萬(wàn)欣

摘 要：針對(duì)網(wǎng)絡(luò)與信息安全中日志的種類及價(jià)值進(jìn)行分析，并分析日志在網(wǎng)絡(luò)運(yùn)維及安全管理中的應(yīng)用場(chǎng)景及作用，解析日志在日志審計(jì)及安全大數(shù)據(jù)中的應(yīng)用方式。

關(guān)鍵詞：日志；日志分類；日志應(yīng)用；日志審計(jì)；網(wǎng)絡(luò)安全大數(shù)據(jù)

中圖分類號(hào)：TM621 文獻(xiàn)標(biāo)識(shí)碼：A

1 引言

隨著網(wǎng)絡(luò)時(shí)代的來(lái)臨，用戶網(wǎng)絡(luò)日漸龐大，除了基礎(chǔ)網(wǎng)絡(luò)設(shè)施外、網(wǎng)絡(luò)中充滿著各種各樣的系統(tǒng)及應(yīng)用，這些系統(tǒng)及應(yīng)用承載著一個(gè)企業(yè)的核心業(yè)務(wù)及經(jīng)濟(jì)價(jià)值；但隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)安全問(wèn)題也日益嚴(yán)峻，國(guó)家重要企業(yè)內(nèi)部信息泄露、安全攻擊事件時(shí)有發(fā)生，且在發(fā)生攻擊前、攻擊時(shí)，網(wǎng)絡(luò)內(nèi)的安全設(shè)備未發(fā)現(xiàn)攻擊或未找到攻擊日志，傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備似乎對(duì)新型的攻擊無(wú)法抵抗。

但在基礎(chǔ)設(shè)施及系統(tǒng)應(yīng)用運(yùn)行時(shí)，各種網(wǎng)絡(luò)基礎(chǔ)設(shè)施、系統(tǒng)應(yīng)用服務(wù)均產(chǎn)生了日志數(shù)據(jù)，且日志數(shù)據(jù)中隱藏著用戶的行為記錄及各種行為數(shù)據(jù)，數(shù)據(jù)量也越來(lái)越大以海量計(jì)，網(wǎng)絡(luò)中的日志種類也越來(lái)越多。在網(wǎng)絡(luò)時(shí)代誰(shuí)掌握了數(shù)據(jù)誰(shuí)就掌握了主動(dòng)權(quán)，網(wǎng)絡(luò)信息安全中的日志數(shù)據(jù)除了能夠借助于進(jìn)行安全運(yùn)維之外，還可用于抵對(duì)信息網(wǎng)絡(luò)攻擊及態(tài)勢(shì)展示。

2 信息安全中日志的分類及價(jià)值

網(wǎng)絡(luò)信息安全中的日志與常規(guī)應(yīng)用大數(shù)據(jù)的應(yīng)用日志有所區(qū)別，應(yīng)用大數(shù)據(jù)更多關(guān)于民生，這些數(shù)據(jù)更多被企業(yè)用于了解消費(fèi)者習(xí)慣并促進(jìn)消費(fèi)、國(guó)家了解民生習(xí)慣或用于預(yù)測(cè)民生數(shù)據(jù)等。而信息安全中的日志數(shù)據(jù)主要是從網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、中間件等網(wǎng)絡(luò)基礎(chǔ)設(shè)施的運(yùn)行中獲取，其體現(xiàn)的是網(wǎng)絡(luò)運(yùn)行過(guò)程中的痕跡、用戶操作的蛛絲馬跡，這些數(shù)據(jù)更多地被用于幫助網(wǎng)絡(luò)安全運(yùn)維、安全管理，用于發(fā)現(xiàn)網(wǎng)絡(luò)安全威脅、發(fā)生安全事件時(shí)及時(shí)告知運(yùn)維人員、發(fā)生安全事件后協(xié)助追蹤溯源，且可協(xié)助用戶掌握網(wǎng)絡(luò)整體安全態(tài)勢(shì)。

網(wǎng)絡(luò)信息安全中的日志可簡(jiǎn)單地分為設(shè)備運(yùn)行日志及流量，路由交換設(shè)備，安全設(shè)備（防火墻、VPN、入侵審計(jì)、網(wǎng)頁(yè)防篡改等），操作系統(tǒng)，應(yīng)用系統(tǒng)，中間件，數(shù)據(jù)庫(kù)這六類系統(tǒng)及設(shè)備在運(yùn)行過(guò)程中產(chǎn)生的日志，而流量日志一般可通過(guò)網(wǎng)絡(luò)審計(jì)、流量分析等設(shè)備來(lái)識(shí)別。

這些日志記錄了運(yùn)維人員、普通終端用戶、外部用戶在使用系統(tǒng)時(shí)訪問(wèn)的路徑、訪問(wèn)者IP、登錄系統(tǒng)的用戶名、提交參數(shù)等，在發(fā)生攻擊時(shí)可以記錄攻擊者的攻擊時(shí)間、攻擊方式、攻擊IP等，即使網(wǎng)絡(luò)安全設(shè)備未匹配出攻擊。在攻擊者進(jìn)行攻擊時(shí)，攻擊者進(jìn)入網(wǎng)絡(luò)中途經(jīng)的設(shè)備都會(huì)記錄攻擊者的訪問(wèn)路徑、操作方式、提交參數(shù)等，如表1所示。

表1基本涵蓋了網(wǎng)絡(luò)及信息安全中的常規(guī)設(shè)備。及設(shè)備記錄的大致日志類型，這些日志默認(rèn)會(huì)被記錄在設(shè)備本地，在超過(guò)日志記錄的限制后，新產(chǎn)生的日志會(huì)覆蓋舊日志。

一般攻擊者在完成訪問(wèn)或者攻擊后，會(huì)將自己留下的訪問(wèn)記錄進(jìn)行刪除，故保留網(wǎng)絡(luò)中各種設(shè)備的日志是發(fā)現(xiàn)攻擊、在發(fā)生事件后進(jìn)行追溯以便解決問(wèn)題的非常必要的手段。

通過(guò)日志審計(jì)系統(tǒng)可對(duì)日志進(jìn)行收集并分析，這類系統(tǒng)只能記錄已經(jīng)發(fā)現(xiàn)的攻擊，但不是所有的攻擊都能被安全設(shè)備發(fā)現(xiàn)，如潛伏時(shí)間很長(zhǎng)的APT攻擊及新型未知攻擊，這類攻擊都是在發(fā)生之后才被安全人士所知，然后制定檢測(cè)規(guī)則并更新安全設(shè)備的檢測(cè)庫(kù)進(jìn)行檢測(cè)，其實(shí)通過(guò)以上的網(wǎng)絡(luò)信息安全日志可對(duì)這些新型的攻擊起到一定的檢測(cè)作用。

3 信息安全中日志的應(yīng)用

3.1日志審計(jì)系統(tǒng)的作用

各種設(shè)備及系統(tǒng)都被稱為日志源，日志審計(jì)系統(tǒng)收集到各種日志源的日志之后，將日志按照日志源類型進(jìn)行解析，此過(guò)程稱為日志格式化或者歸一化。每個(gè)日志源的日志格式都不一樣，故每個(gè)日志源的解析文件內(nèi)容都不一樣，一般在進(jìn)行日志解析時(shí)都會(huì)先分析日志的格式，然后按照格式將關(guān)注的日志內(nèi)容過(guò)濾出來(lái)。如日志審計(jì)系統(tǒng)收到防火墻的日志后，按照預(yù)先做好的防火墻日志分析文件對(duì)日志進(jìn)行格式化，將日志事件、日志中的源目IP、防火墻相關(guān)的策略ID、攻擊名稱等字段過(guò)濾出來(lái)。

完成日志的格式化并存儲(chǔ)下來(lái)后，如在發(fā)生安全事件時(shí)，日志審計(jì)系統(tǒng)可將告警通過(guò)短信、郵件、聲光等方式告知運(yùn)維人員，以便讓運(yùn)維人員及時(shí)地處理安全事件。同時(shí)，系統(tǒng)可通過(guò)各種預(yù)制好的報(bào)表對(duì)各種安全日志、安全事件進(jìn)行統(tǒng)計(jì)分析，讓運(yùn)維人員及管理人員掌握網(wǎng)絡(luò)安全狀況，具體的功能架構(gòu)如圖1所示。

通過(guò)上述及圖1所示可總結(jié)出，日志審計(jì)系統(tǒng)在通過(guò)各種數(shù)據(jù)采集方式收集到各種數(shù)據(jù)源的日志后，對(duì)日志進(jìn)行解析、歸一化，然后將日志進(jìn)行存儲(chǔ)、匹配告警、統(tǒng)計(jì)分析，對(duì)網(wǎng)絡(luò)中各種行為做完整的記錄，這可以對(duì)網(wǎng)絡(luò)運(yùn)維起到非常重要的作用，可滿足企業(yè)的安全需求。

此外，在2016年11月份頒發(fā)的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的第二十一條（三）項(xiàng)、第五十九條，就有對(duì)網(wǎng)絡(luò)日志留存的規(guī)定，可見日志留存對(duì)網(wǎng)絡(luò)安全的重要性。

3.2 安全大數(shù)據(jù)中日志的應(yīng)用

通過(guò)以上介紹可發(fā)現(xiàn)，常規(guī)的日志審計(jì)系統(tǒng)只能收集安全設(shè)備已發(fā)現(xiàn)的安全事件日志，沒(méi)有自主發(fā)現(xiàn)能力，只有收集及統(tǒng)計(jì)的功能，故若想通過(guò)網(wǎng)絡(luò)日志來(lái)增強(qiáng)對(duì)安全事件的發(fā)現(xiàn)能力，需通過(guò)安全大數(shù)據(jù)平臺(tái)來(lái)對(duì)發(fā)現(xiàn)未知的安全事件，同時(shí)還可掌握網(wǎng)絡(luò)整體安全態(tài)勢(shì)。

因安全大數(shù)據(jù)平臺(tái)進(jìn)行分析時(shí)需處理的日志是海量級(jí)的，故為了增強(qiáng)數(shù)據(jù)的分析處理能力，是基于大數(shù)據(jù)平臺(tái)的架構(gòu)的，與常規(guī)日志審計(jì)的關(guān)系型數(shù)據(jù)庫(kù)有所區(qū)別、但安全大數(shù)據(jù)平臺(tái)也是經(jīng)過(guò)日志收集、日志格式化的過(guò)程，然后再根據(jù)格式化后的數(shù)據(jù)進(jìn)行安全分析。

3.2.1 日志分析建模及畫像

安全大數(shù)據(jù)欲通過(guò)網(wǎng)絡(luò)日志發(fā)現(xiàn)安全事件、攻擊事件，需預(yù)先建立安全分析模型，建立分析模型是將攻擊常見的方式及順序進(jìn)行匹配。如攻擊者在攻擊前都會(huì)先進(jìn)行掃描發(fā)現(xiàn)漏洞或可乘之機(jī)，然后再進(jìn)行層層滲透、攻擊，安全設(shè)備不一定能識(shí)別出這些攻擊動(dòng)作或者可能只發(fā)現(xiàn)這些事件的表象，無(wú)法發(fā)現(xiàn)攻擊者的真正目的，但通過(guò)安全分析模型可將未知攻擊、深層次攻擊發(fā)現(xiàn)出來(lái)。

在安全大數(shù)據(jù)平臺(tái)中除了通過(guò)安全攻擊模型可發(fā)現(xiàn)未知攻擊、深層次攻擊外，還可通過(guò)人物畫像的方式發(fā)現(xiàn)這些潛在攻擊。

人物畫像也稱為用戶畫像，簡(jiǎn)而言之，是指通過(guò)大數(shù)據(jù)將用戶的操作習(xí)慣記錄下來(lái)，如某個(gè)終端用戶在日常上班時(shí)只會(huì)訪問(wèn)OA、CRM、工單系統(tǒng)、公司網(wǎng)站等與工作相關(guān)的系統(tǒng)，這些行為日志都會(huì)被大數(shù)據(jù)平臺(tái)記錄下來(lái)并完成該用戶的行為畫像。如某天發(fā)現(xiàn)該用戶在某個(gè)時(shí)間訪問(wèn)該用戶平常未訪問(wèn)過(guò)的系統(tǒng)或設(shè)備，大數(shù)據(jù)平臺(tái)收到用戶的訪問(wèn)日志后，發(fā)現(xiàn)與該用戶的行為畫像不太一致，故認(rèn)為該用戶的行為有所異常，故而進(jìn)行告警。此過(guò)程即為安全大數(shù)據(jù)的人物畫像。

3.2.2 安全態(tài)勢(shì)展示

安全大數(shù)據(jù)平臺(tái)在進(jìn)行安全事件深度分析之后，可將安全事件監(jiān)測(cè)結(jié)果進(jìn)行集中展示，可將安全事件從事件源IP、事件目標(biāo)、事件名稱、事件趨勢(shì)等各個(gè)維度進(jìn)行展示，并可以地圖、各種精美圖表的方式，將整體的網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行展示。

通過(guò)安全態(tài)勢(shì)的集中展示，管理人員及運(yùn)維人員能夠快速地掌握整個(gè)用戶網(wǎng)絡(luò)中的安全態(tài)勢(shì)及安全事件趨勢(shì)，管理人員可實(shí)時(shí)掌握整個(gè)網(wǎng)絡(luò)的安全態(tài)勢(shì)，為安全管理提供數(shù)據(jù)支撐、為管理方向做指導(dǎo)；運(yùn)維人員能夠在事件發(fā)生后快速掌握事件詳情、及時(shí)響應(yīng)、解決問(wèn)題。

4 網(wǎng)絡(luò)日志價(jià)值及利用總結(jié)

通過(guò)對(duì)網(wǎng)絡(luò)中安全設(shè)備日志的收集、格式化分析后，這些日志可利用于多個(gè)方面，如日志審計(jì)產(chǎn)品通過(guò)日志格式化、存儲(chǔ)、設(shè)置告警規(guī)則、統(tǒng)計(jì)報(bào)表分析之后，可用于協(xié)助網(wǎng)絡(luò)安全運(yùn)維、網(wǎng)絡(luò)故障排查、問(wèn)題追溯。安全大數(shù)據(jù)在日志審計(jì)處理基礎(chǔ)上，通過(guò)使用大數(shù)據(jù)架構(gòu)可處理更海量的數(shù)據(jù)，并通過(guò)建立日志分析模型建立、人物畫像分析，可增強(qiáng)對(duì)未知網(wǎng)絡(luò)安全攻擊的檢測(cè)能力，彌補(bǔ)傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備的不足，并提供安全態(tài)勢(shì)的集中展示，讓運(yùn)維及管理人員能夠直觀、整體的掌握整體網(wǎng)絡(luò)安全態(tài)勢(shì)，是大數(shù)據(jù)時(shí)代增強(qiáng)網(wǎng)絡(luò)安全檢測(cè)能力及安全管理能力的一個(gè)有力助力。

除日志審計(jì)系統(tǒng)、安全大數(shù)據(jù)平臺(tái)外，網(wǎng)絡(luò)日志還可應(yīng)用于多個(gè)系統(tǒng)，如安全管理系統(tǒng)、安全態(tài)勢(shì)感知平臺(tái)、預(yù)警平臺(tái)等，這些平臺(tái)都是在安全日志收集、格式、存儲(chǔ)的基礎(chǔ)上做一定的分析，建立不同的分析模型，并結(jié)合其他和資產(chǎn)安全性相關(guān)的要素（如漏洞、流量、配置合規(guī)性等）進(jìn)行網(wǎng)絡(luò)安全分析及態(tài)勢(shì)預(yù)測(cè)，這些系統(tǒng)都可從不同的功能性、視角，幫助用戶進(jìn)行網(wǎng)絡(luò)安全建設(shè)、管理，真正實(shí)現(xiàn)將網(wǎng)絡(luò)中米粒之珠的日志最大化利用。

5 結(jié)束語(yǔ)

網(wǎng)絡(luò)信息安全通過(guò)傳統(tǒng)的安全設(shè)備可檢測(cè)已知攻擊，但對(duì)新型及深層次攻擊檢測(cè)的能力有限。但是，隨著網(wǎng)絡(luò)威脅越來(lái)越嚴(yán)峻，僅能夠發(fā)現(xiàn)已知攻擊是遠(yuǎn)遠(yuǎn)不夠的，故通過(guò)網(wǎng)絡(luò)日志進(jìn)行日志記錄、發(fā)現(xiàn)未知威脅、深層次攻擊是非常有必要的。同時(shí)，對(duì)網(wǎng)絡(luò)安全狀況分析及整體安全態(tài)勢(shì)展現(xiàn)，讓網(wǎng)絡(luò)安全管理人員能夠整體、宏觀地掌握網(wǎng)絡(luò)安全態(tài)勢(shì)是具有巨大的幫助的。網(wǎng)絡(luò)日志在整個(gè)網(wǎng)絡(luò)運(yùn)行中是實(shí)時(shí)存在的，如果不利用起來(lái)，本身是沒(méi)有價(jià)值的，若能把日志分析及大數(shù)據(jù)分析結(jié)果利用起來(lái)后將是一筆巨大的安全財(cái)富。

參考文獻(xiàn)

[1] 美Anton A Chuvakin著.姚軍，簡(jiǎn)于涵，劉暉，譯.日志管理與分析指南[M].北京：機(jī)械工業(yè)出版社，2014.

[2] 李軍.大數(shù)據(jù)——從海量到精通[M].北京：清華大學(xué)出版社，2014.

[3] 維克托·邁爾-舍恩伯格，肯尼斯·庫(kù)克耶.大數(shù)據(jù)時(shí)代：生活、工作與思維的大變革[M].杭州：浙江人民出版社，2013.

[4] 牛溫佳.用戶網(wǎng)絡(luò)行為畫像——大數(shù)據(jù)中的用戶網(wǎng)絡(luò)行為畫像分析與內(nèi)容推薦應(yīng)用[M].北京：電子工業(yè)出版社.