網絡日志在網絡信息安全中的應用

萬欣

摘 要：針對網絡與信息安全中日志的種類及價值進行分析，并分析日志在網絡運維及安全管理中的應用場景及作用，解析日志在日志審計及安全大數據中的應用方式。

關鍵詞：日志；日志分類；日志應用；日志審計；網絡安全大數據

中圖分類號：TM621 文獻標識碼：A

1 引言

隨著網絡時代的來臨，用戶網絡日漸龐大，除了基礎網絡設施外、網絡中充滿著各種各樣的系統及應用，這些系統及應用承載著一個企業的核心業務及經濟價值；但隨著網絡的發展，網絡安全問題也日益嚴峻，國家重要企業內部信息泄露、安全攻擊事件時有發生，且在發生攻擊前、攻擊時，網絡內的安全設備未發現攻擊或未找到攻擊日志，傳統的網絡安全設備似乎對新型的攻擊無法抵抗。

但在基礎設施及系統應用運行時，各種網絡基礎設施、系統應用服務均產生了日志數據，且日志數據中隱藏著用戶的行為記錄及各種行為數據，數據量也越來越大以海量計，網絡中的日志種類也越來越多。在網絡時代誰掌握了數據誰就掌握了主動權，網絡信息安全中的日志數據除了能夠借助于進行安全運維之外，還可用于抵對信息網絡攻擊及態勢展示。

2 信息安全中日志的分類及價值

網絡信息安全中的日志與常規應用大數據的應用日志有所區別，應用大數據更多關于民生，這些數據更多被企業用于了解消費者習慣并促進消費、國家了解民生習慣或用于預測民生數據等。而信息安全中的日志數據主要是從網絡設備、安全設備、服務器、中間件等網絡基礎設施的運行中獲取，其體現的是網絡運行過程中的痕跡、用戶操作的蛛絲馬跡，這些數據更多地被用于幫助網絡安全運維、安全管理，用于發現網絡安全威脅、發生安全事件時及時告知運維人員、發生安全事件后協助追蹤溯源，且可協助用戶掌握網絡整體安全態勢。

網絡信息安全中的日志可簡單地分為設備運行日志及流量，路由交換設備，安全設備（防火墻、VPN、入侵審計、網頁防篡改等），操作系統，應用系統，中間件，數據庫這六類系統及設備在運行過程中產生的日志，而流量日志一般可通過網絡審計、流量分析等設備來識別。

這些日志記錄了運維人員、普通終端用戶、外部用戶在使用系統時訪問的路徑、訪問者IP、登錄系統的用戶名、提交參數等，在發生攻擊時可以記錄攻擊者的攻擊時間、攻擊方式、攻擊IP等，即使網絡安全設備未匹配出攻擊。在攻擊者進行攻擊時，攻擊者進入網絡中途經的設備都會記錄攻擊者的訪問路徑、操作方式、提交參數等，如表1所示。

表1基本涵蓋了網絡及信息安全中的常規設備。及設備記錄的大致日志類型，這些日志默認會被記錄在設備本地，在超過日志記錄的限制后，新產生的日志會覆蓋舊日志。

一般攻擊者在完成訪問或者攻擊后，會將自己留下的訪問記錄進行刪除，故保留網絡中各種設備的日志是發現攻擊、在發生事件后進行追溯以便解決問題的非常必要的手段。

通過日志審計系統可對日志進行收集并分析，這類系統只能記錄已經發現的攻擊，但不是所有的攻擊都能被安全設備發現，如潛伏時間很長的APT攻擊及新型未知攻擊，這類攻擊都是在發生之后才被安全人士所知，然后制定檢測規則并更新安全設備的檢測庫進行檢測，其實通過以上的網絡信息安全日志可對這些新型的攻擊起到一定的檢測作用。

3 信息安全中日志的應用

3.1日志審計系統的作用

各種設備及系統都被稱為日志源，日志審計系統收集到各種日志源的日志之后，將日志按照日志源類型進行解析，此過程稱為日志格式化或者歸一化。每個日志源的日志格式都不一樣，故每個日志源的解析文件內容都不一樣，一般在進行日志解析時都會先分析日志的格式，然后按照格式將關注的日志內容過濾出來。如日志審計系統收到防火墻的日志后，按照預先做好的防火墻日志分析文件對日志進行格式化，將日志事件、日志中的源目IP、防火墻相關的策略ID、攻擊名稱等字段過濾出來。

完成日志的格式化并存儲下來后，如在發生安全事件時，日志審計系統可將告警通過短信、郵件、聲光等方式告知運維人員，以便讓運維人員及時地處理安全事件。同時，系統可通過各種預制好的報表對各種安全日志、安全事件進行統計分析，讓運維人員及管理人員掌握網絡安全狀況，具體的功能架構如圖1所示。

通過上述及圖1所示可總結出，日志審計系統在通過各種數據采集方式收集到各種數據源的日志后，對日志進行解析、歸一化，然后將日志進行存儲、匹配告警、統計分析，對網絡中各種行為做完整的記錄，這可以對網絡運維起到非常重要的作用，可滿足企業的安全需求。

此外，在2016年11月份頒發的《中華人民共和國網絡安全法》中的第二十一條（三）項、第五十九條，就有對網絡日志留存的規定，可見日志留存對網絡安全的重要性。

3.2 安全大數據中日志的應用

通過以上介紹可發現，常規的日志審計系統只能收集安全設備已發現的安全事件日志，沒有自主發現能力，只有收集及統計的功能，故若想通過網絡日志來增強對安全事件的發現能力，需通過安全大數據平臺來對發現未知的安全事件，同時還可掌握網絡整體安全態勢。

因安全大數據平臺進行分析時需處理的日志是海量級的，故為了增強數據的分析處理能力，是基于大數據平臺的架構的，與常規日志審計的關系型數據庫有所區別、但安全大數據平臺也是經過日志收集、日志格式化的過程，然后再根據格式化后的數據進行安全分析。

3.2.1 日志分析建模及畫像

安全大數據欲通過網絡日志發現安全事件、攻擊事件，需預先建立安全分析模型，建立分析模型是將攻擊常見的方式及順序進行匹配。如攻擊者在攻擊前都會先進行掃描發現漏洞或可乘之機，然后再進行層層滲透、攻擊，安全設備不一定能識別出這些攻擊動作或者可能只發現這些事件的表象，無法發現攻擊者的真正目的，但通過安全分析模型可將未知攻擊、深層次攻擊發現出來。

在安全大數據平臺中除了通過安全攻擊模型可發現未知攻擊、深層次攻擊外，還可通過人物畫像的方式發現這些潛在攻擊。

人物畫像也稱為用戶畫像，簡而言之，是指通過大數據將用戶的操作習慣記錄下來，如某個終端用戶在日常上班時只會訪問OA、CRM、工單系統、公司網站等與工作相關的系統，這些行為日志都會被大數據平臺記錄下來并完成該用戶的行為畫像。如某天發現該用戶在某個時間訪問該用戶平常未訪問過的系統或設備，大數據平臺收到用戶的訪問日志后，發現與該用戶的行為畫像不太一致，故認為該用戶的行為有所異常，故而進行告警。此過程即為安全大數據的人物畫像。

3.2.2 安全態勢展示

安全大數據平臺在進行安全事件深度分析之后，可將安全事件監測結果進行集中展示，可將安全事件從事件源IP、事件目標、事件名稱、事件趨勢等各個維度進行展示，并可以地圖、各種精美圖表的方式，將整體的網絡安全態勢進行展示。

通過安全態勢的集中展示，管理人員及運維人員能夠快速地掌握整個用戶網絡中的安全態勢及安全事件趨勢，管理人員可實時掌握整個網絡的安全態勢，為安全管理提供數據支撐、為管理方向做指導；運維人員能夠在事件發生后快速掌握事件詳情、及時響應、解決問題。

4 網絡日志價值及利用總結

通過對網絡中安全設備日志的收集、格式化分析后，這些日志可利用于多個方面，如日志審計產品通過日志格式化、存儲、設置告警規則、統計報表分析之后，可用于協助網絡安全運維、網絡故障排查、問題追溯。安全大數據在日志審計處理基礎上，通過使用大數據架構可處理更海量的數據，并通過建立日志分析模型建立、人物畫像分析，可增強對未知網絡安全攻擊的檢測能力，彌補傳統網絡安全設備的不足，并提供安全態勢的集中展示，讓運維及管理人員能夠直觀、整體的掌握整體網絡安全態勢，是大數據時代增強網絡安全檢測能力及安全管理能力的一個有力助力。

除日志審計系統、安全大數據平臺外，網絡日志還可應用于多個系統，如安全管理系統、安全態勢感知平臺、預警平臺等，這些平臺都是在安全日志收集、格式、存儲的基礎上做一定的分析，建立不同的分析模型，并結合其他和資產安全性相關的要素（如漏洞、流量、配置合規性等）進行網絡安全分析及態勢預測，這些系統都可從不同的功能性、視角，幫助用戶進行網絡安全建設、管理，真正實現將網絡中米粒之珠的日志最大化利用。

5 結束語

網絡信息安全通過傳統的安全設備可檢測已知攻擊，但對新型及深層次攻擊檢測的能力有限。但是，隨著網絡威脅越來越嚴峻，僅能夠發現已知攻擊是遠遠不夠的，故通過網絡日志進行日志記錄、發現未知威脅、深層次攻擊是非常有必要的。同時，對網絡安全狀況分析及整體安全態勢展現，讓網絡安全管理人員能夠整體、宏觀地掌握網絡安全態勢是具有巨大的幫助的。網絡日志在整個網絡運行中是實時存在的，如果不利用起來，本身是沒有價值的，若能把日志分析及大數據分析結果利用起來后將是一筆巨大的安全財富。

參考文獻

[1] 美Anton A Chuvakin著.姚軍，簡于涵，劉暉，譯.日志管理與分析指南[M].北京：機械工業出版社，2014.

[2] 李軍.大數據——從海量到精通[M].北京：清華大學出版社，2014.

[3] 維克托·邁爾-舍恩伯格，肯尼斯·庫克耶.大數據時代：生活、工作與思維的大變革[M].杭州：浙江人民出版社，2013.

[4] 牛溫佳.用戶網絡行為畫像——大數據中的用戶網絡行為畫像分析與內容推薦應用[M].北京：電子工業出版社.