李祝紅　趙燦明　杜炳　楊安東

摘 要：隨著電力企業(yè)信息化水平不斷提升，信息業(yè)務(wù)支撐服務(wù)范圍越來(lái)越廣，各類業(yè)務(wù)終端接入數(shù)量呈快速增長(zhǎng)趨勢(shì)，公司擬通過(guò)通過(guò)建設(shè)電力網(wǎng)絡(luò)日志分析系統(tǒng)捕獲網(wǎng)絡(luò)實(shí)時(shí)訪問(wèn)數(shù)據(jù)，對(duì)用戶訪問(wèn)數(shù)據(jù)信息進(jìn)行行為挖掘和分析，以監(jiān)管信息內(nèi)網(wǎng)用戶非授權(quán)網(wǎng)絡(luò)訪問(wèn)行為，并對(duì)用戶訪問(wèn)信息進(jìn)行其它有益挖掘；實(shí)現(xiàn)業(yè)務(wù)終端安全管控、終端網(wǎng)絡(luò)訪問(wèn)行為的數(shù)據(jù)挖掘和數(shù)據(jù)分析。

關(guān)鍵詞：電力網(wǎng)絡(luò)；日志分析；數(shù)據(jù)挖掘

中圖分類號(hào)：TP311.13 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-2064（2018）07-0023-01

隨著電力企業(yè)信息化水平不斷提升，信息業(yè)務(wù)支撐服務(wù)范圍越來(lái)越廣，各類業(yè)務(wù)終端接入數(shù)量呈快速增長(zhǎng)趨勢(shì)，加強(qiáng)對(duì)業(yè)務(wù)終端安全管控、對(duì)終端網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行挖掘和數(shù)據(jù)分析意義重大。

現(xiàn)有的桌面終端安全管控技術(shù)和手段均難以滿足需求，如：IP管控、桌面VRV偏重于對(duì)IP地址或用戶終端的管理，但均無(wú)法針對(duì)用戶網(wǎng)絡(luò)訪問(wèn)行為數(shù)據(jù)進(jìn)行分析和管理；上網(wǎng)行為管理系統(tǒng)偏重于對(duì)網(wǎng)絡(luò)訪問(wèn)行為管理，但是數(shù)據(jù)包級(jí)的挖掘功能不足，且需要高成本的軟硬件支持，針對(duì)特定網(wǎng)絡(luò)支持不足；而入侵檢測(cè)系統(tǒng)偏重于對(duì)數(shù)據(jù)報(bào)級(jí)網(wǎng)絡(luò)行為特征分析，對(duì)用戶終端網(wǎng)絡(luò)行為難以有效管理。

如何有效克服現(xiàn)狀不足，設(shè)計(jì)出一種能夠基于網(wǎng)絡(luò)用戶訪問(wèn)行為的日志分析系統(tǒng)，使得用戶能夠有效管理網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行用戶有用數(shù)據(jù)挖掘分析具有重大意義。

1 國(guó)內(nèi)外現(xiàn)狀

近年來(lái)，對(duì)于網(wǎng)絡(luò)日志分析的研究和相關(guān)產(chǎn)品研發(fā)也取得突破性進(jìn)展。

在網(wǎng)絡(luò)用戶行為分析方面，主要的分析方法有兩大類：一類是以網(wǎng)絡(luò)用戶的正常行為建模，來(lái)判斷采集到的行為信息是否異常，其稱為異常檢測(cè)技術(shù)，主要是指通過(guò)對(duì)數(shù)據(jù)的聚類分析和深度神經(jīng)算法的檢測(cè)；第二類主要是指通過(guò)利用用戶網(wǎng)絡(luò)訪問(wèn)行為中的異常數(shù)據(jù)進(jìn)行建模分析，主要包含模式匹配技術(shù)、專家系統(tǒng)和推理監(jiān)測(cè)方法等。需要特別指出的是，模式匹配技術(shù)是其主要的代表性檢測(cè)技術(shù)，它的主要原理是通過(guò)采集用戶的網(wǎng)絡(luò)訪問(wèn)行為與已建立的網(wǎng)絡(luò)行為數(shù)據(jù)庫(kù)進(jìn)行比較分析和匹配，一旦發(fā)現(xiàn)用戶行為與數(shù)據(jù)庫(kù)無(wú)法匹配，則認(rèn)為該用戶的網(wǎng)絡(luò)訪問(wèn)違反了安全策略。這種方法的原理簡(jiǎn)單，操作性強(qiáng)，數(shù)據(jù)監(jiān)測(cè)準(zhǔn)確率高；但是缺點(diǎn)也相當(dāng)明顯即智能檢測(cè)到已知的網(wǎng)絡(luò)行為，數(shù)據(jù)庫(kù)需要不斷的更新；除此之外，在高速、大規(guī)模的網(wǎng)絡(luò)環(huán)境中，如果僅僅依靠模式匹配技術(shù)無(wú)法及時(shí)分析處理大量的數(shù)據(jù)包，處理速度和處理準(zhǔn)確率值得商榷。

2 技術(shù)關(guān)鍵點(diǎn)

2.1 基于WinPcap的數(shù)據(jù)包捕獲和過(guò)濾技術(shù)

WinPcap主要包含三個(gè)部分，分別是數(shù)據(jù)包監(jiān)聽(tīng)程序、底層動(dòng)態(tài)鏈接和獨(dú)立的靜態(tài)庫(kù)；其中數(shù)據(jù)包監(jiān)聽(tīng)程序是主要的核心程序，動(dòng)態(tài)鏈接和獨(dú)立的靜態(tài)庫(kù)懂事為用戶層服務(wù)的。

（1）數(shù)據(jù)包監(jiān)聽(tīng)設(shè)備驅(qū)動(dòng)程序。為實(shí)現(xiàn)數(shù)據(jù)抓包，理論上必須不經(jīng)過(guò)操作系統(tǒng)的協(xié)議而直接對(duì)網(wǎng)絡(luò)傳輸?shù)脑紨?shù)據(jù)進(jìn)行抓包。鑒于此，Winpcap程序必須要部署一部分核心程序在操作系統(tǒng)的核心層，該程序與網(wǎng)絡(luò)接口直接連接。（2）底層的動(dòng)態(tài)連接庫(kù)（packet.dll）和高層靜態(tài)庫(kù)（wpcap.dll）。為了保證程序的合理性和可運(yùn)行性，Winpcap需要提供一個(gè)可用于程序編匯的接口。這個(gè)接口也被稱之為底層動(dòng)態(tài)鏈接庫(kù)和高層靜態(tài)庫(kù)。需要指出的是，底層動(dòng)態(tài)鏈接庫(kù)主要用于提供一個(gè)底層的API，方便數(shù)據(jù)包監(jiān)聽(tīng)程序直接訪問(wèn)驅(qū)動(dòng)函數(shù)；高層靜態(tài)庫(kù)則主要用于高層抓包數(shù)據(jù)庫(kù)的完成，建設(shè)數(shù)據(jù)庫(kù)的目的主要是是數(shù)據(jù)抓包可以不經(jīng)過(guò)操作系統(tǒng)核心層的管理。

與此同時(shí)，關(guān)于底層動(dòng)態(tài)鏈接其主要部署在用戶層，同時(shí)與其他兩個(gè)運(yùn)行程序?qū)崿F(xiàn)邏輯隔離，主要是為了該程序可以在多版本的WINDOWS上穩(wěn)定運(yùn)行。

2.2 基于聚類分析算法的網(wǎng)絡(luò)流量統(tǒng)計(jì)

數(shù)據(jù)挖掘一般是指從大量的數(shù)據(jù)中通過(guò)算法抽取挖掘出潛在、未知的有價(jià)值的模式或規(guī)律等知識(shí)的復(fù)雜過(guò)程。

基于以上描述，本系統(tǒng)運(yùn)用了自動(dòng)聚類分析方法。我們通過(guò)流的頭字段中的源IP地址、目的IP地址、源端口、目的端口等參數(shù)對(duì)流簇進(jìn)行了定義。其中，IP地址的定義主要是利用長(zhǎng)度在8至32的數(shù)值個(gè)數(shù)來(lái)定義；端口的定義則主要是通過(guò)某個(gè)較為獨(dú)特的端口值或所有可能值來(lái)定義，因?yàn)榫W(wǎng)路中分配給固定的端口其值一般是不大于1024的，只有是臨時(shí)的端口值采會(huì)大于1023；一次我們認(rèn)為大于1023或者是小于1024的端口數(shù)值是可以被定義的。

3 功能描述

3.1 系統(tǒng)功能圖（如圖1）

3.2 功能描述

3.2.1 數(shù)據(jù)處理

（1）數(shù)據(jù)抓包。指通過(guò)利用對(duì)網(wǎng)絡(luò)端口的實(shí)時(shí)監(jiān)控，實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)的實(shí)時(shí)數(shù)據(jù)包。（2）數(shù)據(jù)包篩選。主要指對(duì)抓包到的網(wǎng)絡(luò)數(shù)據(jù)依據(jù)源地址和目的地址開(kāi)展數(shù)據(jù)篩選，對(duì)符合篩選條件的數(shù)據(jù)包進(jìn)行過(guò)濾，對(duì)符合條件的數(shù)據(jù)包開(kāi)展下一步分析。（3）數(shù)據(jù)包分析存儲(chǔ)。解析數(shù)據(jù)包內(nèi)容，丟棄非郵件發(fā)送和網(wǎng)頁(yè)瀏覽的數(shù)據(jù)包，對(duì)符合條件的數(shù)據(jù)包進(jìn)行進(jìn)一步內(nèi)容解析，解析出郵件行為的發(fā)件人地址、收件人地址、郵件標(biāo)題、發(fā)送時(shí)間等信息和網(wǎng)頁(yè)訪問(wèn)行為的網(wǎng)頁(yè)地址、訪問(wèn)者IP等信息，分別存儲(chǔ)到數(shù)據(jù)庫(kù)中。最后存儲(chǔ)到數(shù)據(jù)庫(kù)中的數(shù)據(jù)是終端行為審計(jì)信息查詢的主要依據(jù)。

3.2.2 用戶行為挖掘與分析

（1）用戶數(shù)據(jù)流量排名。以柱狀圖展示所選時(shí)間段內(nèi)不同類型數(shù)據(jù)包中用戶訪問(wèn)流量排名前10位。（2）用戶興趣點(diǎn)分布。統(tǒng)計(jì)某一時(shí)間段內(nèi)用戶興趣點(diǎn)的具體用戶訪問(wèn)量和訪問(wèn)流量占比，并以餅狀圖展示。（3）網(wǎng)絡(luò)實(shí)時(shí)流量圖。實(shí)時(shí)展示核心交換機(jī)中不同類型數(shù)據(jù)包流量情況以及每個(gè)網(wǎng)絡(luò)終端中網(wǎng)絡(luò)流量情況。（4）不同類型包流量統(tǒng)計(jì)。統(tǒng)計(jì)某一時(shí)間段內(nèi)ARP、HTTP、ICMP、TCP、UDP等不同類型數(shù)據(jù)包的累計(jì)流量，并以柱狀圖展現(xiàn)。

3.2.3 系統(tǒng)管理

（1）監(jiān)控關(guān)鍵字管理。提供用戶網(wǎng)絡(luò)訪問(wèn)行為中關(guān)鍵字設(shè)置，系統(tǒng)對(duì)存在關(guān)鍵字信息的網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行自動(dòng)預(yù)警。（2）白名單管理。提供監(jiān)測(cè)用戶白名單管理，系統(tǒng)會(huì)自動(dòng)過(guò)濾掉白名單中用戶，不對(duì)其進(jìn)行網(wǎng)絡(luò)訪問(wèn)行為查詢和統(tǒng)計(jì)。（3）組織管理。提供系統(tǒng)用戶的組織機(jī)構(gòu)信息維護(hù)。（4）用戶管理。提供系統(tǒng)訪問(wèn)用戶的信息管理，包括用戶姓名、手機(jī)號(hào)、郵箱地址等信息。

4 結(jié)語(yǔ)

系統(tǒng)已成功應(yīng)用于國(guó)網(wǎng)蕪湖供電公司信息內(nèi)網(wǎng)用戶終端安全管理當(dāng)中，系統(tǒng)捕獲網(wǎng)絡(luò)實(shí)時(shí)訪問(wèn)數(shù)據(jù)，對(duì)用戶訪問(wèn)數(shù)據(jù)信息進(jìn)行行為挖掘和分析，以監(jiān)管信息內(nèi)網(wǎng)用戶非授權(quán)網(wǎng)絡(luò)訪問(wèn)行為，并對(duì)用戶訪問(wèn)信息進(jìn)行其它有益挖掘。本研究對(duì)于加強(qiáng)安全終端管控、增強(qiáng)網(wǎng)絡(luò)信息安全有著顯著作用。