中國(guó)電信集團(tuán)天津分公司 田 野

安全審計(jì)系統(tǒng)作為一種安全策略記錄，能夠?yàn)殡娦胚\(yùn)營(yíng)商信息安全提供保證，通過(guò)將小概率關(guān)聯(lián)分析技術(shù)應(yīng)用于該系統(tǒng)，能夠利用相關(guān)性綜合觀(guān)察系統(tǒng)中的所有事件與信息，從而最大化降低信息安全事件的發(fā)生概率，這對(duì)電信運(yùn)營(yíng)商發(fā)展至關(guān)重要。

1 探討小概率關(guān)聯(lián)分析技術(shù)在電信運(yùn)營(yíng)商安全審計(jì)系統(tǒng)中的重要意義

所謂安全審計(jì)，主要是一種用于挖掘系統(tǒng)違規(guī)操作和漏洞的信息安全保護(hù)技術(shù)，分析基礎(chǔ)是系統(tǒng)數(shù)據(jù)。信息系統(tǒng)均具有一定脆弱性，極易出現(xiàn)信息安全問(wèn)題，但是通過(guò)將小概率關(guān)聯(lián)分析技術(shù)運(yùn)用于該系統(tǒng)，能夠提高數(shù)據(jù)分析準(zhǔn)確性，審計(jì)管理人員不需要手動(dòng)進(jìn)行大量策略配置工作，有效增強(qiáng)了審計(jì)工作的常態(tài)化和實(shí)時(shí)化性質(zhì)，保證審計(jì)內(nèi)容與電信運(yùn)營(yíng)商日常業(yè)務(wù)的緊密貼合，及時(shí)掌握違規(guī)操作，提升電信運(yùn)營(yíng)商審計(jì)信息管理水平。

2 研究小概率關(guān)聯(lián)分析技術(shù)在電信運(yùn)營(yíng)商安全審計(jì)系統(tǒng)中的設(shè)計(jì)運(yùn)用

2.1 技術(shù)模型原理流程

從當(dāng)前電信運(yùn)營(yíng)商安全審計(jì)系統(tǒng)運(yùn)行現(xiàn)狀來(lái)看，在海量的系統(tǒng)數(shù)據(jù)日志內(nèi)異常信息和違規(guī)操作占比較小，但是此類(lèi)信息數(shù)據(jù)直接關(guān)系到系統(tǒng)的信息數(shù)據(jù)安全，為此，需要挖掘這類(lèi)小概率事件，以信息數(shù)據(jù)為基礎(chǔ)進(jìn)行場(chǎng)景、特征以及過(guò)程的回溯，并配套落實(shí)知識(shí)庫(kù)，打造一個(gè)智能化的自學(xué)習(xí)分析體系。在將小概率關(guān)聯(lián)分析技術(shù)運(yùn)用于電信運(yùn)營(yíng)商安全審計(jì)系統(tǒng)時(shí)，主要以以下假設(shè)為基礎(chǔ)展開(kāi)：相較于非法操作，日常中的合法操作更多，判定非法操作的基準(zhǔn)是閾值，所以在運(yùn)用小概率關(guān)聯(lián)分析技術(shù)時(shí)，主要目的就是找出數(shù)量在特定閾值以下的系統(tǒng)操作行為。

在該假設(shè)條件的基礎(chǔ)上，首先對(duì)該系統(tǒng)歷史操作記錄的執(zhí)行次數(shù)進(jìn)行統(tǒng)計(jì)，對(duì)于該系統(tǒng)而言，操作系統(tǒng)由三方面構(gòu)成，分別為參數(shù)（option）、操作（operation)）和對(duì)象（object），即3O。在具體分析過(guò)程中，主要是將操作與參數(shù)或?qū)ο筮M(jìn)行隨機(jī)組合，從而比較違規(guī)閾值（illegal threshold）與統(tǒng)計(jì)結(jié)果，若是低于閾值，則判定該操作記錄疑似違規(guī)記錄，然后將其歸類(lèi)到疑似違規(guī)操作表（sus violation record）中，該技術(shù)分析環(huán)節(jié)為“查找?！逼浯危ㄟ^(guò)整理疑似數(shù)據(jù)得到“疑似違規(guī)操作記錄庫(kù)”后，使用每個(gè)操作對(duì)應(yīng)的一次會(huì)話(huà)的唯一標(biāo)識(shí)（session ID）對(duì)操作之前的有關(guān)操作集合進(jìn)行回溯，經(jīng)過(guò)這一操作可以獲得session里相關(guān)操作記錄以及使用者（user）等信息，以此獲得更為全面的疑似違規(guī)操作流，該技術(shù)分析環(huán)節(jié)為“回溯”。在完成數(shù)據(jù)記錄回溯后，若干疑似違規(guī)操作流中可能存在不在違規(guī)操作庫(kù)中的記錄，因此在獲得疑似違規(guī)操作流后，需要通過(guò)安全專(zhuān)家對(duì)違規(guī)操作進(jìn)行確認(rèn)，在確定某些記錄為違規(guī)操作后，將會(huì)存儲(chǔ)于違規(guī)操作表（violation record），對(duì)于沒(méi)有被判定為違規(guī)操作的記錄則會(huì)被丟棄，因此該技術(shù)分析環(huán)節(jié)為“確認(rèn)”。最后，若是發(fā)現(xiàn)表violation record中已經(jīng)存在疑似違規(guī)操作，則會(huì)以自動(dòng)化的方式增加操作次數(shù)，若是后來(lái)添加至表內(nèi)的記錄，該技術(shù)過(guò)程為“修改”。由此可見(jiàn)，小概率關(guān)聯(lián)分析技術(shù)在電信運(yùn)營(yíng)商安全審計(jì)系統(tǒng)中的運(yùn)用分為四部分，分別為查找、回溯、確認(rèn)及修改。

2.2 小概率關(guān)聯(lián)分析技術(shù)服務(wù)程序構(gòu)成

小概率關(guān)聯(lián)分析是一種自學(xué)習(xí)行為，但是用戶(hù)需要提前做好設(shè)置，比如回溯時(shí)間、分析策略，或是合理的違規(guī)閾值等，這樣才能夠?qū)崿F(xiàn)記錄數(shù)據(jù)的分析與歸類(lèi)整理。從當(dāng)前技術(shù)發(fā)展和使用現(xiàn)狀來(lái)看，基于該技術(shù)的服務(wù)程序包括四個(gè)模塊，分別為統(tǒng)計(jì)、回溯、確認(rèn)及監(jiān)控。①統(tǒng)計(jì)。該模塊負(fù)責(zé)統(tǒng)計(jì)某段時(shí)間內(nèi)系統(tǒng)日志中所有操作的系數(shù)，統(tǒng)計(jì)后按照從小到大的順序排列，根據(jù)用戶(hù)設(shè)置的關(guān)聯(lián)分析策略對(duì)疑似違規(guī)操作進(jìn)行刪選，并存儲(chǔ)至數(shù)據(jù)表中。②回溯。得到疑似違規(guī)操作庫(kù)后，系統(tǒng)管理員需要根據(jù)具體需求選擇是否回溯，若確認(rèn)回溯則以時(shí)間、用戶(hù)名等要素為基礎(chǔ)。例如，當(dāng)違規(guī)閾值為3時(shí)，創(chuàng)建用戶(hù)（create user）這一操作發(fā)生了2次，那么該操作就被判定為疑似違規(guī)操作，回溯該操作后則會(huì)得到兩個(gè)疑似違規(guī)操作流。③確認(rèn)。系統(tǒng)管理員以自身經(jīng)驗(yàn)為基礎(chǔ)判定該操作流是否為違規(guī)操作過(guò)程，選擇的不同其得到的操作流類(lèi)別也不同，分別為安全和違規(guī)操作流程。由于在確認(rèn)過(guò)程中需要?dú)w并處理日志流，將安全操作記錄篩選出去，因此，操作流時(shí)間可能較長(zhǎng)，但是用戶(hù)參與難度降低，最終得到的結(jié)果質(zhì)量也更為理想。④監(jiān)控。以違規(guī)操作流為基礎(chǔ)監(jiān)控用戶(hù)操作并實(shí)時(shí)匹配，以此獲得相關(guān)正處于進(jìn)行時(shí)的危險(xiǎn)操作，從而及時(shí)發(fā)送警示信息。

2.3 技術(shù)模型設(shè)計(jì)

在使用小概率關(guān)聯(lián)分析技術(shù)對(duì)電信運(yùn)營(yíng)商安全審計(jì)系統(tǒng)進(jìn)行分析時(shí)，主要通過(guò)小概率分析模型進(jìn)行，在設(shè)計(jì)該模型時(shí)，從信息數(shù)據(jù)查找、數(shù)據(jù)回溯、確認(rèn)以及修改四個(gè)階段進(jìn)行。以“腳本方式將DB2數(shù)據(jù)表導(dǎo)出到主機(jī)文件”為例，分析第一此運(yùn)行情況和例行運(yùn)行情況，以此保證分析模型設(shè)計(jì)質(zhì)量。

（1）查找設(shè)計(jì)

在進(jìn)行查找設(shè)計(jì)時(shí)，分別以?xún)煞N情況為基礎(chǔ)分別設(shè)計(jì)第一次查找和例行性查找。對(duì)于前者而言，需要面向電信運(yùn)營(yíng)商安全審計(jì)系統(tǒng)數(shù)據(jù)庫(kù)中的所有操作記錄開(kāi)展分析工作，首先，提取記錄詳情落實(shí)預(yù)處理工作，記錄詳情包括參數(shù)（option）、操作（operation)）和對(duì)象（object），預(yù)處理過(guò)程中將三者之間多余的空格去掉，之后保存，存儲(chǔ)方式為表map。之后，將3O作為記錄主鍵進(jìn)行次數(shù)的記錄，并一一對(duì)應(yīng)主鍵的使用者ID，即user session ID，主要將其記錄在表operation session。若是遇到不存在的主鍵，則歸類(lèi)于表map上，次數(shù)為1。在統(tǒng)計(jì)完操作記錄后，一旦發(fā)生次數(shù)在違規(guī)閾值以下，則被劃定為疑似違規(guī)操作，并整理至表violation record中。值得注意的是，由于每天用戶(hù)的記錄均存在異同，所以為了避免日期重疊，還需要進(jìn)行時(shí)間范圍的記錄，因?yàn)槿掌谑遣僮魅罩颈砻灾苯訉⒌谝粋€(gè)表和最后一個(gè)表的表名作為時(shí)間范圍即可，分別為作為起始時(shí)間戳，從而保證查找時(shí)間范圍的準(zhǔn)確是。最后，在全部記錄查找結(jié)束后，回溯所有操作記錄。

而后者這一例行性查找則是每天對(duì)該系統(tǒng)進(jìn)行查找，次數(shù)1次，統(tǒng)計(jì)過(guò)程與第一次運(yùn)行情況相同，唯一存在差異的內(nèi)容時(shí)對(duì)疑似違規(guī)操作進(jìn)行過(guò)濾時(shí)，以查找閾值為基礎(chǔ)，從而得到疑似違規(guī)操作表，最后開(kāi)展回溯工作。

（2）回溯設(shè)計(jì)

為實(shí)現(xiàn)對(duì)疑似違規(guī)操作表的有效回溯，需要以回溯原則進(jìn)行設(shè)計(jì)，假設(shè)記錄為A，那么針對(duì)第一次運(yùn)行情況下的回溯，內(nèi)容包括A session ID 1的所有操作，而例行性回溯則是回溯A session ID 1的user。通過(guò)重復(fù)回溯記錄A對(duì)應(yīng)的user session ID后，得到一個(gè)記錄相關(guān)操作，之后回溯嚇一條記錄，全部回溯結(jié)束后獲得疑似違規(guī)操作流，存儲(chǔ)于T NEED CONFIRED **** ** **中。

（3）確認(rèn)設(shè)計(jì)

在確認(rèn)階段，無(wú)論是第一次運(yùn)行情況還是例行性情況，其過(guò)程不存在差異，都是對(duì)T NEED CONFIRED **** ** **進(jìn)行分析，具體需要確認(rèn)的操作流程如表1所示。

表1 待確認(rèn)的操作流

（4）修改設(shè)計(jì)

在明確獲得違規(guī)操作后，進(jìn)入violation record中進(jìn)行確認(rèn)操作，將非違規(guī)操作剔出。

結(jié)論：綜上所述，小概率關(guān)聯(lián)分析技術(shù)在電信運(yùn)營(yíng)商安全審計(jì)系統(tǒng)中的運(yùn)用能夠及時(shí)最終安全漏洞、安全事故，并實(shí)時(shí)告警開(kāi)展責(zé)任追蹤。在實(shí)際設(shè)計(jì)運(yùn)用過(guò)程中，相關(guān)人員應(yīng)設(shè)計(jì)分析模型和搭建知識(shí)庫(kù)，從而為關(guān)聯(lián)分析的展開(kāi)奠定良好基礎(chǔ)，保證電信運(yùn)營(yíng)商信息安全。