卓 杰

(臨汾職業(yè)技術(shù)學(xué)院 山西 臨汾 041000)

0 引言

傳統(tǒng)系統(tǒng)日志分析技術(shù)相對(duì)比較落后,無(wú)法滿足系統(tǒng)網(wǎng)絡(luò)安全管控需求。同時(shí),在網(wǎng)絡(luò)信息系統(tǒng)的不斷運(yùn)行下,海量數(shù)據(jù)逐漸呈現(xiàn)出大數(shù)據(jù)特點(diǎn),缺乏相關(guān)理論技術(shù)設(shè)計(jì)和開(kāi)發(fā)系統(tǒng)日志數(shù)據(jù)中的分析功能和預(yù)警功能。在這樣的背景下,強(qiáng)化對(duì)網(wǎng)絡(luò)安全預(yù)警技術(shù)系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)顯得尤為重要,該技術(shù)重點(diǎn)應(yīng)用網(wǎng)絡(luò)設(shè)備日志分析相關(guān)技術(shù),不僅可以從多角度出發(fā),深入分析和挖掘系統(tǒng)日志信息[1],而且還能實(shí)現(xiàn)對(duì)系統(tǒng)安全風(fēng)險(xiǎn)的實(shí)時(shí)化檢測(cè),并預(yù)警可能存在的潛在性危險(xiǎn)問(wèn)題,避免出現(xiàn)嚴(yán)重的安全事件,為促使系統(tǒng)能夠正常、穩(wěn)定、安全地運(yùn)行提供重要的平臺(tái)支持。所以,為保證網(wǎng)絡(luò)設(shè)備日志分析效果,如何科學(xué)地設(shè)計(jì)網(wǎng)絡(luò)安全預(yù)警技術(shù)系統(tǒng)是技術(shù)人員必須思考和解決的問(wèn)題。

1 系統(tǒng)設(shè)計(jì)原則

結(jié)合系統(tǒng)需求分析情況,本文所設(shè)計(jì)的網(wǎng)絡(luò)安全預(yù)警技術(shù)系統(tǒng)必須滿足以下設(shè)計(jì)原則:(1)穩(wěn)定性原則。穩(wěn)定性屬于系統(tǒng)重要性能指標(biāo),系統(tǒng)只有在穩(wěn)定運(yùn)行的狀態(tài)下才能有序正常地工作,所以在進(jìn)行軟件設(shè)計(jì)、系統(tǒng)硬件選型方面,技術(shù)人員要重視對(duì)系統(tǒng)穩(wěn)定性的提升。(2)安全性原則。系統(tǒng)內(nèi)部數(shù)據(jù)作為用戶重要數(shù)據(jù),技術(shù)人員要重視對(duì)這些數(shù)據(jù)的保護(hù),提高其安全性,一旦系統(tǒng)在存儲(chǔ)數(shù)據(jù)期間,缺乏相關(guān)安全保障,那么系統(tǒng)將會(huì)喪失存在的價(jià)值。(3)前沿性原則。在科學(xué)技術(shù)不斷發(fā)展下,智能產(chǎn)品更新迭代速度不斷加快,為了確保網(wǎng)絡(luò)安全預(yù)警技術(shù)系統(tǒng)不被快速淘汰,本文所設(shè)計(jì)的網(wǎng)絡(luò)安全預(yù)警技術(shù)系統(tǒng)必須運(yùn)用先進(jìn)、新型的技術(shù),確保該系統(tǒng)能夠在長(zhǎng)時(shí)間里更好地符合市場(chǎng)使用需求。(4)經(jīng)濟(jì)性原則。目前,市場(chǎng)上出現(xiàn)多種預(yù)警系統(tǒng),這些系統(tǒng)在功能設(shè)計(jì)上均有各自的優(yōu)勢(shì),此時(shí),選用性價(jià)比高的預(yù)警系統(tǒng)是用戶首要考慮的問(wèn)題。所以,在設(shè)計(jì)網(wǎng)絡(luò)安全預(yù)警技術(shù)系統(tǒng)期間,技術(shù)人員要重視對(duì)網(wǎng)絡(luò)設(shè)備日志分析技術(shù)的運(yùn)用,在保證系統(tǒng)功能實(shí)現(xiàn)效果的基礎(chǔ)上,最大化地降低系統(tǒng)設(shè)計(jì)成本,為保證系統(tǒng)的市場(chǎng)競(jìng)爭(zhēng)力打下堅(jiān)實(shí)的基礎(chǔ)。

2 系統(tǒng)總體設(shè)計(jì)

2.1 系統(tǒng)架構(gòu)設(shè)計(jì)

系統(tǒng)架構(gòu)設(shè)計(jì)示意圖如圖1所示,從圖1中可以看出,用戶依次訪問(wèn)系統(tǒng)登錄界面、系統(tǒng)主界面,方可運(yùn)用安全性驗(yàn)證功能、數(shù)據(jù)預(yù)處理功能、日志分析功能等功能,對(duì)系統(tǒng)數(shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)行增刪改查,保證系統(tǒng)數(shù)據(jù)管理水平。

2.2 系統(tǒng)數(shù)據(jù)庫(kù)設(shè)計(jì)

為充分發(fā)揮和利用系統(tǒng)數(shù)據(jù)庫(kù)在增刪改查數(shù)據(jù)、保證數(shù)據(jù)存儲(chǔ)的安全性方面的作用和優(yōu)勢(shì)[2],提高系統(tǒng)數(shù)據(jù)管理水平,在設(shè)計(jì)本文系統(tǒng)時(shí),技術(shù)人員要以如表1、表2所示的“用戶信息表、日志數(shù)據(jù)分類信息表”為例,對(duì)數(shù)據(jù)庫(kù)具體設(shè)計(jì)進(jìn)行介紹。其中,用戶信息表主要包含用戶編號(hào)、用戶名、登錄賬號(hào)、密碼、郵箱、電話等屬性;日志數(shù)據(jù)分類信息表主要包含日志編號(hào)、管理配置類、流量異常類、攻擊時(shí)間類、備注等屬性。

表1 用戶信息表

表2 日志數(shù)據(jù)分類信息表

3 系統(tǒng)功能模塊設(shè)計(jì)

為了充分發(fā)揮和利用網(wǎng)絡(luò)設(shè)備日志分析相關(guān)技術(shù)的應(yīng)用優(yōu)勢(shì),保證網(wǎng)絡(luò)安全預(yù)警技術(shù)系統(tǒng)功能實(shí)現(xiàn)效果,保證系統(tǒng)網(wǎng)絡(luò)運(yùn)行的安全性和可靠性[3],技術(shù)人員應(yīng)嚴(yán)格按照如圖2所示的系統(tǒng)功能模塊設(shè)計(jì)示意圖,選用B/S架構(gòu)設(shè)計(jì)模式,利用eclipse開(kāi)發(fā)工具,選用C#編程語(yǔ)言,依次完成對(duì)以下功能模塊的設(shè)計(jì)和實(shí)現(xiàn)。

圖2 系統(tǒng)功能模塊設(shè)計(jì)示意圖

3.1 用戶登錄模塊設(shè)計(jì)

用戶登錄模塊在具體設(shè)計(jì)時(shí),首先要應(yīng)用加密技術(shù),對(duì)用戶所提交的賬號(hào)、密碼登錄信息進(jìn)行加密,這些登錄信息經(jīng)過(guò)加密處理后,會(huì)形成一定的亂碼。然后將該亂碼安全、可靠地傳輸?shù)较到y(tǒng)服務(wù)器中,由系統(tǒng)服務(wù)器識(shí)別和認(rèn)證該登錄信息,再將該登錄信息與系統(tǒng)數(shù)據(jù)庫(kù)中的信息進(jìn)行對(duì)比和匹配,如果匹配成功,說(shuō)明用戶所輸入的登錄賬號(hào)、密碼正確,系統(tǒng)自動(dòng)將相關(guān)頁(yè)面呈現(xiàn)在用戶面前[4],供用戶瀏覽和訪問(wèn)。反之,說(shuō)明匹配失敗,用戶所輸入的登錄信息存在錯(cuò)誤,需要對(duì)其重新校驗(yàn)核實(shí)。

3.2 安全性驗(yàn)證模塊設(shè)計(jì)

日志文件數(shù)據(jù)具有規(guī)模大、易篡改、易失性特點(diǎn),一旦缺乏相關(guān)保證機(jī)制的制定和運(yùn)用,會(huì)導(dǎo)致日志數(shù)據(jù)出現(xiàn)丟失問(wèn)題。所以,為實(shí)現(xiàn)對(duì)日志數(shù)據(jù)的有效保護(hù),避免該數(shù)據(jù)出現(xiàn)丟失、泄露等問(wèn)題,需要加密保護(hù)日志數(shù)據(jù)。另外,本系統(tǒng)應(yīng)用數(shù)字簽名技術(shù),簽名和認(rèn)證處理日志數(shù)據(jù)。

3.3 數(shù)據(jù)預(yù)處理模塊設(shè)計(jì)

系統(tǒng)內(nèi)日志數(shù)據(jù)具有來(lái)源廣、數(shù)量龐大、存儲(chǔ)分布范圍廣等特點(diǎn),此外,日志分析的方式運(yùn)用,可以快速查找和定位系統(tǒng)可能存在的網(wǎng)絡(luò)安全問(wèn)題。因此,為保證日志數(shù)據(jù)分析效果,技術(shù)人員要做好對(duì)日志數(shù)據(jù)預(yù)處理工作,分析出網(wǎng)絡(luò)中存在的無(wú)關(guān)日志屬性,并對(duì)其進(jìn)行過(guò)濾刪除,從而降低系統(tǒng)存儲(chǔ)數(shù)據(jù)的壓力。日志數(shù)據(jù)預(yù)處理主要包含以下3個(gè)環(huán)節(jié):(1)數(shù)據(jù)轉(zhuǎn)換。數(shù)據(jù)轉(zhuǎn)換主要是指將日常數(shù)據(jù)劃分為以下3種類型,分別是配置管理類、攻擊事件類和流量控制類,然后,結(jié)合日志數(shù)據(jù)類型,確定出相應(yīng)的分析屬性。配置管理類主要是指管理員管理相關(guān)工作所產(chǎn)生的各種記錄信息;攻擊事件類主要是指分析和處理網(wǎng)絡(luò)攻擊后所產(chǎn)生的痕跡;流量控制類主要是指統(tǒng)計(jì)網(wǎng)絡(luò)流量數(shù)量。(2)數(shù)據(jù)清理。數(shù)據(jù)清理主要是指在完成數(shù)據(jù)轉(zhuǎn)換操作的前提下,篩選和刪除多余屬性值、異常日志數(shù)據(jù)等[5],然后采用預(yù)測(cè)法,補(bǔ)齊日志空缺數(shù)據(jù),避免系統(tǒng)對(duì)垃圾日志信息的存儲(chǔ),從而降低系統(tǒng)存儲(chǔ)壓力。(3)數(shù)據(jù)歸并。數(shù)據(jù)歸并屬于日志數(shù)據(jù)預(yù)處理核心環(huán)節(jié),通過(guò)進(jìn)行數(shù)據(jù)歸并處理,可以將相同或者相似的日志進(jìn)行合并,使其合并為一條日志數(shù)據(jù)。在進(jìn)行日志數(shù)據(jù)合并時(shí),主要用到動(dòng)態(tài)時(shí)間閾值歸并法和屬性相似度歸并法。其中,動(dòng)態(tài)時(shí)間閾值歸并法運(yùn)用原理如下:通過(guò)科學(xué)化設(shè)置時(shí)間閾值初始值,并將不超過(guò)此閾值的日志合并為同一條日志。時(shí)間閾值選擇具有一定的重要性,一旦時(shí)間閾值取值過(guò)大,需要將多條日志統(tǒng)一歸并為同一條日志,此時(shí)會(huì)導(dǎo)致大量的信息出現(xiàn)丟失問(wèn)題。但是,一旦時(shí)間閾值取值過(guò)小,會(huì)降低歸并效果,無(wú)法解決重復(fù)率高問(wèn)題。所以,當(dāng)日志出現(xiàn)變化后,時(shí)間閾值會(huì)發(fā)生動(dòng)態(tài)性變化。屬性相似度歸并法運(yùn)用原理為:通過(guò)精確化計(jì)算出不同日志所對(duì)應(yīng)的相異度,并篩選出低于相異度閾值的記錄。統(tǒng)一處理后的日志仍然保留大量的屬性,如果結(jié)合多個(gè)屬性,對(duì)日志相異度進(jìn)行計(jì)算,會(huì)增加計(jì)算量,嚴(yán)重影響后期分析效率和效果。此外,屬性不同,與安全事件之間的關(guān)聯(lián)度也存在一定的差異。本文運(yùn)用主成分分析法,選取需要處理的屬性,并獲得相應(yīng)的權(quán)值。為保證日志歸并處理效率和效果,可以將以上兩種歸并方法進(jìn)行有效地結(jié)合。基于時(shí)間閾值的歸并法在具體運(yùn)用中存在簡(jiǎn)單明了的特點(diǎn),但是僅僅結(jié)合時(shí)間這一屬性,所歸并出的日志會(huì)存在較大的誤差?；趯傩韵喈惗葰w并法在具體應(yīng)用時(shí),可以最終計(jì)算結(jié)果的正確率,但是需要對(duì)各個(gè)屬性的相異度進(jìn)行針對(duì)性的計(jì)算。

3.4 日志分析模塊設(shè)計(jì)

在預(yù)處理日志信息時(shí),需要針對(duì)性地分析正常模式和攻擊模式下的日志信息,并確定出用戶合法行為模式,然后結(jié)合安全事件檢測(cè)規(guī)則,獲得相應(yīng)的規(guī)則庫(kù),如果用戶出現(xiàn)違背規(guī)則庫(kù)的情況,系統(tǒng)會(huì)自動(dòng)發(fā)出相應(yīng)的預(yù)警提醒[6]。在設(shè)計(jì)日志分析模塊時(shí),要從以下2個(gè)方面入手,深入分析經(jīng)過(guò)預(yù)處理后的日志數(shù)據(jù)。(1)關(guān)聯(lián)分析處于正常狀態(tài)下的日志數(shù)據(jù),并尋找和確定出用戶正常行為軌跡,如果日志數(shù)據(jù)反映出用戶行為出現(xiàn)異常,系統(tǒng)會(huì)自動(dòng)彈出警告提醒框。(2)通過(guò)對(duì)攻擊狀態(tài)下的日志數(shù)據(jù)進(jìn)行深入分析[7],并挖掘事件之間存在的關(guān)聯(lián)度,然后運(yùn)用“攻擊場(chǎng)景”這一概念,對(duì)相關(guān)攻擊事件進(jìn)行實(shí)時(shí)關(guān)聯(lián),從而達(dá)到預(yù)警攻擊場(chǎng)景的作用。

3.4.1 正常狀態(tài)日志分析

在分析正常狀態(tài)日志數(shù)據(jù)時(shí),要利用FP-Growth算法,確定用戶行為特征,并形成相應(yīng)的規(guī)則庫(kù)。當(dāng)出現(xiàn)新日志數(shù)據(jù)時(shí),可以參照規(guī)則庫(kù),并分析和檢測(cè)用戶行為是否出現(xiàn)異常。

3.4.2 攻擊場(chǎng)景下的日志分析

通過(guò)構(gòu)建攻擊場(chǎng)景關(guān)系庫(kù),可以實(shí)時(shí)提取規(guī)則。在這個(gè)過(guò)程中,首先結(jié)合專家相關(guān)經(jīng)驗(yàn),確定出場(chǎng)景與事件之間的關(guān)系,其次利用FP-Growth算法,關(guān)聯(lián)分析已出現(xiàn)的攻擊場(chǎng)景日志數(shù)據(jù),從而獲得各個(gè)攻擊事件所對(duì)應(yīng)的支持度[8]。再次,在構(gòu)建這些攻擊事件的基礎(chǔ)上,借助單向圖完成對(duì)規(guī)則庫(kù)的構(gòu)建。當(dāng)日志消息與攻擊事件相對(duì)應(yīng),系統(tǒng)會(huì)自動(dòng)記錄攻擊方、攻擊目標(biāo)等信息。最后還要對(duì)各個(gè)攻擊事件進(jìn)行匹配,并形成攻擊事件集合,如果攻擊場(chǎng)景出現(xiàn)概率超過(guò)閾值時(shí),系統(tǒng)會(huì)自動(dòng)發(fā)出預(yù)警聲,以引起相關(guān)人員的注意。

3.5 用戶可視化模塊設(shè)計(jì)

用戶可視化模塊設(shè)計(jì),不僅可以為用戶提供相應(yīng)的人機(jī)交互接口,還能實(shí)時(shí)輸出和形象化顯示最終統(tǒng)計(jì)數(shù)據(jù),確保用戶與系統(tǒng)之間形成良好的交互關(guān)系。當(dāng)日志數(shù)據(jù)采集工作結(jié)束后,要深入地分析和挖掘日志數(shù)據(jù)。統(tǒng)計(jì)數(shù)據(jù)主要包含以下幾種信息,分別是用戶行為模式信息、用戶異常行為信息、系統(tǒng)資源使用情況信息、網(wǎng)絡(luò)服務(wù)使用情況信息、網(wǎng)絡(luò)流量信息、網(wǎng)絡(luò)安全報(bào)警信息、網(wǎng)絡(luò)入侵檢測(cè)信息等。

4 系統(tǒng)測(cè)試

為驗(yàn)證系統(tǒng)功能能否正常、穩(wěn)定運(yùn)行,測(cè)試人員運(yùn)用黑盒測(cè)試法,以“系統(tǒng)登錄功能、系統(tǒng)提交功能”為例,設(shè)計(jì)相應(yīng)的模塊測(cè)試用例,并分析最終測(cè)試結(jié)果。系統(tǒng)登錄功能測(cè)試用例和系統(tǒng)提交功能測(cè)試用例分別如表3、表4所示。

表3 系統(tǒng)登錄功能測(cè)試用例

表4 系統(tǒng)提交功能測(cè)試用例

測(cè)試結(jié)果表明:該系統(tǒng)各個(gè)模塊功能均能夠正常運(yùn)行,功能操作數(shù)據(jù)輸入和輸出結(jié)果均正確,完全符合預(yù)期。

5 結(jié)語(yǔ)

綜上所述,在網(wǎng)絡(luò)設(shè)備日志分析相關(guān)技術(shù)的應(yīng)用背景下,本文所設(shè)計(jì)的網(wǎng)絡(luò)安全預(yù)警技術(shù)系統(tǒng)主要運(yùn)用屬性相異度歸并法,預(yù)處理海量日志數(shù)據(jù),同時(shí)運(yùn)用改進(jìn)FP-Growth算法,實(shí)現(xiàn)對(duì)系統(tǒng)網(wǎng)絡(luò)安全隱患問(wèn)題的智能化分析和預(yù)警,有效地保證了系統(tǒng)網(wǎng)絡(luò)的安全性和可靠性,完全符合用戶使用需求。但是,該系統(tǒng)還存在以下幾點(diǎn)需要完善的地方,如缺乏對(duì)信息系統(tǒng)漏洞修復(fù)方案的制定、缺乏對(duì)系統(tǒng)安全攻擊行為的檢測(cè)等,技術(shù)人員要重視對(duì)這些問(wèn)題的優(yōu)化和完善,促使本文系統(tǒng)變得更加智能化、先進(jìn)化,從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備日志數(shù)據(jù)的有效保護(hù)。