郭晶 何亮 王宏 王勇

摘 ?要：目前，很多大型企業(yè)網(wǎng)絡(luò)與信息系統(tǒng)的安全審計(jì)能力不足，無(wú)法實(shí)現(xiàn)審計(jì)事件的有效檢測(cè)與追蹤。該文介紹了國(guó)網(wǎng)公司信息系統(tǒng)行為審計(jì)系統(tǒng)的整體技術(shù)架構(gòu)和關(guān)鍵技術(shù)，系統(tǒng)采用統(tǒng)一代理與插件技術(shù)整合多類日志源系統(tǒng)，實(shí)現(xiàn)異源系統(tǒng)日志統(tǒng)一采集與集中管理，構(gòu)建人員、設(shè)備、文件、應(yīng)用系統(tǒng)這四個(gè)維度的實(shí)體畫(huà)像，基于機(jī)器學(xué)習(xí)算法構(gòu)建實(shí)體行為動(dòng)態(tài)基線和閾值，通過(guò)當(dāng)前操作行為偏差分析實(shí)現(xiàn)用戶異常行為檢測(cè)，系統(tǒng)通過(guò)用戶桌面操作行為的全程記錄與規(guī)則化分析進(jìn)行事件還原取證。整個(gè)行為審計(jì)系統(tǒng)已在國(guó)網(wǎng)公司總部和27家省市公司的應(yīng)用，有效支撐公司整體安全態(tài)勢(shì)分析及信息系統(tǒng)安全治理，實(shí)現(xiàn)了企業(yè)應(yīng)用業(yè)務(wù)操作審計(jì)的可控、能控、在控，提升了信息系統(tǒng)的安全管理水平。

關(guān)鍵詞：電力信息 ?行為審計(jì) ?安全審計(jì) ?大型企業(yè)

中圖分類號(hào)：TP391 ? ? ? ? ? ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1672-3791（2021）04（c）-0017-04

Research and Application of Behavior Security Audit System of Large Enterprise Information System

GUO Jing ?HE Liang ?WANG Hong ?WANG Yong

（Aostar Information Technologies Co.， Ltd.， Chengdu， Sichuan Province， 610041 ?China）

Abstract：At present， many large-scale enterprise network and information system security audit ability is insufficient， unable to achieve the effective detection and tracking of audit events. This paper introduces the overall technical framework and key technologies of the information system behavior audit system of State Grid Corporation. The system adopts the unified agent and plug-in technology to integrate multiple types of log source systems， to realize the unified collection and centralized management of logs of different systems， to build the entity portrait of four dimensions of personnel， equipment， files and application systems， and to build the dynamic baseline of entity behavior based on machine learning algorithm and threshold， through the deviation analysis of current operation behavior to achieve the detection of user abnormal behavior， the system through the user desktop operation behavior of the whole process record and regular analysis of event recovery forensics. The whole behavior audit system has been applied in the headquarters of State Grid Corporation and 27 provincial and municipal companies， effectively supporting the company's overall security situation analysis and information system security governance， realizing the controllable， controllable and in control of enterprise application business operation audit， and improving the security management level of information system.

Key Words： Electric power information; Behavior audit; Safety audit; Large enterprise

電力企業(yè)的發(fā)展關(guān)乎國(guó)家經(jīng)濟(jì)發(fā)展的命脈，電力企業(yè)的信息系統(tǒng)建設(shè)與安全審計(jì)十分重要。通過(guò)前期建設(shè)，國(guó)網(wǎng)電網(wǎng)公司已經(jīng)具備對(duì)網(wǎng)絡(luò)與信息系統(tǒng)的日志審計(jì)功能，但整體審計(jì)能力仍不足。審計(jì)數(shù)據(jù)源分散，已建的日志系統(tǒng)各自為陣，采集的數(shù)據(jù)格式和標(biāo)準(zhǔn)不統(tǒng)一，難以進(jìn)行統(tǒng)一管理和分析。在日志質(zhì)量方面，采集到的日志可讀性差、信息不全、利用價(jià)值低。比如：各業(yè)務(wù)應(yīng)用日志記錄內(nèi)容多以維護(hù)調(diào)試內(nèi)容為主，記錄用戶登錄、數(shù)據(jù)傳輸、事務(wù)執(zhí)行等。在行為審計(jì)分析與追蹤方面，分析方法單一，導(dǎo)致出現(xiàn)大量無(wú)效預(yù)警報(bào)警，難以及時(shí)有效地發(fā)現(xiàn)和阻斷違規(guī)行為。

該文通過(guò)對(duì)各系統(tǒng)異源日志的全面收集、海量存儲(chǔ)和多種審計(jì)方法的綜合運(yùn)用，構(gòu)建了信息系統(tǒng)行為安全審計(jì)系統(tǒng)，實(shí)現(xiàn)用戶信息系統(tǒng)使用的全生命周期管理、操作全過(guò)程管理，對(duì)其他大型企業(yè)具有很好的借鑒參考作用。

1 ?行為安全審計(jì)系統(tǒng)技術(shù)架構(gòu)

信息系統(tǒng)行為安全審計(jì)系統(tǒng)整合了國(guó)網(wǎng)公司主機(jī)、網(wǎng)絡(luò)、安全類、應(yīng)用類、終端類以及應(yīng)用系統(tǒng)日志數(shù)據(jù)，構(gòu)建統(tǒng)一的企業(yè)級(jí)行為安全審計(jì)平臺(tái)。業(yè)務(wù)功能方面，主要包括流量采集、用戶行為畫(huà)像、用戶態(tài)勢(shì)管理、行為異常管理、流量采集管理端、行為數(shù)據(jù)質(zhì)量分析、違規(guī)行為阻斷管理、違規(guī)預(yù)測(cè)管理、系統(tǒng)管理等模塊[1]。信息系統(tǒng)行為安全審計(jì)系統(tǒng)技術(shù)架構(gòu)如圖1所示，系統(tǒng)使用的核心技術(shù)主要包括Storm、Kafka、Zookeeper、Flume、MapReduce、HDFS等，其中離線分析部分采用MapReduce進(jìn)行動(dòng)態(tài)計(jì)算，使用Storm作為實(shí)時(shí)數(shù)據(jù)處理。系統(tǒng)輸入為離線和實(shí)時(shí)計(jì)算的數(shù)據(jù)源的集合，然后分別由實(shí)時(shí)系統(tǒng)和離線分析系統(tǒng)進(jìn)行分析處理，如使用Flume收集日志，然后連接一個(gè)消息中間件Kafka，F(xiàn)lume作為消息的生產(chǎn)者，生產(chǎn)的消息數(shù)據(jù)（日志數(shù)據(jù)、業(yè)務(wù)請(qǐng)求數(shù)據(jù)等）發(fā)布到Kafka中，然后通過(guò)訂閱的方式，使用Storm和HDFS，將消息處理后寫(xiě)入HDFS進(jìn)行離線分析處理。

2 ?系統(tǒng)關(guān)鍵技術(shù)

2.1 異源系統(tǒng)日志統(tǒng)一采集與集中管理方法

對(duì)各類異源系統(tǒng)的日志信息進(jìn)行統(tǒng)一采集和集中管理，從數(shù)據(jù)采集源頭打?qū)嵒A(chǔ)。系統(tǒng)采用統(tǒng)一代理與插件技術(shù)整合用戶桌面操作日志、網(wǎng)絡(luò)設(shè)備及服務(wù)器日志、內(nèi)外網(wǎng)數(shù)據(jù)流量日志和業(yè)務(wù)應(yīng)用操作等多類日志源，在各個(gè)監(jiān)控節(jié)點(diǎn)上部署采集代理，其主要負(fù)責(zé)日志信息采集和處理，采集服務(wù)端統(tǒng)一對(duì)采集代理進(jìn)行插件管理和策略下發(fā)，采集的日志通過(guò)統(tǒng)一日志中心進(jìn)行集中存儲(chǔ)和管理，統(tǒng)一日志采集代理體系結(jié)構(gòu)見(jiàn)圖2。

日志采集代理與統(tǒng)一日志中心服務(wù)器之間使用TCP協(xié)議進(jìn)行通信，并通過(guò)安全套接層SSL進(jìn)行加密和認(rèn)證，防止日志信息被竊聽(tīng)。為了防止主機(jī)隨意連接日志服務(wù)器并發(fā)送虛假的日志文件，系統(tǒng)使用公證機(jī)制保證日志文件的可信性和可靠性。

日志采集代理通過(guò)插件技術(shù)來(lái)實(shí)現(xiàn)多源日志采集的靈活處理，其中終端采集Agent基于HOOK（鉤子）機(jī)制通過(guò)捕獲操作系統(tǒng)傳輸消息實(shí)現(xiàn)，交換機(jī)流量采集Agent基于協(xié)議解析和證書(shū)機(jī)制實(shí)現(xiàn)對(duì)Http/Https、Ftp/Ftps等各種協(xié)議數(shù)據(jù)的解析，每個(gè)插件通過(guò)Agent管理端插件配置和正則表達(dá)式實(shí)現(xiàn)對(duì)各日志源的采集內(nèi)容定義，插件配置文件由插件基本信息、一系列的正則表達(dá)式和標(biāo)識(shí)信息域的變量列表組成。

2.2 四個(gè)實(shí)體維度的異常行為檢測(cè)方法

快速準(zhǔn)確地識(shí)別用戶的異常行為并進(jìn)行阻斷是行為安全審計(jì)系統(tǒng)的核心。系統(tǒng)建立用戶、應(yīng)用系統(tǒng)、設(shè)備、文件這四個(gè)實(shí)體維度的行為畫(huà)像，利用主成分分析算法在畫(huà)像信息中提取形成風(fēng)險(xiǎn)事件的關(guān)鍵因素，并基于機(jī)器學(xué)習(xí)回歸算法構(gòu)建實(shí)體行為動(dòng)態(tài)基線和閾值，基于當(dāng)前操作行為與基線、閾值偏差分析，通過(guò)分級(jí)權(quán)重機(jī)制判斷并識(shí)別異常行為，實(shí)現(xiàn)動(dòng)態(tài)預(yù)警提升審計(jì)準(zhǔn)確率。

其中人員畫(huà)像主要從日志對(duì)人員的靜態(tài)信息和動(dòng)態(tài)信息進(jìn)行提取，通過(guò)統(tǒng)計(jì)分析、聚類分析、關(guān)聯(lián)分析等方法挖掘用戶的各種操作行為，形成各種人員畫(huà)像[2]。終端畫(huà)像主要是從日志對(duì)終端的靜態(tài)信息和動(dòng)態(tài)信息進(jìn)行提取，利用統(tǒng)計(jì)分析、關(guān)聯(lián)分析等方法對(duì)終端狀態(tài)進(jìn)行挖掘，形成各類終端畫(huà)像。文件畫(huà)像主要是根據(jù)深度內(nèi)容掃描技術(shù)識(shí)別文件內(nèi)容，并標(biāo)記文件中的敏感關(guān)鍵字及敏感關(guān)鍵字在文件中出現(xiàn)的次數(shù)，形成各類文件畫(huà)像。應(yīng)用系統(tǒng)畫(huà)像通過(guò)對(duì)應(yīng)用系統(tǒng)不同的運(yùn)行特征進(jìn)行提取和歸納，從日志中提取應(yīng)用系統(tǒng)不同維度的有效信息，通過(guò)對(duì)這些信息進(jìn)行計(jì)算，形成特征，歸納出的標(biāo)簽的集合即應(yīng)用系統(tǒng)畫(huà)像[3-5]。

下面以抄表員用戶畫(huà)像為例進(jìn)行說(shuō)明，根據(jù)抄表員在一段時(shí)間段內(nèi)的操作行為日志，通過(guò)歸并、分揀、聚類等方式進(jìn)行數(shù)據(jù)分析，基于業(yè)務(wù)查詢、業(yè)務(wù)辦理等日常操作場(chǎng)景構(gòu)建分析模型，構(gòu)建條件包括行為發(fā)生IP地址段、行為發(fā)生時(shí)間范圍、行為發(fā)生時(shí)間周期、行為結(jié)果等。將指定操作日志發(fā)送給分析模型，分析模型對(duì)用戶操作日志進(jìn)行行為分析、比對(duì)，將偏離正常行為區(qū)域、行為時(shí)間段的日志，作為異常行為日志發(fā)送給審計(jì)管理員進(jìn)行審核，同時(shí)生成行為分布。

2.3 多軌可視化用戶行為分析取證技術(shù)

在違規(guī)事件發(fā)生后，一般通過(guò)反向追蹤根據(jù)被泄露或是竄改的數(shù)據(jù)線索追蹤到目標(biāo)人群，然后通過(guò)正向復(fù)原從嫌疑人群中復(fù)原個(gè)人的詳細(xì)操作軌跡。這個(gè)看似簡(jiǎn)單的過(guò)程在實(shí)際環(huán)境中往往由于業(yè)務(wù)應(yīng)用操作日志可被刪除、篡改，形成行為追蹤斷點(diǎn)，導(dǎo)致定位不清、追責(zé)困難。

系統(tǒng)采用多軌可視化用戶行為分析取證方法實(shí)現(xiàn)用戶操作行為全紀(jì)錄、運(yùn)維操作全程監(jiān)控與多維度的行為分析與追蹤。系統(tǒng)從用戶打開(kāi)客戶端開(kāi)始實(shí)時(shí)記錄用戶在客戶端的操作行為，記錄客戶端發(fā)生的狀態(tài)變化、關(guān)鍵進(jìn)程生命周期、Web應(yīng)用會(huì)話以及響應(yīng)內(nèi)容等。用戶訪問(wèn)應(yīng)用程序時(shí)，在瀏覽器端訪問(wèn)的URL信息、頁(yè)面內(nèi)容、操作信息，與在應(yīng)用服務(wù)端實(shí)時(shí)采集的日志數(shù)據(jù)進(jìn)行完善互補(bǔ)，確保數(shù)據(jù)采集的全面性[6]。對(duì)關(guān)鍵區(qū)域用戶操作進(jìn)行全程記錄的錄屏數(shù)據(jù)可以轉(zhuǎn)化為結(jié)構(gòu)化數(shù)據(jù)便于進(jìn)行提取分析，包括視頻界定、關(guān)鍵字抓取、轉(zhuǎn)換為數(shù)據(jù)主題數(shù)據(jù)并入主題庫(kù)、形成的帶主題特征的結(jié)構(gòu)化數(shù)據(jù)等。系統(tǒng)收到事件調(diào)查申請(qǐng)后，將追蹤分析場(chǎng)景相關(guān)參數(shù)和內(nèi)容傳遞給規(guī)則化分析引擎，以完成具體參數(shù)轉(zhuǎn)換、數(shù)據(jù)加載、編排、檢索和數(shù)據(jù)范圍鎖定等分析計(jì)算，快速獲取事件相關(guān)日志數(shù)據(jù)。最后應(yīng)用標(biāo)尺分析技術(shù)對(duì)事件數(shù)據(jù)進(jìn)行可視化多維分析，展現(xiàn)用戶在特定時(shí)間段內(nèi)的活動(dòng)軌跡、時(shí)長(zhǎng)以及該時(shí)間段內(nèi)用戶進(jìn)行的操作和異常行為。操作上主要是通過(guò)將用戶行為所有路徑中涉及的節(jié)點(diǎn)進(jìn)行分層來(lái)實(shí)現(xiàn)，如應(yīng)用、負(fù)載均衡、路由器、Web服務(wù)器、代理、客戶端等。

3 ?應(yīng)用成效

信息系統(tǒng)用戶行為安全審計(jì)系統(tǒng)已經(jīng)在國(guó)網(wǎng)公司總部及27家省市公司推廣應(yīng)用，在生產(chǎn)應(yīng)用過(guò)程中，多次發(fā)現(xiàn)違規(guī)使用禁用端口、系統(tǒng)弱口令、賬號(hào)異地登錄等非法操作。

2017年6月21日，國(guó)網(wǎng)某電力公司審計(jì)人員通過(guò)行為安全審計(jì)操作日志的關(guān)鍵字查詢，發(fā)現(xiàn)違規(guī)操作記錄。sunwei賬號(hào)15點(diǎn)03分在IP：10.165.177.137的電腦上登錄了10.1**.***.132服務(wù)器，執(zhí)行修改密碼操作。進(jìn)一步查看審計(jì)錄像發(fā)現(xiàn)，其完成常規(guī)巡檢工作后執(zhí)行ssh指令欲跳轉(zhuǎn)其他服務(wù)器，該用戶在巡檢工作中多次違規(guī)操作，均被系統(tǒng)默認(rèn)設(shè)置的全局黑名單成功攔截。

通過(guò)對(duì)某單位統(tǒng)一權(quán)限平臺(tái)賬號(hào)登錄日志進(jìn)行審計(jì)分析，統(tǒng)一權(quán)限平臺(tái)賬號(hào)異地登錄率較高，同一賬號(hào)在多終端登錄情況廣泛存在，賬號(hào)安全形勢(shì)依然嚴(yán)峻。統(tǒng)計(jì)發(fā)現(xiàn)，同一賬號(hào)在固定終端（固定IP）使用的比例小于40%，建議賬號(hào)安全治理與行為審計(jì)協(xié)同，常態(tài)化開(kāi)展賬號(hào)安全治理工作。

4 ?結(jié)語(yǔ)

隨著網(wǎng)絡(luò)安全法的實(shí)施以及信息化安全提升發(fā)展趨勢(shì)，信息系統(tǒng)行為安全審計(jì)越發(fā)重要。該文形成了一套適用于大中型企業(yè)的信息系統(tǒng)行為安全審計(jì)解決方案，解決了傳統(tǒng)信息化帶來(lái)的行為信息系統(tǒng)行為分析困難、用戶操作行為定責(zé)無(wú)依據(jù)、分析行為不徹底等問(wèn)題，是強(qiáng)化企業(yè)信息安全的必要手段，具有良好的應(yīng)用價(jià)值。

參考文獻(xiàn)

[1] 劉廷峰，張曉韜，周平，等.國(guó)家電網(wǎng)公司行為安全審計(jì)系統(tǒng)開(kāi)發(fā)與應(yīng)用實(shí)踐[J].網(wǎng)絡(luò)空間安全，2018，9（12）：90-92.

[2] 歐陽(yáng)帆，張?jiān)绿?一種基于用戶行為畫(huà)像的安全審計(jì)系統(tǒng)[J].信息與電腦：理論版，2018（2）：21-25.

[3] 韓培義.面向云計(jì)算的數(shù)據(jù)加密與脫敏技術(shù)研究[D].北京郵電大學(xué)，2020.

[4] 王益成.數(shù)據(jù)驅(qū)動(dòng)下科技情報(bào)智慧服務(wù)模式研究[D].吉林大學(xué)，2020.

[5] 王玉彬.社交網(wǎng)絡(luò)大數(shù)據(jù)分析系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].山東大學(xué)，2020.

[6] 彭永勇，劉遠(yuǎn)彪.基于企業(yè)級(jí)應(yīng)用場(chǎng)景的多軌可視化用戶行為分析取證技術(shù)研究[J].信息與電腦：理論版，2018（2）：21-25.