阮曉龍 馮順磊

摘? 要： 操作系統(tǒng)安全尤其是Windows操作系統(tǒng)安全廣受重視，如何分析Windows系統(tǒng)運行情況、評估Windows系統(tǒng)安全風險，實現(xiàn)Windows系統(tǒng)安全威脅感知是網(wǎng)絡(luò)安全研究的重要方向。本文以ELK為基礎(chǔ)，從日志分析角度入手，建立海量實時日志分析平臺，高效利用Windows系統(tǒng)事件日志，挖掘Windows事件日志價值，實現(xiàn)Windows系統(tǒng)日志審計與分析，完成系統(tǒng)安全風險評估與威脅感知。

關(guān)鍵詞： ELK;Windows事件日志;日志分析;系統(tǒng)安全

【Abstract】： The security of the operating system， especially the security of the windows operating system， has been paid more and more attention. How to analyze the operation of the windows system， evaluate the security risk of the windows system， and realize the security threat awareness of the windows system is an important direction of the network security research. Based on elk and from the perspective of log analysis， this paper establishes a massive real- time log analysis platform， makes efficient use of windows system event log， excavates the value of windows event log， realizes windows system log audit and analysis， and completes system security risk assessment and threat perception.

【Key words】： ELK; Windows; Log analysis; System safety

0? 引言

根據(jù)NetMarketShare 2019全球操作系統(tǒng)市場調(diào)研，Windows操作系統(tǒng)仍以87.48%的比例占據(jù)最大份額，Windows操作系統(tǒng)依舊是使用最為廣泛的操作系統(tǒng)，Windows系統(tǒng)的安全防護顯得尤為重要。Windows系統(tǒng)的安全防護可從Windows事件日志開始，Windows事件日志中記錄著操作系統(tǒng)、應(yīng)用程序以及用戶操作情況，是系統(tǒng)運行的重要痕跡信息[1]。采集Windows事件日志，挖掘Windows事件日志價值，分析事件日志產(chǎn)生原因，歸納安全事件發(fā)生規(guī)律，可有效感知Windows操作系統(tǒng)運行狀態(tài)與安全風險[2]。

通過ELK可建設(shè)集中式Windows事件日志分析與安全風險感知平臺，統(tǒng)一采集Windows系統(tǒng)事件日志，集中存儲、實時分析、可視化呈現(xiàn)。依托集中式Windows事件日志分析與風險感知平臺可審計Windows系統(tǒng)運行狀態(tài)與安全風險，精細化感知操作系統(tǒng)層面的安全與服務(wù)，并以此實現(xiàn)系統(tǒng)安全審計與危險操作行為溯源。

1? Windows日志

1.1? 日志審計

Windows核心日志文件有系統(tǒng)（System）、安全（Security）和應(yīng)用程序（Application）三種，各類型日志的詳細描述信息與存儲位置如表1所示。

1.2? 日志解讀

通過事件查看器查看Windows日志信息，選擇其中一條日志解讀如下。Windows事件日志記錄的XML如圖2所示。

此事件日志由Windows在創(chuàng)建登錄會話時生成?！笆褂谜摺弊侄沃副镜叵到y(tǒng)上請求登錄的帳戶。通常是一個服務(wù)或本地進程。

“登錄信息”中的“登錄類型”字段表示發(fā)生的登錄類型。登錄類型信息描述如表3所示。

“新登錄”字段指本次登錄的帳戶?！熬W(wǎng)絡(luò)賬戶名稱”、“網(wǎng)絡(luò)賬戶域”字段表示遠程登錄請求源自哪里?！肮ぷ髡久Q”并非始終可用，在某些情況下可能會留空。

1.3? 關(guān)鍵日志

Windows事件日志由事件級別、記錄時間、事件來源、事件ID、事件描述、涉及的用戶、計算機、操作代碼及任務(wù)類別等多個字段構(gòu)成。每個事件ID代表不同的Windows操作行為，關(guān)鍵的Windows事件日志如表4、5、6所示，可依據(jù)事件ID挖掘Windows日志價值[3]。

2? 日志數(shù)據(jù)處理

Windows事件日志數(shù)據(jù)處理依托于ELK實現(xiàn)，使用Beats（采集日志）、Elasticsearch（存儲數(shù)據(jù)）、Kibana（數(shù)據(jù)分析模型）實現(xiàn)可視化呈現(xiàn)。Windows日志的采集使用Winlogbeat實現(xiàn)，Winlogbeat是ELK的Beats系列采集器，可密切監(jiān)控Windows設(shè)備上產(chǎn)生的各類事件，并實時流式傳輸至Elasticsearch或Logstash[4]。

（1）安裝Winlogbeat

下載并解壓Winlogbeat，使用Windows PowerShell將Winlogbeat安裝為Windows服務(wù)，安裝過程如圖3所示。

（2）采集Windows事件日志

修訂Winlogbeat配置文件，將采集Windows事件日志推送至Elasticsearch中。

啟動Winlogbeat服務(wù)，命令如下所示。

Start-Service winlogbeat采集的Windows事件日志如圖4所示。

3? 日志數(shù)據(jù)分析

3.1? 分析模型

基于采集的Windows事件日志數(shù)據(jù)并結(jié)合Windows事件含義可創(chuàng)建Windows事件日志分析模型，Windows事件分析模型將從不同角度展示W(wǎng)indows系統(tǒng)運行情況。分析模型主要分為四類：日志統(tǒng)計、事件分析、安全審計與風險評估。

（1）日志統(tǒng)計

日志統(tǒng)計將實時分析各類型事件個數(shù)、占比、排行等，從宏觀上展示W(wǎng)indows系統(tǒng)整體運行狀態(tài)。

（2）事件分析

事件分析將根據(jù)格式化后的Windows事件字段進行分析，深入事件日志本身，挖掘日志價值，從細節(jié)上展示W(wǎng)indows操作系統(tǒng)服務(wù)情況。

（3）安全審計

安全審計將集中展示多個Windows設(shè)備的事件日志信息，支持通過各種篩選條件查看Windows系統(tǒng)日志信息。

（4）風險評估

風險評估將重點關(guān)注Windows系統(tǒng)安全事件，實時展示W(wǎng)indows系統(tǒng)運行風險。

3.2? 數(shù)據(jù)可視化

為更好呈現(xiàn)Windows事件日志分析效果，可結(jié)合數(shù)據(jù)分析模型創(chuàng)建數(shù)據(jù)可視化視圖。數(shù)據(jù)可視化視圖依托于開源日志分析與可視化平臺Kibana創(chuàng)建，使用Kibana可快速從Elasticsearch中抽取數(shù)據(jù)創(chuàng)建直觀的分析圖表，并可將各種分析圖表匯總，形成儀表盤展示要點信息。

以分析模型“Windows日志變化趨勢”為例，繪制數(shù)據(jù)可視化視圖。其步驟如下所示。

（1）創(chuàng)建數(shù)據(jù)索引，將推送至Elasticsearch的Windows事件日志創(chuàng)建索引，索引名稱為“Winlogbeat*”。

（2）選擇數(shù)據(jù)源，依據(jù)采集的Windows事件日志信息，選擇索引為“Winlogbeat*”。

（3）選擇可視化類型為“折線圖”。

（4）配置X軸數(shù)據(jù)為“時間”，Y軸數(shù)據(jù)為“計數(shù)”，并將序列以“l(fā)og.level”拆分，形成可視化分析圖表如圖5所示。

4? 安全風險審計

建設(shè)集中式Windows事件日志分析與安全風險感知平臺可實現(xiàn)Windows操作系統(tǒng)安全風險監(jiān)測。Windows事件日志分析與安全風險感知平臺可采集Windows系統(tǒng)事件日志，集中存儲于Elasticsearch，并使用Kibana可視化呈現(xiàn)。

（1）集中審計Windows事件日志

基于集中式Windows事件日志分析與安全風險感知平臺可實現(xiàn)TB級的日志數(shù)據(jù)存儲，依托此平臺可實現(xiàn)Windows日志統(tǒng)一審計與管理。本文使用Winlogbeat不間斷采集5臺Windows 10系統(tǒng)事件日志并推送至Windows事件日志分析與安全風險感知平臺。使用Kibana的“Discover”查看指定時間周期的Windows事件日志，快速定位系統(tǒng)安全風險，發(fā)現(xiàn)前因后果，幫助系統(tǒng)管理人員更高效率的解決系統(tǒng)安全問題[5]。

（2）實時分析Windows安全風險

Winlogbeat將Windows事件日志實時地流式傳輸至Windows事件日志分析與安全風險感知平臺，實現(xiàn)實時的安全風險分析與可視化數(shù)據(jù)呈現(xiàn)[6]。依據(jù)Windows事件含義創(chuàng)建如表7所示的數(shù)據(jù)分析模型，完成Windows系統(tǒng)登錄情況分析、軟件運行情況分析、服務(wù)質(zhì)量分析、可移動設(shè)備使用情況分析等多個主題分析。以此挖掘Windows安全風險產(chǎn)生規(guī)律分布，發(fā)現(xiàn)Windows系統(tǒng)常見安全問題與安全風險較高設(shè)備、軟件、服務(wù)等，并可基于此建設(shè)Windows操作系統(tǒng)安全風險防護知識庫，有準備、有目的的解決Windows系統(tǒng)安全風險[7-9]。

（3）及時感知Windows安全威脅

基于ELK的Windows事件日志分析與安全風險感知平臺可實現(xiàn)精細化日志格式化與毫秒級的數(shù)據(jù)處理，及時感知Windows安全威脅。依據(jù)Windows操作系統(tǒng)安全防護知識庫，定義不同級別的Windows安全風險，關(guān)聯(lián)Windows事件日志。當平臺監(jiān)測到相應(yīng)的Windows事件日志產(chǎn)生后可快速判斷安全風險等級并通過郵件、短信、微信等方式將情況推送給相關(guān)管理人員，實現(xiàn)Windows安全風險動態(tài)感知[10-11]。

5? 總結(jié)

基于ELK技術(shù)完成了集中式Windows事件日志分析與安全風險感知平臺的建設(shè)，探索了海量數(shù)據(jù)下Windows事件日志方法，研究了Windows系統(tǒng)的安全風險，實現(xiàn)了對Windows系統(tǒng)的安全威脅感知，有效提升了Windows系統(tǒng)的運維服務(wù)質(zhì)量與安全防護能力。

參考文獻

[1]張文琦， 周喜， 趙凡， 馬博. 基于多維時序日志的異常行為可視分析[J/OL]. 計算機工程與應(yīng)用： 1-13[2019-08-09]. http：//kns.cnki.net/kcms/detail/11.2127.tp.20190408.1735.012.html.

[2]王全民， 韓曉芳. 基于Netflow的網(wǎng)絡(luò)安全大數(shù)據(jù)可視化分析[J]. 計算機系統(tǒng)應(yīng)用， 2019， 28（04）： 1-8.

[3]李春強， 夏偉. 基于Windows日志分析的終端安全研究[J]. 網(wǎng)絡(luò)空間安全， 2018， 9（09）： 70-77.

[4]姚攀， 馬玉鵬， 徐春香. 基于ELK的日志分析系統(tǒng)研究及應(yīng)用[J]. 計算機工程與設(shè)計， 2018， 39（07）： 2090-2095.

[5]申月莉. 基于Windows主機日志的取證分析方法研究[J]. 洛陽師范學院學報， 2016， 35（08）： 62-67.

[6]陳飛. 基于windows日志的安全審計技術(shù)研究[D]. 四川師范大學， 2012.

[7]曹政. 基于Mahout 框架的Hadoop 平臺作業(yè)日志分析平臺設(shè)計與實現(xiàn)[J]. 軟件， 2015， 36（11）： 43-47.

[8]江三鋒， 王元亮. 基于Hive 的海量web 日志分析系統(tǒng)設(shè)計研究[J]. 軟件， 2015， 36（4）： 93-96.

[9]陳星， 霍珊珊， 劉健. 物聯(lián)網(wǎng)信息系統(tǒng)安全測評服務(wù)模式的研究[J]. 軟件， 2016， 37（3）： 09-15.

[10]黃堃. 基于計算機網(wǎng)絡(luò)技術(shù)的計算機網(wǎng)絡(luò)信息安全及其防護策略分析[J]. 軟件， 2018， 39（6）： 139-141.

[11]尚永強. 計算機網(wǎng)絡(luò)信息安全中數(shù)據(jù)加密技術(shù)的探討[J]. 軟件， 2018， 39（12）： 198-201.