基于ELK的Windows系統(tǒng)安全風(fēng)險(xiǎn)分析的研究探索

阮曉龍 馮順磊

摘? 要： 操作系統(tǒng)安全尤其是Windows操作系統(tǒng)安全廣受重視，如何分析Windows系統(tǒng)運(yùn)行情況、評(píng)估Windows系統(tǒng)安全風(fēng)險(xiǎn)，實(shí)現(xiàn)Windows系統(tǒng)安全威脅感知是網(wǎng)絡(luò)安全研究的重要方向。本文以ELK為基礎(chǔ)，從日志分析角度入手，建立海量實(shí)時(shí)日志分析平臺(tái)，高效利用Windows系統(tǒng)事件日志，挖掘Windows事件日志價(jià)值，實(shí)現(xiàn)Windows系統(tǒng)日志審計(jì)與分析，完成系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估與威脅感知。

關(guān)鍵詞： ELK;Windows事件日志;日志分析;系統(tǒng)安全

【Abstract】： The security of the operating system， especially the security of the windows operating system， has been paid more and more attention. How to analyze the operation of the windows system， evaluate the security risk of the windows system， and realize the security threat awareness of the windows system is an important direction of the network security research. Based on elk and from the perspective of log analysis， this paper establishes a massive real- time log analysis platform， makes efficient use of windows system event log， excavates the value of windows event log， realizes windows system log audit and analysis， and completes system security risk assessment and threat perception.

【Key words】： ELK; Windows; Log analysis; System safety

0? 引言

根據(jù)NetMarketShare 2019全球操作系統(tǒng)市場(chǎng)調(diào)研，Windows操作系統(tǒng)仍以87.48%的比例占據(jù)最大份額，Windows操作系統(tǒng)依舊是使用最為廣泛的操作系統(tǒng)，Windows系統(tǒng)的安全防護(hù)顯得尤為重要。Windows系統(tǒng)的安全防護(hù)可從Windows事件日志開始，Windows事件日志中記錄著操作系統(tǒng)、應(yīng)用程序以及用戶操作情況，是系統(tǒng)運(yùn)行的重要痕跡信息[1]。采集Windows事件日志，挖掘Windows事件日志價(jià)值，分析事件日志產(chǎn)生原因，歸納安全事件發(fā)生規(guī)律，可有效感知Windows操作系統(tǒng)運(yùn)行狀態(tài)與安全風(fēng)險(xiǎn)[2]。

通過(guò)ELK可建設(shè)集中式Windows事件日志分析與安全風(fēng)險(xiǎn)感知平臺(tái)，統(tǒng)一采集Windows系統(tǒng)事件日志，集中存儲(chǔ)、實(shí)時(shí)分析、可視化呈現(xiàn)。依托集中式Windows事件日志分析與風(fēng)險(xiǎn)感知平臺(tái)可審計(jì)Windows系統(tǒng)運(yùn)行狀態(tài)與安全風(fēng)險(xiǎn)，精細(xì)化感知操作系統(tǒng)層面的安全與服務(wù)，并以此實(shí)現(xiàn)系統(tǒng)安全審計(jì)與危險(xiǎn)操作行為溯源。

1? Windows日志

1.1? 日志審計(jì)

Windows核心日志文件有系統(tǒng)（System）、安全（Security）和應(yīng)用程序（Application）三種，各類型日志的詳細(xì)描述信息與存儲(chǔ)位置如表1所示。

1.2? 日志解讀

通過(guò)事件查看器查看Windows日志信息，選擇其中一條日志解讀如下。……