摘?要：當(dāng)前，計(jì)算機(jī)技術(shù)在多個(gè)領(lǐng)域中被得到廣泛運(yùn)用，需要在與網(wǎng)絡(luò)相連的各類(lèi)信息系統(tǒng)中存儲(chǔ)的重要信息也越來(lái)越多，尤其是受到利益驅(qū)使，容易出現(xiàn)各種入侵事件，從而使信息安全問(wèn)題加重。因此，本文在概述網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)上，從系統(tǒng)架構(gòu)、功能設(shè)計(jì)以及系統(tǒng)實(shí)現(xiàn)等多個(gè)方面對(duì)智能日志審計(jì)與預(yù)警系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)進(jìn)行了探討，以預(yù)防和減少安全威脅事件，從而使審計(jì)效率提高。

關(guān)鍵詞：預(yù)警系統(tǒng);智能日志審計(jì);設(shè)計(jì);實(shí)現(xiàn)

近年來(lái)，隨著知識(shí)經(jīng)濟(jì)時(shí)代的到來(lái)，再加上互聯(lián)網(wǎng)技術(shù)的普及，企業(yè)采用辦公自動(dòng)化來(lái)促進(jìn)協(xié)作效率和管理水平的提高，并且在企業(yè)辦公中，網(wǎng)絡(luò)信息系統(tǒng)是比較基礎(chǔ)的一個(gè)設(shè)施[1]。但是在信息化過(guò)程中，由于受到諸多因素如流程復(fù)雜、用戶(hù)眾多以及組織機(jī)構(gòu)復(fù)雜等影響，導(dǎo)致大中型企業(yè)普遍呈現(xiàn)出數(shù)據(jù)量大、業(yè)務(wù)系統(tǒng)負(fù)載大等特點(diǎn)，再加上廣泛的信息化，在一定程度上也加劇了信息安全問(wèn)題。雖然集中式日志服務(wù)器能夠統(tǒng)一存儲(chǔ)IT系統(tǒng)的相關(guān)信息，但是無(wú)法對(duì)各種異常日志進(jìn)行處理和識(shí)別且及時(shí)預(yù)警，所以亟須一種智能日志審計(jì)預(yù)警系統(tǒng)，從而確保IT系統(tǒng)的信息和網(wǎng)絡(luò)安全性[2]。

1?網(wǎng)絡(luò)安全技術(shù)

網(wǎng)絡(luò)安全即網(wǎng)絡(luò)系統(tǒng)中的相關(guān)數(shù)據(jù)、硬件以及軟件，避免遭到惡意或偶然的泄露、更改以及破壞，對(duì)系統(tǒng)的持續(xù)運(yùn)行提供有效保障，且不需要網(wǎng)絡(luò)服務(wù)的一種措施。一般來(lái)說(shuō)，將網(wǎng)絡(luò)安全的本質(zhì)界定作為基本依據(jù)，其特征如下：

（1）完整性，即在未授權(quán)的基礎(chǔ)上數(shù)據(jù)無(wú)法改變的特性，或者在傳輸、儲(chǔ)存信息期間保持不被丟失、破壞或者修改的特性;

（2）保密性，即在授權(quán)前提下運(yùn)用保護(hù)信息的一種特征;

（3）可控制性，即信息傳播被授權(quán)后具有控制能力的一種特性。

1.1?安全威脅

通常情況下，計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅主要有以下幾點(diǎn)：

（1）惡意程序威脅，以惡意軟件為主，比如木馬程序、間諜軟件、網(wǎng)絡(luò)蠕蟲(chóng)以及計(jì)算機(jī)病毒等，開(kāi)發(fā)這些軟件的目的在于網(wǎng)絡(luò)攻擊，其攻擊比較有規(guī)律且頻繁，也是比較常見(jiàn)的一種威脅;（2）計(jì)算機(jī)網(wǎng)絡(luò)實(shí)體威脅，主要為網(wǎng)絡(luò)、安全等計(jì)算機(jī)設(shè)備，存在較多漏洞，且配置錯(cuò)誤;（3）潛在動(dòng)機(jī)和對(duì)手，即人為的各種非惡意或惡意攻擊，這些操作或者攻擊可帶來(lái)較大的危害。有文獻(xiàn)[3]報(bào)道，人為因素泄露信息帶來(lái)的影響較大。

對(duì)于上述計(jì)算機(jī)安全的各種威脅，其實(shí)際表現(xiàn)有非法訪(fǎng)問(wèn)、抵賴(lài)、信息的拒絕服務(wù)、破壞信息、篡改信息以及泄露信息等。

1.2?防護(hù)方法

面對(duì)各種威脅，當(dāng)前采用的防護(hù)手段有很多，包括以下幾種：

（2）對(duì)網(wǎng)絡(luò)上的病毒進(jìn)行防御;

（3）對(duì)網(wǎng)絡(luò)的攻擊進(jìn)行防御;

（4）邏輯隔離，即兩個(gè)網(wǎng)絡(luò)從物理層面上來(lái)看是互相連接的，但是在傳輸數(shù)據(jù)時(shí)通道缺乏，一般運(yùn)用多種措施如數(shù)據(jù)流控制、數(shù)據(jù)格式控制以及協(xié)議轉(zhuǎn)換等隔離不同的安全領(lǐng)域;

（5）物理隔離。物理隔離器作為一個(gè)不同網(wǎng)絡(luò)的隔離部件，通過(guò)這一方法可以對(duì)兩個(gè)網(wǎng)絡(luò)進(jìn)行完全隔離，且公用儲(chǔ)存信息缺失，可以在網(wǎng)際間避免計(jì)算機(jī)被重用，也是避免外網(wǎng)攻擊的一個(gè)有效方法[4]。

1.3?日志審計(jì)

通常情況下，日志能夠?qū)λ杏布O(shè)備、應(yīng)用系統(tǒng)以及操作系統(tǒng)的生成行為進(jìn)行記錄，且表達(dá)符合既定規(guī)范。比如，IPC系統(tǒng)遭到入侵時(shí)，在安全日志中系統(tǒng)能夠記錄相關(guān)信息如用戶(hù)名、IP以及探測(cè)時(shí)間等，若入侵者行FTP探測(cè)，則會(huì)在FIP服務(wù)器上對(duì)FTP進(jìn)行記錄，包括探測(cè)用戶(hù)名、時(shí)間以及IP等，甚至系統(tǒng)某項(xiàng)服務(wù)的停止或啟動(dòng)時(shí)間，在日志文件中，都會(huì)記錄相關(guān)情況。

2?智能日志審計(jì)與預(yù)警系統(tǒng)架構(gòu)和功能設(shè)計(jì)

2.1?日志收集和上報(bào)功能設(shè)計(jì)

在設(shè)計(jì)這一功能時(shí)，可以從以下幾方面入手：

（1）業(yè)務(wù)日志通過(guò)收集客戶(hù)端任務(wù)軟件，可以對(duì)日志的相關(guān)信息進(jìn)行獲取;

（2）觸發(fā)器在Oracle數(shù)據(jù)庫(kù)登錄日志中，在不影響平臺(tái)性能的基礎(chǔ)上，可以收集用戶(hù)登錄數(shù)據(jù)庫(kù)信息且上傳;

（3）運(yùn)用腳本工具和日志工具對(duì)網(wǎng)絡(luò)設(shè)備產(chǎn)生的相關(guān)日志、Windows和unix/linux操作系統(tǒng)、設(shè)備登錄賬號(hào)以及設(shè)備生成的日志、賬號(hào)以及日志等上傳至收集模塊。

2.2?原始日志數(shù)據(jù)壓縮與存儲(chǔ)功能設(shè)計(jì)

客戶(hù)端的日志數(shù)據(jù)通常不用處理或過(guò)濾則能上傳，可將設(shè)備IP地址作為基本依據(jù)進(jìn)行分類(lèi)儲(chǔ)存，并且在出現(xiàn)系統(tǒng)故障、違規(guī)操作以及黑客入侵的情況下，可以對(duì)詳細(xì)的原始日志數(shù)據(jù)進(jìn)行獲取和分析。同時(shí)，為了對(duì)存儲(chǔ)空間進(jìn)行節(jié)約，系統(tǒng)每周對(duì)本周的日志數(shù)據(jù)進(jìn)行壓縮并保存后，可以對(duì)原始日志數(shù)據(jù)進(jìn)行刪除。

2.3?Web頁(yè)面功能設(shè)計(jì)

在進(jìn)行Web頁(yè)面功能設(shè)計(jì)時(shí)，有以下幾點(diǎn)需要注意：

（1）在計(jì)算機(jī)系統(tǒng)中，需要對(duì)系統(tǒng)維護(hù)人員賬號(hào)、值班員賬號(hào)、日志審計(jì)員賬號(hào)以及管理員賬號(hào)進(jìn)行預(yù)設(shè);

（2）明確管理員權(quán)限。一般來(lái)說(shuō)，只有管理人員才具備用戶(hù)授權(quán)、解鎖、鎖定、刪除以及建立等角色管理和用戶(hù)管理權(quán)限，可以進(jìn)一步完善權(quán)限警告策略，對(duì)設(shè)備與子系統(tǒng)的關(guān)聯(lián)進(jìn)行構(gòu)建，使用戶(hù)管理功能增強(qiáng)，提高過(guò)濾關(guān)鍵詞的有效性;

（3）日志審計(jì)員權(quán)限。只有日志審計(jì)員可以對(duì)設(shè)備和平臺(tái)系統(tǒng)的日志進(jìn)行審計(jì)，可以對(duì)因誤操作、數(shù)據(jù)備份、修改密碼等出現(xiàn)在日志中的敏感信息如密碼、賬號(hào)等進(jìn)行刪除。同時(shí)，日志審計(jì)員可以在Web頁(yè)面設(shè)置和刪除過(guò)濾關(guān)鍵字和告警關(guān)鍵字，并且關(guān)聯(lián)配置IP地址、設(shè)備名稱(chēng)與告警關(guān)鍵字。

2.4?手機(jī)短信告警功能設(shè)計(jì)

在進(jìn)行設(shè)計(jì)時(shí)，能夠在Web頁(yè)面對(duì)平臺(tái)設(shè)備、平臺(tái)設(shè)備維護(hù)人員、相關(guān)手機(jī)號(hào)關(guān)聯(lián)以及接收告警短信手機(jī)號(hào)碼的功能進(jìn)行配置，在運(yùn)行系統(tǒng)期間，若出現(xiàn)日志數(shù)據(jù)異常，則向維護(hù)人員發(fā)送短信，使相關(guān)人員可以及時(shí)發(fā)現(xiàn)不良事件，如設(shè)備運(yùn)行異常、業(yè)務(wù)異常、系統(tǒng)異常以及黑客入侵等。

3?智能日志審計(jì)和預(yù)警系統(tǒng)的實(shí)現(xiàn)

3.1?日志搜集的實(shí)現(xiàn)

由于已經(jīng)實(shí)現(xiàn)日志客戶(hù)端和文本，在搜集日志數(shù)據(jù)時(shí)，其代碼為：

3.2?數(shù)據(jù)識(shí)別、分析以及處理

系統(tǒng)在異步日志收集完成后，可將日志數(shù)據(jù)發(fā)送給Redis;然后由日志識(shí)別模塊獲取數(shù)據(jù)，根據(jù)日志識(shí)別規(guī)則，結(jié)合IP地址，識(shí)別日志類(lèi)型，包括系統(tǒng)日志、數(shù)據(jù)庫(kù)登錄日志、設(shè)備賬號(hào)登錄日志以及命令日志等，做好標(biāo)記后，在數(shù)據(jù)庫(kù)中根據(jù)日志類(lèi)型標(biāo)簽進(jìn)行儲(chǔ)存。同時(shí)，運(yùn)用jave語(yǔ)言編寫(xiě)日志分析處理器，其組成部分有三個(gè)，分別是結(jié)果回寫(xiě)及緩存器、識(shí)別分析及處理器以及任務(wù)控制器，其流程見(jiàn)圖1。此外，為了使分析器的吞吐量增強(qiáng)，在設(shè)計(jì)分析器時(shí)，還需要增加分析結(jié)果緩存與任務(wù)控制器模塊，不僅可以避免丟失任務(wù)數(shù)據(jù)，還能使數(shù)據(jù)庫(kù)的瓶頸風(fēng)險(xiǎn)降低。

3.3?實(shí)現(xiàn)短信預(yù)警功能

在日志分析處理器中，可以記錄日志，構(gòu)建警告日志，并且向短信中心發(fā)送相關(guān)信息，再經(jīng)短信中心向相關(guān)維護(hù)人員的手機(jī)發(fā)送信息如系統(tǒng)和設(shè)備故障、高危命令操作、賬號(hào)異常、異常進(jìn)程啟停以及異常登錄等，其時(shí)間較短，一般在10s內(nèi)，其流程圖見(jiàn)圖2。

3.4?數(shù)據(jù)庫(kù)實(shí)現(xiàn)

為了便于Web頁(yè)面和數(shù)據(jù)處理存儲(chǔ)的交互，本系統(tǒng)選擇oracle數(shù)據(jù)庫(kù)，設(shè)計(jì)和實(shí)現(xiàn)步驟：

（1）用戶(hù)權(quán)限表、角色表，其中用戶(hù)表能夠設(shè)置用戶(hù)、角色以及權(quán)限，再對(duì)角色權(quán)限進(jìn)行設(shè)置;

（2）用戶(hù)設(shè)備表、子系統(tǒng)用戶(hù)表、過(guò)濾關(guān)鍵字設(shè)備表以及子系統(tǒng)表等可以設(shè)置子系統(tǒng)，對(duì)關(guān)聯(lián)用戶(hù)進(jìn)行設(shè)置，能夠查看用戶(hù)管理的設(shè)備系統(tǒng);

（3）告警關(guān)鍵字表存儲(chǔ)設(shè)置的告警關(guān)鍵字，與設(shè)備關(guān)聯(lián)，若這個(gè)告警關(guān)鍵字出現(xiàn)在設(shè)備中，則可以進(jìn)行告警;

（4）過(guò)濾關(guān)鍵字表可以存儲(chǔ)設(shè)置的過(guò)濾關(guān)鍵字，與設(shè)備關(guān)聯(lián)，若某個(gè)過(guò)濾關(guān)鍵字出現(xiàn)在這臺(tái)設(shè)備中，則對(duì)其進(jìn)行過(guò)濾;

（5）對(duì)相關(guān)記錄表進(jìn)行設(shè)置，包括數(shù)據(jù)庫(kù)登錄日志表、用戶(hù)日志表、業(yè)務(wù)日志表以及系統(tǒng)日志表等。數(shù)據(jù)庫(kù)表的邏輯關(guān)聯(lián)關(guān)系見(jiàn)圖3。

3.5?Web頁(yè)面實(shí)現(xiàn)

本系統(tǒng)通過(guò)Java語(yǔ)言和ssh框架對(duì)Web頁(yè)面代碼進(jìn)行編寫(xiě)，其中B/S與用戶(hù)交互可以實(shí)現(xiàn)Web頁(yè)面。而Web服務(wù)可以促進(jìn)系統(tǒng)相關(guān)Web頁(yè)面功能設(shè)計(jì)的實(shí)現(xiàn)，即值班員、IT系統(tǒng)維護(hù)人員、審計(jì)員以及管理員根據(jù)各自的權(quán)限運(yùn)用瀏覽器進(jìn)行多項(xiàng)工作，比如設(shè)備配置、設(shè)置告警關(guān)鍵字、日志多維分析、設(shè)置過(guò)濾關(guān)鍵字、日志審計(jì)、IT系統(tǒng)接入配置、日志審計(jì)以及登錄告警設(shè)置等，其服務(wù)框架見(jiàn)圖4。

同時(shí)，審計(jì)員在對(duì)IT系統(tǒng)進(jìn)行日志審計(jì)時(shí)，Web頁(yè)面將設(shè)備IP地址和IT系統(tǒng)名稱(chēng)作為基本依據(jù)，使目錄樹(shù)形成，并且不同IP地址下面的日志展示包括內(nèi)容有很多，如系統(tǒng)日志、業(yè)務(wù)日志、數(shù)據(jù)登錄日志以及命令日志等，可以展現(xiàn)出友好的人機(jī)界面，為IT系統(tǒng)日志審計(jì)提供方便，再加上沒(méi)有相關(guān)工作，如識(shí)別、查找、日志分類(lèi)搜索、解包以及目錄切換等，在一定程度上可以提高日志審計(jì)效率。

結(jié)語(yǔ)

綜上所述，在智能日志審計(jì)與預(yù)警系統(tǒng)中，日志服務(wù)器可以與客戶(hù)端日志上傳工具互相協(xié)同，對(duì)IT系統(tǒng)日志信息進(jìn)行儲(chǔ)存，智能分析和處理海量日志信息，并且可以通過(guò)短信告警不安全事件，在對(duì)系統(tǒng)進(jìn)行保護(hù)的基礎(chǔ)上，還能促進(jìn)IT系統(tǒng)日志審計(jì)效率的提高。

參考文獻(xiàn)：

[1]李偉.智能油田信息安全綜合審計(jì)關(guān)鍵技術(shù)研究與應(yīng)用[J].中國(guó)管理信息化，2020，23（22）：6162.

[2]“數(shù)據(jù)中臺(tái)關(guān)鍵技術(shù)與系統(tǒng)研究”專(zhuān)輯導(dǎo)讀[J].華東師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2020（05）：68.

[3]丁晨.大數(shù)據(jù)和人工智能技術(shù)在銀行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理中的實(shí)踐——日志安全審計(jì)分析業(yè)務(wù)[J].中國(guó)信息化，2019（05）：6668.

[4]呂榮峰，楊夢(mèng)寧，余虹.智能日志審計(jì)與預(yù)警系統(tǒng)功能設(shè)計(jì)與實(shí)現(xiàn)[J].數(shù)字技術(shù)與應(yīng)用，2016（02）：187189.

作者簡(jiǎn)介：鄧志勇（1984—?），男，漢族，佛山人，研究方向：企業(yè)信息化。