預(yù)警系統(tǒng)架構(gòu)和功能設(shè)計(jì)

2.1?日志收集和上報(bào)功能設(shè)計(jì)

在設(shè)計(jì)這一功能時，可以從以下幾方面入手：

（1）業(yè)務(wù)日志通過收集客戶端任務(wù)軟件，可以對日志的相關(guān)信息進(jìn)行獲取;

（2）觸發(fā)器在Oracle數(shù)據(jù)庫登錄日志中，在不影響平臺性能的基礎(chǔ)上，可以收集用戶登錄數(shù)據(jù)庫信息且上傳;

（3）運(yùn)用腳本工具和日志工具對網(wǎng)絡(luò)設(shè)備產(chǎn)生的相關(guān)日志、Windows和unix/linux操作系統(tǒng)、設(shè)備登錄賬號以及設(shè)備生成的日志、賬號以及日志等上傳至收集模塊。

2.2?原始日志數(shù)據(jù)壓縮與存儲功能設(shè)計(jì)

客戶端的日志數(shù)據(jù)通常不用處理或過濾則能上傳，可將設(shè)備IP地址作為基本依據(jù)進(jìn)行分類儲存，并且在出現(xiàn)系統(tǒng)故障、違規(guī)操作以及黑客入侵的情況下，可以對詳細(xì)的原始日志數(shù)據(jù)進(jìn)行獲取和分析。同時，為了對存儲空間進(jìn)行節(jié)約，系統(tǒng)每周對本周的日志數(shù)據(jù)進(jìn)行壓縮并保存后，可以對原始日志數(shù)據(jù)進(jìn)行刪除。

2.3?Web頁面功能設(shè)計(jì)

在進(jìn)行Web頁面功能設(shè)計(jì)時，有以下幾點(diǎn)需要注意：

（1）在計(jì)算機(jī)系統(tǒng)中，需要對系統(tǒng)維護(hù)人員賬號、值班員賬號、日志審計(jì)員賬號以及管理員賬號進(jìn)行預(yù)設(shè);

（2）明確管理員權(quán)限。一般來說，只有管理人員才具備用戶授權(quán)、解鎖、鎖定、刪除以及建立等角色管理和用戶管理權(quán)限，可以進(jìn)一步完善權(quán)限警告策略，對設(shè)備與子系統(tǒng)的關(guān)聯(lián)進(jìn)行構(gòu)建，使用戶管理功能增強(qiáng)，提高過濾關(guān)鍵詞的有效性;

（3）日志審計(jì)員權(quán)限。只有日志審計(jì)員可以對設(shè)備和平臺系統(tǒng)的日志進(jìn)行審計(jì)，可以對因誤操作、數(shù)據(jù)備份、修改密碼等出現(xiàn)在日志中的敏感信息如密碼、賬號等進(jìn)行刪除。同時，日志審計(jì)員可以在Web頁面設(shè)置和刪除過濾關(guān)鍵字和告警關(guān)鍵字，并且關(guān)聯(lián)配置IP地址、設(shè)備名稱與告警關(guān)鍵字。

2.4?手機(jī)短信告警功能設(shè)計(jì)

在進(jìn)行設(shè)計(jì)時，能夠在Web頁面對平臺設(shè)備、平臺設(shè)備維護(hù)人員、相關(guān)手機(jī)號關(guān)聯(lián)以及接收告警短信手機(jī)號碼的功能進(jìn)行配置，在運(yùn)行系統(tǒng)期間，若出現(xiàn)日志數(shù)據(jù)異常，則向維護(hù)人員發(fā)送短信，使相關(guān)人員可以及時發(fā)現(xiàn)不良事件，如設(shè)備運(yùn)行異常、業(yè)務(wù)異常、系統(tǒng)異常以及黑客入侵等。

3?智能日志審計(jì)和預(yù)警系統(tǒng)的實(shí)現(xiàn)

3.1?日志搜集的實(shí)現(xiàn)

由于已經(jīng)實(shí)現(xiàn)日志客戶端和文本，在搜集日志數(shù)據(jù)時，其代碼為：

3.2?數(shù)據(jù)識別、分析以及處理

系統(tǒng)在異步日志收集完成后，可將日志數(shù)據(jù)發(fā)送給Redis;然后由日志識別模塊獲取數(shù)據(jù)，根據(jù)日志識別規(guī)則，結(jié)合IP地址，識別日志類型，包括系統(tǒng)日志、數(shù)據(jù)庫登錄日志、設(shè)備賬號登錄日志以及命令日志等，做好標(biāo)記后，在數(shù)據(jù)庫中根據(jù)日志類型標(biāo)簽進(jìn)行儲存。同時，運(yùn)用jave語言編寫日志分析處理器，其組成部分有三個，分別是結(jié)果回寫及緩存器、識別分析及處理器以及任務(wù)控制器，其流程見圖1。此外，為了使分析器的吞吐量增強(qiáng)，在設(shè)計(jì)分析器時，還需要增加分析結(jié)果緩存與任務(wù)控制器模塊，不僅可以避免丟失任務(wù)數(shù)據(jù)，還能使數(shù)據(jù)庫的瓶頸風(fēng)險降低。

3.3?實(shí)現(xiàn)短信預(yù)警功能

在日志分析處理器中，可以記錄日志，構(gòu)建警告日志，并且向短信中心發(fā)送相關(guān)信息，再經(jīng)短信中心向相關(guān)維護(hù)人員的手機(jī)發(fā)送信息如系統(tǒng)和設(shè)備故障、高危命令操作、賬號異常、異常進(jìn)程啟停以及異常登錄等，其時間較短，一般在10s內(nèi)，其流程圖見圖2。

3.4?數(shù)據(jù)庫實(shí)現(xiàn)

為了便于Web頁面和數(shù)據(jù)處理存儲的交互，本系統(tǒng)選擇oracle數(shù)據(jù)庫，設(shè)計(jì)和實(shí)現(xiàn)步驟：

（1）用戶權(quán)限表、角色表，其中用戶表能夠設(shè)置用戶、角色以及權(quán)限，再對角色權(quán)限進(jìn)行設(shè)置;

（2）用戶設(shè)備表、子系統(tǒng)用戶表、過濾關(guān)鍵字設(shè)備表以及子系統(tǒng)表等可以設(shè)置子系統(tǒng)，對關(guān)聯(lián)用戶進(jìn)行設(shè)置，能夠查看用戶管理的設(shè)備系統(tǒng);

（3）告警關(guān)鍵字表存儲設(shè)置的告警關(guān)鍵字，與設(shè)備關(guān)聯(lián)，若這個告警關(guān)鍵字出現(xiàn)在設(shè)備中，則可以進(jìn)行告警;

（4）過濾關(guān)鍵字表可以存儲設(shè)置的過濾關(guān)鍵字，與設(shè)備關(guān)聯(lián)，若某個過濾關(guān)鍵字出現(xiàn)在這臺設(shè)備中，則對其進(jìn)行過濾;

（5）對相關(guān)記錄表進(jìn)行設(shè)置，包括數(shù)據(jù)庫登錄日志表、用戶日志表、業(yè)務(wù)日志表以及系統(tǒng)日志表等。數(shù)據(jù)庫表的邏輯關(guān)聯(lián)關(guān)系見圖3。

3.5?Web頁面實(shí)現(xiàn)

本系統(tǒng)通過Java語言和ssh框架對Web頁面代碼進(jìn)行編寫，其中B/S與用戶交互可以實(shí)現(xiàn)Web頁面。而Web服務(wù)可以促進(jìn)系統(tǒng)相關(guān)Web頁面功能設(shè)計(jì)的實(shí)現(xiàn)，即值班員、IT系統(tǒng)維護(hù)人員、審計(jì)員以及管理員根據(jù)各自的權(quán)限運(yùn)用瀏覽器進(jìn)行多項(xiàng)工作，比如設(shè)備配置、設(shè)置告警關(guān)鍵字、日志多維分析、設(shè)置過濾關(guān)鍵字、日志審計(jì)、IT系統(tǒng)接入配置、日志審計(jì)以及登錄告警設(shè)置等，其服務(wù)框架見圖4。

同時，審計(jì)員在對IT系統(tǒng)進(jìn)行日志審計(jì)時，Web頁面將設(shè)備IP地址和IT系統(tǒng)名稱作為基本依據(jù)，使目錄樹形成，并且不同IP地址下面的日志展示包括內(nèi)容有很多，如系統(tǒng)日志、業(yè)務(wù)日志、數(shù)據(jù)登錄日志以及命令日志等，可以展現(xiàn)出友好的人機(jī)界面，為IT系統(tǒng)日志審計(jì)提供方便，再加上沒有相關(guān)工作，如識別、查找、日志分類搜索、解包以及目錄切換等，在一定程度上可以提高日志審計(jì)效率。

結(jié)語

綜上所述，在智能日志審計(jì)與預(yù)警系統(tǒng)中，日志服務(wù)器可以與客戶端日志上傳工具互相協(xié)同，對IT系統(tǒng)日志信息進(jìn)行儲存，智能分析和處理海量日志信息，并且可以通過短信告警不安全事件，在對系統(tǒng)進(jìn)行保護(hù)的基礎(chǔ)上，還能促進(jìn)IT系統(tǒng)日志審計(jì)效率的提高。

參考文獻(xiàn)：

[1]李偉.智能油田信息安全綜合審計(jì)關(guān)鍵技術(shù)研究與應(yīng)用[J].中國管理信息化，2020，23（22）：6162.

[2]“數(shù)據(jù)中臺關(guān)鍵技術(shù)與系統(tǒng)研究”專輯導(dǎo)讀[J].華東師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2020（05）：68.

[3]丁晨.大數(shù)據(jù)和人工智能技術(shù)在銀行網(wǎng)絡(luò)安全風(fēng)險管理中的實(shí)踐——日志安全審計(jì)分析業(yè)務(wù)[J].中國信息化，2019（05）：6668.

[4]呂榮峰，楊夢寧，余虹.智能日志審計(jì)與預(yù)警系統(tǒng)功能設(shè)計(jì)與實(shí)現(xiàn)[J].數(shù)字技術(shù)與應(yīng)用，2016（02）：187189.

作者簡介：鄧志勇（1984—?），男，漢族，佛山人，研究方向：企業(yè)信息化。