網(wǎng)絡(luò)安全監(jiān)測設(shè)備告警日志分析系統(tǒng)設(shè)計和實現(xiàn)

（核工業(yè)計算機應(yīng)用研究所 北京 100048）

日志分析不僅是網(wǎng)絡(luò)安全事件事后追蹤溯源的重要手段，也是網(wǎng)絡(luò)安全監(jiān)測的重要環(huán)節(jié)。分析結(jié)果為網(wǎng)絡(luò)管理人員掌握網(wǎng)絡(luò)運行狀態(tài)、采取應(yīng)急響應(yīng)措施提供重要依據(jù)[1]。而安全設(shè)備日志是大量安全事件不同安全級別的告警記錄，分析網(wǎng)絡(luò)安全設(shè)備日志，能夠進一步確定威脅源，威脅手段和攻擊目標等。

目前，在企業(yè)網(wǎng)絡(luò)安全監(jiān)測和網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)過程中，網(wǎng)絡(luò)安全管理人員和運維人員每天都要查看大量日志，從日志中篩選出告警級別較高的記錄進行分析，分析的方法主要有關(guān)聯(lián)分析和數(shù)據(jù)可視化[2]。現(xiàn)在有條件的企業(yè)已經(jīng)部署安全管理平臺。目前這一工作主要是靠安全工程師逐個對每臺安全設(shè)備告警日志分析，有條件的企業(yè)也可以依據(jù)安全管理平臺實時的告警記錄進行安全監(jiān)測工作。可是，一旦安全設(shè)備更新或者部署位置發(fā)生變化，安全管理平臺過濾條件需要重新配置，周期較長。

本文首先介紹常用的網(wǎng)絡(luò)安全監(jiān)測設(shè)備，分析網(wǎng)絡(luò)安全監(jiān)測設(shè)備日志，再介紹一種從多個安全監(jiān)測設(shè)備告警日志中找出威脅IP地址軟件實現(xiàn)方式，較部署大型安全平臺來說，更經(jīng)濟，更靈活，能滿足大多數(shù)企事業(yè)單位網(wǎng)絡(luò)安全監(jiān)測需求。

1 常用網(wǎng)絡(luò)安全監(jiān)測設(shè)備

網(wǎng)絡(luò)安全監(jiān)測設(shè)備指具有一定監(jiān)測分析能力的網(wǎng)絡(luò)安全設(shè)備。具有監(jiān)測網(wǎng)絡(luò)安全監(jiān)測能力的硬件設(shè)備有很多，比如：入侵檢測系統(tǒng)、入侵防御系統(tǒng)、網(wǎng)絡(luò)安全審計系統(tǒng)、Web應(yīng)用防火墻和威脅情報系統(tǒng)等。不同企業(yè)的網(wǎng)絡(luò)架構(gòu)也不同，使用的網(wǎng)絡(luò)安全監(jiān)測產(chǎn)品品牌和部署位置也不盡相同。這里作者根據(jù)自身企業(yè)網(wǎng)絡(luò)情況和網(wǎng)絡(luò)安全設(shè)備部署情況，選擇入侵防御系統(tǒng)、Web應(yīng)用防火墻和威脅情報系統(tǒng)三個網(wǎng)絡(luò)安全監(jiān)測設(shè)備日志作為研究對象。

1.1 入侵防御系統(tǒng)

入侵防御系統(tǒng)(IPS：Intrusion Prevention System)是計算機網(wǎng)絡(luò)中的一種安全設(shè)施系統(tǒng)，它主要通過監(jiān)控網(wǎng)絡(luò)設(shè)備以及監(jiān)控網(wǎng)絡(luò)設(shè)備對信息的傳輸，從而實時地中斷、調(diào)整或隔離一些具有風險性、危害性的網(wǎng)絡(luò)信息傳輸行為[3]。

1.2 Web應(yīng)用防火墻

Web應(yīng)用防火墻(WAF)需理解HTTP協(xié)議、分析用戶請求數(shù)據(jù)，實現(xiàn)往返流量的監(jiān)測和控制。對于目前常見的跨站腳本攻擊、SQL注入攻擊、命令注入攻擊、參數(shù)篡改、緩沖溢出攻擊、日志篡改、應(yīng)用平臺漏洞攻擊、DoS攻擊等攻擊行為都應(yīng)有良好的防護效果[4]。

1.3 威脅情報監(jiān)測系統(tǒng)

威脅情報是關(guān)于IT 或信息資產(chǎn)所面臨的已經(jīng)存在或正在暴露的威脅的循證知識[5]。威脅情報監(jiān)測系統(tǒng)是根據(jù)外部威脅情報對互聯(lián)網(wǎng)出口流量進行監(jiān)測的安全防護設(shè)備，能夠發(fā)現(xiàn)針對互聯(lián)網(wǎng)資產(chǎn)的攻擊行為。

威脅情報系統(tǒng)功能模塊很多，包括惡意行為、協(xié)議還原、會話還原等。惡意行為模塊又包括惡意程序、惡意域名、黑IP、Webshell上傳等子模塊，可以根據(jù)業(yè)務(wù)情況和企業(yè)面臨的主要網(wǎng)絡(luò)安全威脅進行模塊告警日志選擇。

2 網(wǎng)絡(luò)安全監(jiān)測設(shè)備日志分析

這部分主要對入侵防御系統(tǒng)、Web應(yīng)用防火墻和威脅情報系統(tǒng)中的告警日志進行分析研究。以每條記錄樣本為研究對象，解析出每個字段的含義，重點關(guān)注源IP地址、目的IP地址，動作等字段，分析清楚每個字段的含義，之后就可以根據(jù)提取規(guī)則提取威脅IP地址。

2.1 入侵防御系統(tǒng)日志分析（IPS）

（1）單條記錄（圖1）

圖1 單條記錄1

（2）重要字段說明（表1）

表1 重要字段說明1

2.2 Web應(yīng)用防護系統(tǒng)日志分析

（1）單條記錄（圖2）

圖2 單條記錄2

（2）重要字段說明（表2）

表2 重要字段說明2

2.3 威脅情報監(jiān)測系統(tǒng)日志分析

這里使用威脅情報監(jiān)測系統(tǒng)惡意行為模塊惡意程序子模塊的告警日志。這是因為作者所在企業(yè)比較關(guān)注Web應(yīng)用安全狀況。也可以將黑IP子模塊告警日志同入侵防御系統(tǒng)告警日志、Web應(yīng)用防火墻告警日志一起統(tǒng)計分析，進而可以得到公開情報黑IP對企業(yè)信息系統(tǒng)攻擊情況。

（1）單條記錄（圖3）

圖3 單條記錄3

（2）重要字段說明（表3）

表3 重要字段說明3

3 網(wǎng)絡(luò)安全設(shè)備日志分析系統(tǒng)設(shè)計

3.1 系統(tǒng)功能設(shè)計

（1）手動輸入安全設(shè)備日志文件，根據(jù)日志記錄提取規(guī)則，識別安全風險等級標記項。

（2）根據(jù)日志記錄提取規(guī)則，對日志記錄中的告警進行過濾，形成記錄集。

（3）關(guān)聯(lián)分析入侵防御系統(tǒng)、Web應(yīng)用防火墻和威脅情報監(jiān)測系統(tǒng)告警日志，提取威脅IP地址并顯示通聯(lián)關(guān)系。

3.2 系統(tǒng)架構(gòu)設(shè)計（圖4）

本系統(tǒng)為桌面程序。以多個網(wǎng)絡(luò)安全監(jiān)測設(shè)備告警日志為輸入，調(diào)用提取模塊、分析模塊輸出模塊，最終輸出結(jié)果記錄是威脅IP地址。提取模塊可以根據(jù)需求進行添加和減少以滿足不同情景。

圖4 系統(tǒng)架構(gòu)（圖不清楚）？？？

3.2.1 日志記錄

日志記錄是系統(tǒng)的輸入。日志包括入侵防御系統(tǒng)日志、Web應(yīng)用防火墻日志和威脅情報監(jiān)測系統(tǒng)日志。

3.2.2 提取模塊

提取模塊包括白名單模塊、提取規(guī)則模塊和為可視化提供數(shù)據(jù)集3個子模塊。

白名單中的IP不做提取操作。這個功能主要是解決糾正安全監(jiān)測設(shè)備存在誤報的問題。將IP加入白名單要格外注意，要經(jīng)過長時間監(jiān)測某個IP地址傳輸報警報文從而確定誤報。提取過的威脅IP地址也可加入白名單中，在之后的提取威脅IP工作中不做提取操作。

提取規(guī)則要根據(jù)實際情況靈活的變更。推薦三種規(guī)則：（1）將所有安全監(jiān)測設(shè)備告警IP地址全部提取出并認定為威脅IP地址。（2）將所有安全監(jiān)測設(shè)備高級別告警IP地址全部提取并認定為威脅IP地址。（3）將所有安全監(jiān)測設(shè)備沒有阻斷處理掉告警IP地址的全部提取出并認定為威脅IP地址。以上三種規(guī)則可以根據(jù)實際情況進行選擇。

提取規(guī)則主要根據(jù)日志字段中源IP、目的IP，執(zhí)行動作進行過濾，提取告警的源IP地址。

3.2.3 輸出模塊

輸出模塊包括威脅IP地址及其地理位置列表和通聯(lián)關(guān)系圖。IP地址地理位置使用GeoIP2 Databases數(shù)據(jù)庫[6]。使用pyecharts[7]熱導(dǎo)力圖進行通聯(lián)關(guān)系的可視化展示。

威脅IP列表和通聯(lián)關(guān)系能夠反映如下攻擊特征：

（1）某威脅IP地址對企業(yè)多個資產(chǎn)進行攻擊；

考慮到南水北調(diào)工程具有公益性和經(jīng)營性雙重性質(zhì)，其建設(shè)資金主要來源為中央預(yù)算內(nèi)資金和國家重大水利工程建設(shè)基金，在供水成本相對較高和受水區(qū)用戶承受能力有限的雙重制約下，為使工程經(jīng)營主體具有一定的抗風險能力，南水北調(diào)工程將采用微利的運營方式，其資本金利潤率為1%，即工程營運將略有盈余。

（2）某企業(yè)信息系統(tǒng)遭受多個威脅IP攻擊；

（3）境外IP對企業(yè)信息系統(tǒng)攻擊情況；

（4）被攻擊頻次較多的企業(yè)信息系統(tǒng)。

3.2.4 結(jié)果記錄

結(jié)果記錄為此系統(tǒng)的輸出，輸出為從安全監(jiān)測設(shè)備日志中按照規(guī)則提取的威脅IP地址。用戶可以將此威脅IP地址加入防火墻黑名單中，從而消除外部安全威脅。

4 網(wǎng)絡(luò)安全監(jiān)測設(shè)備日志分析系統(tǒng)實現(xiàn)

如下介紹的是網(wǎng)絡(luò)安全監(jiān)測設(shè)備日志分析系統(tǒng)的初步實現(xiàn)。使用Python語言實現(xiàn)。

4.1 界面（圖5）

界面主要包括日志文件選擇區(qū)域，威脅IP地址顯示區(qū)域和威脅IP地址通聯(lián)關(guān)系可視化區(qū)域。由于實際網(wǎng)絡(luò)環(huán)境和安全設(shè)備部署位置的原因，這里需要使用兩臺IPS的告警日志作為輸入，才能全面掌握威脅IP情況。

圖5 界面

4.2 威脅IP地址

圖6是日志文件選擇界面，圖7是分析出的威脅IP地址和其地理位置。

圖6 日志文件選擇界面

圖7 分析出的威脅IP地址和其地理位置

4.3 通聯(lián)關(guān)系圖

圖8是威脅IP通聯(lián)關(guān)系力導(dǎo)圖[8]，圖9是每個節(jié)點通聯(lián)情況。

圖8 威脅IP通聯(lián)關(guān)系力導(dǎo)圖

圖9 每個節(jié)點通聯(lián)情況

5 結(jié)束語

分析網(wǎng)絡(luò)安全監(jiān)測設(shè)備告警日志在日常的網(wǎng)絡(luò)安全監(jiān)測工作中是安全運營的重要環(huán)節(jié)。分析思路除了應(yīng)用在分析安全監(jiān)測設(shè)備日志外，也可以用在分析郵件系統(tǒng)日志方面。我們可以通過對郵件日志進行統(tǒng)計分析，繪制通聯(lián)關(guān)系，從而獲得如下信息：

（1）郵箱被爆破情況，及時預(yù)警近期可能爆破成功郵箱；

（2）境外IP成功登錄郵箱情況，經(jīng)與郵箱用戶溝通后，可以將可疑境外IP地址加入黑名單中。此舉能有效防止信息泄露；

（3）哪些郵箱被爆破風險較高，可以建議用戶更換密碼或者更換郵箱。

在重要敏感時期進行網(wǎng)絡(luò)安全保障過程中，通過使用該系統(tǒng)，及時有效對網(wǎng)絡(luò)攻擊進行了阻斷，判斷出了攻擊方的攻擊重點，對網(wǎng)絡(luò)安全建設(shè)起到了有的放矢的作用。