大型企業信息系統行為安全審計系統研究與應用

郭晶 何亮 王宏 王勇

摘 ?要：目前，很多大型企業網絡與信息系統的安全審計能力不足，無法實現審計事件的有效檢測與追蹤。該文介紹了國網公司信息系統行為審計系統的整體技術架構和關鍵技術，系統采用統一代理與插件技術整合多類日志源系統，實現異源系統日志統一采集與集中管理，構建人員、設備、文件、應用系統這四個維度的實體畫像，基于機器學習算法構建實體行為動態基線和閾值，通過當前操作行為偏差分析實現用戶異常行為檢測，系統通過用戶桌面操作行為的全程記錄與規則化分析進行事件還原取證。整個行為審計系統已在國網公司總部和27家省市公司的應用，有效支撐公司整體安全態勢分析及信息系統安全治理，實現了企業應用業務操作審計的可控、能控、在控，提升了信息系統的安全管理水平。

關鍵詞：電力信息 ?行為審計 ?安全審計 ?大型企業

中圖分類號：TP391 ? ? ? ? ? ? ? ? ? ? ? ? 文獻標識碼：A文章編號：1672-3791（2021）04（c）-0017-04

Research and Application of Behavior Security Audit System of Large Enterprise Information System

GUO Jing ?HE Liang ?WANG Hong ?WANG Yong

（Aostar Information Technologies Co.， Ltd.， Chengdu， Sichuan Province， 610041 ?China）

Abstract：At present， many large-scale enterprise network and information system security audit ability is insufficient， unable to achieve the effective detection and tracking of audit events. This paper introduces the overall technical framework and key technologies of the information system behavior audit system of State Grid Corporation. The system adopts the unified agent and plug-in technology to integrate multiple types of log source systems， to realize the unified collection and centralized management of logs of different systems， to build the entity portrait of four dimensions of personnel， equipment， files and application systems， and to build the dynamic baseline of entity behavior based on machine learning algorithm and threshold， through the deviation analysis of current operation behavior to achieve the detection of user abnormal behavior， the system through the user desktop operation behavior of the whole process record and regular analysis of event recovery forensics. The whole behavior audit system has been applied in the headquarters of State Grid Corporation and 27 provincial and municipal companies， effectively supporting the company's overall security situation analysis and information system security governance， realizing the controllable， controllable and in control of enterprise application business operation audit， and improving the security management level of information system.

Key Words： Electric power information; Behavior audit; Safety audit; Large enterprise

電力企業的發展關乎國家經濟發展的命脈，電力企業的信息系統建設與安全審計十分重要。通過前期建設，國網電網公司已經具備對網絡與信息系統的日志審計功能，但整體審計能力仍不足。審計數據源分散，已建的日志系統各自為陣，采集的數據格式和標準不統一，難以進行統一管理和分析。在日志質量方面，采集到的日志可讀性差、信息不全、利用價值低。比如：各業務應用日志記錄內容多以維護調試內容為主，記錄用戶登錄、數據傳輸、事務執行等。在行為審計分析與追蹤方面，分析方法單一，導致出現大量無效預警報警，難以及時有效地發現和阻斷違規行為。

該文通過對各系統異源日志的全面收集、海量存儲和多種審計方法的綜合運用，構建了信息系統行為安全審計系統，實現用戶信息系統使用的全生命周期管理、操作全過程管理，對其他大型企業具有很好的借鑒參考作用。

1 ?行為安全審計系統技術架構

信息系統行為安全審計系統整合了國網公司主機、網絡、安全類、應用類、終端類以及應用系統日志數據，構建統一的企業級行為安全審計平臺。業務功能方面，主要包括流量采集、用戶行為畫像、用戶態勢管理、行為異常管理、流量采集管理端、行為數據質量分析、違規行為阻斷管理、違規預測管理、系統管理等模塊[1]。信息系統行為安全審計系統技術架構如圖1所示，系統使用的核心技術主要包括Storm、Kafka、Zookeeper、Flume、MapReduce、HDFS等，其中離線分析部分采用MapReduce進行動態計算，使用Storm作為實時數據處理。系統輸入為離線和實時計算的數據源的集合，然后分別由實時系統和離線分析系統進行分析處理，如使用Flume收集日志，然后連接一個消息中間件Kafka，Flume作為消息的生產者，生產的消息數據（日志數據、業務請求數據等）發布到Kafka中，然后通過訂閱的方式，使用Storm和HDFS，將消息處理后寫入HDFS進行離線分析處理。

2 ?系統關鍵技術

2.1 異源系統日志統一采集與集中管理方法

對各類異源系統的日志信息進行統一采集和集中管理，從數據采集源頭打實基礎。系統采用統一代理與插件技術整合用戶桌面操作日志、網絡設備及服務器日志、內外網數據流量日志和業務應用操作等多類日志源，在各個監控節點上部署采集代理，其主要負責日志信息采集和處理，采集服務端統一對采集代理進行插件管理和策略下發，采集的日志通過統一日志中心進行集中存儲和管理，統一日志采集代理體系結構見圖2。

日志采集代理與統一日志中心服務器之間使用TCP協議進行通信，并通過安全套接層SSL進行加密和認證，防止日志信息被竊聽。為了防止主機隨意連接日志服務器并發送虛假的日志文件，系統使用公證機制保證日志文件的可信性和可靠性。

日志采集代理通過插件技術來實現多源日志采集的靈活處理，其中終端采集Agent基于HOOK（鉤子）機制通過捕獲操作系統傳輸消息實現，交換機流量采集Agent基于協議解析和證書機制實現對Http/Https、Ftp/Ftps等各種協議數據的解析，每個插件通過Agent管理端插件配置和正則表達式實現對各日志源的采集內容定義，插件配置文件由插件基本信息、一系列的正則表達式和標識信息域的變量列表組成。

2.2 四個實體維度的異常行為檢測方法

快速準確地識別用戶的異常行為并進行阻斷是行為安全審計系統的核心。系統建立用戶、應用系統、設備、文件這四個實體維度的行為畫像，利用主成分分析算法在畫像信息中提取形成風險事件的關鍵因素，并基于機器學習回歸算法構建實體行為動態基線和閾值，基于當前操作行為與基線、閾值偏差分析，通過分級權重機制判斷并識別異常行為，實現動態預警提升審計準確率。

其中人員畫像主要從日志對人員的靜態信息和動態信息進行提取，通過統計分析、聚類分析、關聯分析等方法挖掘用戶的各種操作行為，形成各種人員畫像[2]。終端畫像主要是從日志對終端的靜態信息和動態信息進行提取，利用統計分析、關聯分析等方法對終端狀態進行挖掘，形成各類終端畫像。文件畫像主要是根據深度內容掃描技術識別文件內容，并標記文件中的敏感關鍵字及敏感關鍵字在文件中出現的次數，形成各類文件畫像。應用系統畫像通過對應用系統不同的運行特征進行提取和歸納，從日志中提取應用系統不同維度的有效信息，通過對這些信息進行計算，形成特征，歸納出的標簽的集合即應用系統畫像[3-5]。

下面以抄表員用戶畫像為例進行說明，根據抄表員在一段時間段內的操作行為日志，通過歸并、分揀、聚類等方式進行數據分析，基于業務查詢、業務辦理等日常操作場景構建分析模型，構建條件包括行為發生IP地址段、行為發生時間范圍、行為發生時間周期、行為結果等。將指定操作日志發送給分析模型，分析模型對用戶操作日志進行行為分析、比對，將偏離正常行為區域、行為時間段的日志，作為異常行為日志發送給審計管理員進行審核，同時生成行為分布。

2.3 多軌可視化用戶行為分析取證技術

在違規事件發生后，一般通過反向追蹤根據被泄露或是竄改的數據線索追蹤到目標人群，然后通過正向復原從嫌疑人群中復原個人的詳細操作軌跡。這個看似簡單的過程在實際環境中往往由于業務應用操作日志可被刪除、篡改，形成行為追蹤斷點，導致定位不清、追責困難。

系統采用多軌可視化用戶行為分析取證方法實現用戶操作行為全紀錄、運維操作全程監控與多維度的行為分析與追蹤。系統從用戶打開客戶端開始實時記錄用戶在客戶端的操作行為，記錄客戶端發生的狀態變化、關鍵進程生命周期、Web應用會話以及響應內容等。用戶訪問應用程序時，在瀏覽器端訪問的URL信息、頁面內容、操作信息，與在應用服務端實時采集的日志數據進行完善互補，確保數據采集的全面性[6]。對關鍵區域用戶操作進行全程記錄的錄屏數據可以轉化為結構化數據便于進行提取分析，包括視頻界定、關鍵字抓取、轉換為數據主題數據并入主題庫、形成的帶主題特征的結構化數據等。系統收到事件調查申請后，將追蹤分析場景相關參數和內容傳遞給規則化分析引擎，以完成具體參數轉換、數據加載、編排、檢索和數據范圍鎖定等分析計算，快速獲取事件相關日志數據。最后應用標尺分析技術對事件數據進行可視化多維分析，展現用戶在特定時間段內的活動軌跡、時長以及該時間段內用戶進行的操作和異常行為。操作上主要是通過將用戶行為所有路徑中涉及的節點進行分層來實現，如應用、負載均衡、路由器、Web服務器、代理、客戶端等。

3 ?應用成效

信息系統用戶行為安全審計系統已經在國網公司總部及27家省市公司推廣應用，在生產應用過程中，多次發現違規使用禁用端口、系統弱口令、賬號異地登錄等非法操作。

2017年6月21日，國網某電力公司審計人員通過行為安全審計操作日志的關鍵字查詢，發現違規操作記錄。sunwei賬號15點03分在IP：10.165.177.137的電腦上登錄了10.1**.***.132服務器，執行修改密碼操作。進一步查看審計錄像發現，其完成常規巡檢工作后執行ssh指令欲跳轉其他服務器，該用戶在巡檢工作中多次違規操作，均被系統默認設置的全局黑名單成功攔截。

通過對某單位統一權限平臺賬號登錄日志進行審計分析，統一權限平臺賬號異地登錄率較高，同一賬號在多終端登錄情況廣泛存在，賬號安全形勢依然嚴峻。統計發現，同一賬號在固定終端（固定IP）使用的比例小于40%，建議賬號安全治理與行為審計協同，常態化開展賬號安全治理工作。

4 ?結語

隨著網絡安全法的實施以及信息化安全提升發展趨勢，信息系統行為安全審計越發重要。該文形成了一套適用于大中型企業的信息系統行為安全審計解決方案，解決了傳統信息化帶來的行為信息系統行為分析困難、用戶操作行為定責無依據、分析行為不徹底等問題，是強化企業信息安全的必要手段，具有良好的應用價值。

參考文獻

[1] 劉廷峰，張曉韜，周平，等.國家電網公司行為安全審計系統開發與應用實踐[J].網絡空間安全，2018，9（12）：90-92.

[2] 歐陽帆，張月天.一種基于用戶行為畫像的安全審計系統[J].信息與電腦：理論版，2018（2）：21-25.

[3] 韓培義.面向云計算的數據加密與脫敏技術研究[D].北京郵電大學，2020.

[4] 王益成.數據驅動下科技情報智慧服務模式研究[D].吉林大學，2020.

[5] 王玉彬.社交網絡大數據分析系統的設計與實現[D].山東大學，2020.

[6] 彭永勇，劉遠彪.基于企業級應用場景的多軌可視化用戶行為分析取證技術研究[J].信息與電腦：理論版，2018（2）：21-25.