论文部分内容阅读
摘 要: 针对电力企业信息内网监控系统的日志审计功能薄弱的缺点,设计并实现一个针对该系统日志的安全审计系统。系统通过对电力信息内网安全监控的多种日志信息进行采集和预处理,并利用数据挖掘算法进行审计分析,使管理员准确掌握网络系统的安全状态,及时发现违反安全策略的事件并实时告警、记录,以便于事后追查取证。应用结果表明,系统既实现电网企业信息内网的安全审计功能,又为电网企业信息内网采取进一步的安全措施提供依据。
关键词: 日志分析;安全监控;数据挖掘;安全审计
0 引言
随着电力企业信息化工作的不断深入,电力企业在信息内网部署了内网安全监控管理系统,对内网用户的行为及终端设备进行监控[1],然而由于目前的内网安全监管系统缺少对安全事件的审计功能或者审计功能薄弱,使管理员不能准确掌握网络系统的安全状态,不能对网络行为进行跟踪分析,要实现事后的追查取证比较困难。基于监控日志的电力信息内网安全审计系统则能帮助系统管理员对网络安全进行实时监控,及时发现整个网络上的动态,发现网络入侵和违规行为,如实记录网络上发生的一切,提供取证资料。它是保障电力企业信息内网安全的一种十分重要的手段。
1 电力信息内网安全监控系统日志
电力信息内网安全监控系统的日志包括三种类型:
1)信息内网安全监控日志:主要包括每一个监控内容的监控结果、违规记录等信息;
2)受控终端日志:受控终端的系统事件、系统进程、系统服务等信息;
3)信息内网安全监控配置信息及操作日志[2]。
电力企业信息内网安全监控系统的审计分析是通过对以上三种日志的综合分析及时发现异常、可疑事件,以及受控终端中资源和权限滥用的迹象,同时把可疑数据、入侵信息、敏感信息等记录下来,作为取证和跟踪使用,以确认事故责任人。
2 安全审计系统总体设计
基于监控日志的电力信息内网安全审计系统的体系结构从总体上可分为日志采集、日志处理、审计分析和结果展现四个逻辑层次,如图1所示。
电力信息内网安全审计系统实现的关键技术是日志格式化算法以及审计分析实现算法。
3 关键技术实现
日志压缩与归并的实现:由于获取的这些海量日志数据包含了大量的重复冗余信息,这些信息对于报警事件的关联分析不具有任何价值。因此需要对报警数据进行归并处理,以缩小关联分析的样本空间。
根据网络入侵事件的行为特征、时间特征和位置特征,现将报警事件主要分为三类:重复事件、冗余事件和并发事件。
对于重复事件和并发事件,利用归并规则进行检测。归并规则采用标准的关系代数进行组合,通过正则表达式对其进行解析提取。原始报警事件样本如图2所示。
将此13条记录进行归并,生成一条超报警,其中evt_all_id包含了全部归并报警事件的evt_id,便于后期的统计分析;timestamp_range为归并攻击事件的时间段,既告警事件的第一次发生时间至最后一次发生的时间;merge_counts
为归并的报警事件数量,这个数值越大,则表示该类攻击在当前发生的可能性越大。
对于冗余事件,利用相关分析进行检测。给定两个属性,根据可用的数据度量一个属性能在多大程度上蕴涵另一个,判断依据通过计算属性A和B之间的相关系数,
4 系统应用分析
系统在某省电力公司信息内网监控系统中进行了测试和应用,结果如下:
1)审计功能:通过采用攻击软件进行攻击模拟测试,对一些统计特征明显的攻击检测率可以达到89%以上,同时,能够准确的记录对终端中的资源和权限滥用现象,实时动态监测用户通信内容、发现和捕获各种敏感信息、违规行为。
2)系统稳定性:在稳定性测试中,内网安全监管审计系统连续运行24*7小时没有出现因为软件系统的原因而崩溃的现象,系统运行过程中操作系统的CPU使用率和内存的使用情況没有出现过异常。
应用结果表明该系统能对内网用户的行为及终端设备进行实时有效的监控,能够集中收集、管理并有效地分析各种安全日志,使管理员能够实时、直观地掌握电力企业信息内网安全状况。
5 结束语
本文提出的安全审计系统通过对电力企业信息内网监控系统日志的采集、分析、识别,实时动态监测内网用户行为和终端系统,发现和捕获各种敏感信息、违规行为,实时报警响应,全面记录网络系统中的各种会话和事件,实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位,为电力企业信息内网安全策略的制定提供权威可靠的依据。
参考文献:
[1]宁兴旺、刘培玉,支持审计与取证联动的日志系统设计[J]. 计算机工程与设计,2009,30(24):5580-5583.
[2]王新昌、杨艳、刘育楠,一种基于局域网络监控日志的安全审计系统[J].计算机应用,2007,27(02):292-298.
[3]黄艺海、胡君,日志审计系统设计与实现[J].计算机工程,2006,32(22):67-68.
关键词: 日志分析;安全监控;数据挖掘;安全审计
0 引言
随着电力企业信息化工作的不断深入,电力企业在信息内网部署了内网安全监控管理系统,对内网用户的行为及终端设备进行监控[1],然而由于目前的内网安全监管系统缺少对安全事件的审计功能或者审计功能薄弱,使管理员不能准确掌握网络系统的安全状态,不能对网络行为进行跟踪分析,要实现事后的追查取证比较困难。基于监控日志的电力信息内网安全审计系统则能帮助系统管理员对网络安全进行实时监控,及时发现整个网络上的动态,发现网络入侵和违规行为,如实记录网络上发生的一切,提供取证资料。它是保障电力企业信息内网安全的一种十分重要的手段。
1 电力信息内网安全监控系统日志
电力信息内网安全监控系统的日志包括三种类型:
1)信息内网安全监控日志:主要包括每一个监控内容的监控结果、违规记录等信息;
2)受控终端日志:受控终端的系统事件、系统进程、系统服务等信息;
3)信息内网安全监控配置信息及操作日志[2]。
电力企业信息内网安全监控系统的审计分析是通过对以上三种日志的综合分析及时发现异常、可疑事件,以及受控终端中资源和权限滥用的迹象,同时把可疑数据、入侵信息、敏感信息等记录下来,作为取证和跟踪使用,以确认事故责任人。
2 安全审计系统总体设计
基于监控日志的电力信息内网安全审计系统的体系结构从总体上可分为日志采集、日志处理、审计分析和结果展现四个逻辑层次,如图1所示。
电力信息内网安全审计系统实现的关键技术是日志格式化算法以及审计分析实现算法。
3 关键技术实现
日志压缩与归并的实现:由于获取的这些海量日志数据包含了大量的重复冗余信息,这些信息对于报警事件的关联分析不具有任何价值。因此需要对报警数据进行归并处理,以缩小关联分析的样本空间。
根据网络入侵事件的行为特征、时间特征和位置特征,现将报警事件主要分为三类:重复事件、冗余事件和并发事件。
对于重复事件和并发事件,利用归并规则进行检测。归并规则采用标准的关系代数进行组合,通过正则表达式对其进行解析提取。原始报警事件样本如图2所示。
将此13条记录进行归并,生成一条超报警,其中evt_all_id包含了全部归并报警事件的evt_id,便于后期的统计分析;timestamp_range为归并攻击事件的时间段,既告警事件的第一次发生时间至最后一次发生的时间;merge_counts
为归并的报警事件数量,这个数值越大,则表示该类攻击在当前发生的可能性越大。
对于冗余事件,利用相关分析进行检测。给定两个属性,根据可用的数据度量一个属性能在多大程度上蕴涵另一个,判断依据通过计算属性A和B之间的相关系数,
4 系统应用分析
系统在某省电力公司信息内网监控系统中进行了测试和应用,结果如下:
1)审计功能:通过采用攻击软件进行攻击模拟测试,对一些统计特征明显的攻击检测率可以达到89%以上,同时,能够准确的记录对终端中的资源和权限滥用现象,实时动态监测用户通信内容、发现和捕获各种敏感信息、违规行为。
2)系统稳定性:在稳定性测试中,内网安全监管审计系统连续运行24*7小时没有出现因为软件系统的原因而崩溃的现象,系统运行过程中操作系统的CPU使用率和内存的使用情況没有出现过异常。
应用结果表明该系统能对内网用户的行为及终端设备进行实时有效的监控,能够集中收集、管理并有效地分析各种安全日志,使管理员能够实时、直观地掌握电力企业信息内网安全状况。
5 结束语
本文提出的安全审计系统通过对电力企业信息内网监控系统日志的采集、分析、识别,实时动态监测内网用户行为和终端系统,发现和捕获各种敏感信息、违规行为,实时报警响应,全面记录网络系统中的各种会话和事件,实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位,为电力企业信息内网安全策略的制定提供权威可靠的依据。
参考文献:
[1]宁兴旺、刘培玉,支持审计与取证联动的日志系统设计[J]. 计算机工程与设计,2009,30(24):5580-5583.
[2]王新昌、杨艳、刘育楠,一种基于局域网络监控日志的安全审计系统[J].计算机应用,2007,27(02):292-298.
[3]黄艺海、胡君,日志审计系统设计与实现[J].计算机工程,2006,32(22):67-68.