郭晶 何亮 王宏 王勇

摘 ?要：目前，很多大型企業(yè)網(wǎng)絡(luò)與信息系統(tǒng)的安全審計能力不足，無法實現(xiàn)審計事件的有效檢測與追蹤。該文介紹了國網(wǎng)公司信息系統(tǒng)行為審計系統(tǒng)的整體技術(shù)架構(gòu)和關(guān)鍵技術(shù)，系統(tǒng)采用統(tǒng)一代理與插件技術(shù)整合多類日志源系統(tǒng)，實現(xiàn)異源系統(tǒng)日志統(tǒng)一采集與集中管理，構(gòu)建人員、設(shè)備、文件、應(yīng)用系統(tǒng)這四個維度的實體畫像，基于機(jī)器學(xué)習(xí)算法構(gòu)建實體行為動態(tài)基線和閾值，通過當(dāng)前操作行為偏差分析實現(xiàn)用戶異常行為檢測，系統(tǒng)通過用戶桌面操作行為的全程記錄與規(guī)則化分析進(jìn)行事件還原取證。整個行為審計系統(tǒng)已在國網(wǎng)公司總部和27家省市公司的應(yīng)用，有效支撐公司整體安全態(tài)勢分析及信息系統(tǒng)安全治理，實現(xiàn)了企業(yè)應(yīng)用業(yè)務(wù)操作審計的可控、能控、在控，提升了信息系統(tǒng)的安全管理水平。

關(guān)鍵詞：電力信息 ?行為審計 ?安全審計 ?大型企業(yè)

中圖分類號：TP391 ? ? ? ? ? ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識碼：A文章編號：1672-3791（2021）04（c）-0017-04

Research and Application of Behavior Security Audit System of Large Enterprise Information System

GUO Jing ?HE Liang ?WANG Hong ?WANG Yong

（Aostar Information Technologies Co.， Ltd.， Chengdu， Sichuan Province， 610041 ?China）

Abstract：At present， many large-scale enterprise network and information system security audit ability is insufficient， unable to achieve the effective detection and tracking of audit events. This paper introduces the overall technical framework and key technologies of the information system behavior audit system of State Grid Corporation. The system adopts the unified agent and plug-in technology to integrate multiple types of log source systems， to realize the unified collection and centralized management of logs of different systems， to build the entity portrait of four dimensions of personnel， equipment， files and application systems， and to build the dynamic baseline of entity behavior based on machine learning algorithm and threshold， through the deviation analysis of current operation behavior to achieve the detection of user abnormal behavior， the system through the user desktop operation behavior of the whole process record and regular analysis of event recovery forensics. The whole behavior audit system has been applied in the headquarters of State Grid Corporation and 27 provincial and municipal companies， effectively supporting the company's overall security situation analysis and information system security governance， realizing the controllable， controllable and in control of enterprise application business operation audit， and improving the security management level of information system.

Key Words： Electric power information; Behavior audit; Safety audit; Large enterprise

電力企業(yè)的發(fā)展關(guān)乎國家經(jīng)濟(jì)發(fā)展的命脈，電力企業(yè)的信息系統(tǒng)建設(shè)與安全審計十分重要。通過前期建設(shè)，國網(wǎng)電網(wǎng)公司已經(jīng)具備對網(wǎng)絡(luò)與信息系統(tǒng)的日志審計功能，但整體審計能力仍不足。審計數(shù)據(jù)源分散，已建的日志系統(tǒng)各自為陣，采集的數(shù)據(jù)格式和標(biāo)準(zhǔn)不統(tǒng)一，難以進(jìn)行統(tǒng)一管理和分析。在日志質(zhì)量方面，采集到的日志可讀性差、信息不全、利用價值低。比如：各業(yè)務(wù)應(yīng)用日志記錄內(nèi)容多以維護(hù)調(diào)試內(nèi)容為主，記錄用戶登錄、數(shù)據(jù)傳輸、事務(wù)執(zhí)行等。在行為審計分析與追蹤方面，分析方法單一，導(dǎo)致出現(xiàn)大量無效預(yù)警報警，難以及時有效地發(fā)現(xiàn)和阻斷違規(guī)行為。

該文通過對各系統(tǒng)異源日志的全面收集、海量存儲和多種審計方法的綜合運用，構(gòu)建了信息系統(tǒng)行為安全審計系統(tǒng)，實現(xiàn)用戶信息系統(tǒng)使用的全生命周期管理、操作全過程管理，對其他大型企業(yè)具有很好的借鑒參考作用。

1 ?行為安全審計系統(tǒng)技術(shù)架構(gòu)

信息系統(tǒng)行為安全審計系統(tǒng)整合了國網(wǎng)公司主機(jī)、網(wǎng)絡(luò)、安全類、應(yīng)用類、終端類以及應(yīng)用系統(tǒng)日志數(shù)據(jù)，構(gòu)建統(tǒng)一的企業(yè)級行為安全審計平臺。業(yè)務(wù)功能方面，主要包括流量采集、用戶行為畫像、用戶態(tài)勢管理、行為異常管理、流量采集管理端、行為數(shù)據(jù)質(zhì)量分析、違規(guī)行為阻斷管理、違規(guī)預(yù)測管理、系統(tǒng)管理等模塊[1]。信息系統(tǒng)行為安全審計系統(tǒng)技術(shù)架構(gòu)如圖1所示，系統(tǒng)使用的核心技術(shù)主要包括Storm、Kafka、Zookeeper、Flume、MapReduce、HDFS等，其中離線分析部分采用MapReduce進(jìn)行動態(tài)計算，使用Storm作為實時數(shù)據(jù)處理。系統(tǒng)輸入為離線和實時計算的數(shù)據(jù)源的集合，然后分別由實時系統(tǒng)和離線分析系統(tǒng)進(jìn)行分析處理，如使用Flume收集日志，然后連接一個消息中間件Kafka，F(xiàn)lume作為消息的生產(chǎn)者，生產(chǎn)的消息數(shù)據(jù)（日志數(shù)據(jù)、業(yè)務(wù)請求數(shù)據(jù)等）發(fā)布到Kafka中，然后通過訂閱的方式，使用Storm和HDFS，將消息處理后寫入HDFS進(jìn)行離線分析處理。

2 ?系統(tǒng)關(guān)鍵技術(shù)

2.1 異源系統(tǒng)日志統(tǒng)一采集與集中管理方法

對各類異源系統(tǒng)的日志信息進(jìn)行統(tǒng)一采集和集中管理，從數(shù)據(jù)采集源頭打?qū)嵒A(chǔ)。系統(tǒng)采用統(tǒng)一代理與插件技術(shù)整合用戶桌面操作日志、網(wǎng)絡(luò)設(shè)備及服務(wù)器日志、內(nèi)外網(wǎng)數(shù)據(jù)流量日志和業(yè)務(wù)應(yīng)用操作等多類日志源，在各個監(jiān)控節(jié)點上部署采集代理，其主要負(fù)責(zé)日志信息采集和處理，采集服務(wù)端統(tǒng)一對采集代理進(jìn)行插件管理和策略下發(fā)，采集的日志通過統(tǒng)一日志中心進(jìn)行集中存儲和管理，統(tǒng)一日志采集代理體系結(jié)構(gòu)見圖2。

日志采集代理與統(tǒng)一日志中心服務(wù)器之間使用TCP協(xié)議進(jìn)行通信，并通過安全套接層SSL進(jìn)行加密和認(rèn)證，防止日志信息被竊聽。為了防止主機(jī)隨意連接日志服務(wù)器并發(fā)送虛假的日志文件，系統(tǒng)使用公證機(jī)制保證日志文件的可信性和可靠性。

日志采集代理通過插件技術(shù)來實現(xiàn)多源日志采集的靈活處理，其中終端采集Agent基于HOOK（鉤子）機(jī)制通過捕獲操作系統(tǒng)傳輸消息實現(xiàn)，交換機(jī)流量采集Agent基于協(xié)議解析和證書機(jī)制實現(xiàn)對Http/Https、Ftp/Ftps等各種協(xié)議數(shù)據(jù)的解析，每個插件通過Agent管理端插件配置和正則表達(dá)式實現(xiàn)對各日志源的采集內(nèi)容定義，插件配置文件由插件基本信息、一系列的正則表達(dá)式和標(biāo)識信息域的變量列表組成。

2.2 四個實體維度的異常行為檢測方法

快速準(zhǔn)確地識別用戶的異常行為并進(jìn)行阻斷是行為安全審計系統(tǒng)的核心。系統(tǒng)建立用戶、應(yīng)用系統(tǒng)、設(shè)備、文件這四個實體維度的行為畫像，利用主成分分析算法在畫像信息中提取形成風(fēng)險事件的關(guān)鍵因素，并基于機(jī)器學(xué)習(xí)回歸算法構(gòu)建實體行為動態(tài)基線和閾值，基于當(dāng)前操作行為與基線、閾值偏差分析，通過分級權(quán)重機(jī)制判斷并識別異常行為，實現(xiàn)動態(tài)預(yù)警提升審計準(zhǔn)確率。

其中人員畫像主要從日志對人員的靜態(tài)信息和動態(tài)信息進(jìn)行提取，通過統(tǒng)計分析、聚類分析、關(guān)聯(lián)分析等方法挖掘用戶的各種操作行為，形成各種人員畫像[2]。終端畫像主要是從日志對終端的靜態(tài)信息和動態(tài)信息進(jìn)行提取，利用統(tǒng)計分析、關(guān)聯(lián)分析等方法對終端狀態(tài)進(jìn)行挖掘，形成各類終端畫像。文件畫像主要是根據(jù)深度內(nèi)容掃描技術(shù)識別文件內(nèi)容，并標(biāo)記文件中的敏感關(guān)鍵字及敏感關(guān)鍵字在文件中出現(xiàn)的次數(shù)，形成各類文件畫像。應(yīng)用系統(tǒng)畫像通過對應(yīng)用系統(tǒng)不同的運行特征進(jìn)行提取和歸納，從日志中提取應(yīng)用系統(tǒng)不同維度的有效信息，通過對這些信息進(jìn)行計算，形成特征，歸納出的標(biāo)簽的集合即應(yīng)用系統(tǒng)畫像[3-5]。

下面以抄表員用戶畫像為例進(jìn)行說明，根據(jù)抄表員在一段時間段內(nèi)的操作行為日志，通過歸并、分揀、聚類等方式進(jìn)行數(shù)據(jù)分析，基于業(yè)務(wù)查詢、業(yè)務(wù)辦理等日常操作場景構(gòu)建分析模型，構(gòu)建條件包括行為發(fā)生IP地址段、行為發(fā)生時間范圍、行為發(fā)生時間周期、行為結(jié)果等。將指定操作日志發(fā)送給分析模型，分析模型對用戶操作日志進(jìn)行行為分析、比對，將偏離正常行為區(qū)域、行為時間段的日志，作為異常行為日志發(fā)送給審計管理員進(jìn)行審核，同時生成行為分布。

2.3 多軌可視化用戶行為分析取證技術(shù)

在違規(guī)事件發(fā)生后，一般通過反向追蹤根據(jù)被泄露或是竄改的數(shù)據(jù)線索追蹤到目標(biāo)人群，然后通過正向復(fù)原從嫌疑人群中復(fù)原個人的詳細(xì)操作軌跡。這個看似簡單的過程在實際環(huán)境中往往由于業(yè)務(wù)應(yīng)用操作日志可被刪除、篡改，形成行為追蹤斷點，導(dǎo)致定位不清、追責(zé)困難。

系統(tǒng)采用多軌可視化用戶行為分析取證方法實現(xiàn)用戶操作行為全紀(jì)錄、運維操作全程監(jiān)控與多維度的行為分析與追蹤。系統(tǒng)從用戶打開客戶端開始實時記錄用戶在客戶端的操作行為，記錄客戶端發(fā)生的狀態(tài)變化、關(guān)鍵進(jìn)程生命周期、Web應(yīng)用會話以及響應(yīng)內(nèi)容等。用戶訪問應(yīng)用程序時，在瀏覽器端訪問的URL信息、頁面內(nèi)容、操作信息，與在應(yīng)用服務(wù)端實時采集的日志數(shù)據(jù)進(jìn)行完善互補(bǔ)，確保數(shù)據(jù)采集的全面性[6]。對關(guān)鍵區(qū)域用戶操作進(jìn)行全程記錄的錄屏數(shù)據(jù)可以轉(zhuǎn)化為結(jié)構(gòu)化數(shù)據(jù)便于進(jìn)行提取分析，包括視頻界定、關(guān)鍵字抓取、轉(zhuǎn)換為數(shù)據(jù)主題數(shù)據(jù)并入主題庫、形成的帶主題特征的結(jié)構(gòu)化數(shù)據(jù)等。系統(tǒng)收到事件調(diào)查申請后，將追蹤分析場景相關(guān)參數(shù)和內(nèi)容傳遞給規(guī)則化分析引擎，以完成具體參數(shù)轉(zhuǎn)換、數(shù)據(jù)加載、編排、檢索和數(shù)據(jù)范圍鎖定等分析計算，快速獲取事件相關(guān)日志數(shù)據(jù)。最后應(yīng)用標(biāo)尺分析技術(shù)對事件數(shù)據(jù)進(jìn)行可視化多維分析，展現(xiàn)用戶在特定時間段內(nèi)的活動軌跡、時長以及該時間段內(nèi)用戶進(jìn)行的操作和異常行為。操作上主要是通過將用戶行為所有路徑中涉及的節(jié)點進(jìn)行分層來實現(xiàn)，如應(yīng)用、負(fù)載均衡、路由器、Web服務(wù)器、代理、客戶端等。

3 ?應(yīng)用成效

信息系統(tǒng)用戶行為安全審計系統(tǒng)已經(jīng)在國網(wǎng)公司總部及27家省市公司推廣應(yīng)用，在生產(chǎn)應(yīng)用過程中，多次發(fā)現(xiàn)違規(guī)使用禁用端口、系統(tǒng)弱口令、賬號異地登錄等非法操作。

2017年6月21日，國網(wǎng)某電力公司審計人員通過行為安全審計操作日志的關(guān)鍵字查詢，發(fā)現(xiàn)違規(guī)操作記錄。sunwei賬號15點03分在IP：10.165.177.137的電腦上登錄了10.1**.***.132服務(wù)器，執(zhí)行修改密碼操作。進(jìn)一步查看審計錄像發(fā)現(xiàn)，其完成常規(guī)巡檢工作后執(zhí)行ssh指令欲跳轉(zhuǎn)其他服務(wù)器，該用戶在巡檢工作中多次違規(guī)操作，均被系統(tǒng)默認(rèn)設(shè)置的全局黑名單成功攔截。

通過對某單位統(tǒng)一權(quán)限平臺賬號登錄日志進(jìn)行審計分析，統(tǒng)一權(quán)限平臺賬號異地登錄率較高，同一賬號在多終端登錄情況廣泛存在，賬號安全形勢依然嚴(yán)峻。統(tǒng)計發(fā)現(xiàn)，同一賬號在固定終端（固定IP）使用的比例小于40%，建議賬號安全治理與行為審計協(xié)同，常態(tài)化開展賬號安全治理工作。

4 ?結(jié)語

隨著網(wǎng)絡(luò)安全法的實施以及信息化安全提升發(fā)展趨勢，信息系統(tǒng)行為安全審計越發(fā)重要。該文形成了一套適用于大中型企業(yè)的信息系統(tǒng)行為安全審計解決方案，解決了傳統(tǒng)信息化帶來的行為信息系統(tǒng)行為分析困難、用戶操作行為定責(zé)無依據(jù)、分析行為不徹底等問題，是強(qiáng)化企業(yè)信息安全的必要手段，具有良好的應(yīng)用價值。

參考文獻(xiàn)

[1] 劉廷峰，張曉韜，周平，等.國家電網(wǎng)公司行為安全審計系統(tǒng)開發(fā)與應(yīng)用實踐[J].網(wǎng)絡(luò)空間安全，2018，9（12）：90-92.

[2] 歐陽帆，張月天.一種基于用戶行為畫像的安全審計系統(tǒng)[J].信息與電腦：理論版，2018（2）：21-25.

[3] 韓培義.面向云計算的數(shù)據(jù)加密與脫敏技術(shù)研究[D].北京郵電大學(xué)，2020.

[4] 王益成.數(shù)據(jù)驅(qū)動下科技情報智慧服務(wù)模式研究[D].吉林大學(xué)，2020.

[5] 王玉彬.社交網(wǎng)絡(luò)大數(shù)據(jù)分析系統(tǒng)的設(shè)計與實現(xiàn)[D].山東大學(xué)，2020.

[6] 彭永勇，劉遠(yuǎn)彪.基于企業(yè)級應(yīng)用場景的多軌可視化用戶行為分析取證技術(shù)研究[J].信息與電腦：理論版，2018（2）：21-25.