智能日志審計與預警系統功能設計與實現分析

摘?要：當前，計算機技術在多個領域中被得到廣泛運用，需要在與網絡相連的各類信息系統中存儲的重要信息也越來越多，尤其是受到利益驅使，容易出現各種入侵事件，從而使信息安全問題加重。因此，本文在概述網絡安全技術的基礎上，從系統架構、功能設計以及系統實現等多個方面對智能日志審計與預警系統的設計與實現進行了探討，以預防和減少安全威脅事件，從而使審計效率提高。

關鍵詞：預警系統;智能日志審計;設計;實現

近年來，隨著知識經濟時代的到來，再加上互聯網技術的普及，企業采用辦公自動化來促進協作效率和管理水平的提高，并且在企業辦公中，網絡信息系統是比較基礎的一個設施[1]。但是在信息化過程中，由于受到諸多因素如流程復雜、用戶眾多以及組織機構復雜等影響，導致大中型企業普遍呈現出數據量大、業務系統負載大等特點，再加上廣泛的信息化，在一定程度上也加劇了信息安全問題。雖然集中式日志服務器能夠統一存儲IT系統的相關信息，但是無法對各種異常日志進行處理和識別且及時預警，所以亟須一種智能日志審計預警系統，從而確保IT系統的信息和網絡安全性[2]。

1?網絡安全技術

網絡安全即網絡系統中的相關數據、硬件以及軟件，避免遭到惡意或偶然的泄露、更改以及破壞，對系統的持續運行提供有效保障，且不需要網絡服務的一種措施。一般來說，將網絡安全的本質界定作為基本依據，其特征如下：

（1）完整性，即在未授權的基礎上數據無法改變的特性，或者在傳輸、儲存信息期間保持不被丟失、破壞或者修改的特性;

（2）保密性，即在授權前提下運用保護信息的一種特征;

（3）可控制性，即信息傳播被授權后具有控制能力的一種特性。

1.1?安全威脅

通常情況下，計算機網絡面臨的威脅主要有以下幾點：

（1）惡意程序威脅，以惡意軟件為主，比如木馬程序、間諜軟件、網絡蠕蟲以及計算機病毒等，開發這些軟件的目的在于網絡攻擊，其攻擊比較有規律且頻繁，也是比較常見的一種威脅;（2）計算機網絡實體威脅，主要為網絡、安全等計算機設備，存在較多漏洞，且配置錯誤;（3）潛在動機和對手，即人為的各種非惡意或惡意攻擊，這些操作或者攻擊可帶來較大的危害。有文獻[3]報道，人為因素泄露信息帶來的影響較大。

對于上述計算機安全的各種威脅，其實際表現有非法訪問、抵賴、信息的拒絕服務、破壞信息、篡改信息以及泄露信息等。

1.2?防護方法

面對各種威脅，當前采用的防護手段有很多，包括以下幾種：

（2）對網絡上的病毒進行防御;

（3）對網絡的攻擊進行防御;

（4）邏輯隔離，即兩個網絡從物理層面上來看是互相連接的，但是在傳輸數據時通道缺乏，一般運用多種措施如數據流控制、數據格式控制以及協議轉換等隔離不同的安全領域;

（5）物理隔離。物理隔離器作為一個不同網絡的隔離部件，通過這一方法可以對兩個網絡進行完全隔離，且公用儲存信息缺失，可以在網際間避免計算機被重用，也是避免外網攻擊的一個有效方法[4]。

1.3?日志審計

通常情況下，日志能夠對所有硬件設備、應用系統以及操作系統的生成行為進行記錄，且表達符合既定規范。比如，IPC系統遭到入侵時，在安全日志中系統能夠記錄相關信息如用戶名、IP以及探測時間等，若入侵者行FTP探測，則會在FIP服務器上對FTP進行記錄，包括探測用戶名、時間以及IP等，甚至系統某項服務的停止或啟動時間，在日志文件中，都會記錄相關情況。

2?智能日志審計與預警系統架構和功能設計

2.1?日志收集和上報功能設計

在設計這一功能時，可以從以下幾方面入手：

（1）業務日志通過收集客戶端任務軟件，可以對日志的相關信息進行獲取;

（2）觸發器在Oracle數據庫登錄日志中，在不影響平臺性能的基礎上，可以收集用戶登錄數據庫信息且上傳;

（3）運用腳本工具和日志工具對網絡設備產生的相關日志、Windows和unix/linux操作系統、設備登錄賬號以及設備生成的日志、賬號以及日志等上傳至收集模塊。

2.2?原始日志數據壓縮與存儲功能設計

客戶端的日志數據通常不用處理或過濾則能上傳，可將設備IP地址作為基本依據進行分類儲存，并且在出現系統故障、違規操作以及黑客入侵的情況下，可以對詳細的原始日志數據進行獲取和分析。同時，為了對存儲空間進行節約，系統每周對本周的日志數據進行壓縮并保存后，可以對原始日志數據進行刪除。

2.3?Web頁面功能設計

在進行Web頁面功能設計時，有以下幾點需要注意：

（1）在計算機系統中，需要對系統維護人員賬號、值班員賬號、日志審計員賬號以及管理員賬號進行預設;

（2）明確管理員權限。一般來說，只有管理人員才具備用戶授權、解鎖、鎖定、刪除以及建立等角色管理和用戶管理權限，可以進一步完善權限警告策略，對設備與子系統的關聯進行構建，使用戶管理功能增強，提高過濾關鍵詞的有效性;

（3）日志審計員權限。只有日志審計員可以對設備和平臺系統的日志進行審計，可以對因誤操作、數據備份、修改密碼等出現在日志中的敏感信息如密碼、賬號等進行刪除。同時，日志審計員可以在Web頁面設置和刪除過濾關鍵字和告警關鍵字，并且關聯配置IP地址、設備名稱與告警關鍵字。

2.4?手機短信告警功能設計

在進行設計時，能夠在Web頁面對平臺設備、平臺設備維護人員、相關手機號關聯以及接收告警短信手機號碼的功能進行配置，在運行系統期間，若出現日志數據異常，則向維護人員發送短信，使相關人員可以及時發現不良事件，如設備運行異常、業務異常、系統異常以及黑客入侵等。

3?智能日志審計和預警系統的實現

3.1?日志搜集的實現

由于已經實現日志客戶端和文本，在搜集日志數據時，其代碼為：

3.2?數據識別、分析以及處理

系統在異步日志收集完成后，可將日志數據發送給Redis;然后由日志識別模塊獲取數據，根據日志識別規則，結合IP地址，識別日志類型，包括系統日志、數據庫登錄日志、設備賬號登錄日志以及命令日志等，做好標記后，在數據庫中根據日志類型標簽進行儲存。同時，運用jave語言編寫日志分析處理器，其組成部分有三個，分別是結果回寫及緩存器、識別分析及處理器以及任務控制器，其流程見圖1。此外，為了使分析器的吞吐量增強，在設計分析器時，還需要增加分析結果緩存與任務控制器模塊，不僅可以避免丟失任務數據，還能使數據庫的瓶頸風險降低。

3.3?實現短信預警功能

在日志分析處理器中，可以記錄日志，構建警告日志，并且向短信中心發送相關信息，再經短信中心向相關維護人員的手機發送信息如系統和設備故障、高危命令操作、賬號異常、異常進程啟停以及異常登錄等，其時間較短，一般在10s內，其流程圖見圖2。

3.4?數據庫實現

為了便于Web頁面和數據處理存儲的交互，本系統選擇oracle數據庫，設計和實現步驟：

（1）用戶權限表、角色表，其中用戶表能夠設置用戶、角色以及權限，再對角色權限進行設置;

（2）用戶設備表、子系統用戶表、過濾關鍵字設備表以及子系統表等可以設置子系統，對關聯用戶進行設置，能夠查看用戶管理的設備系統;

（3）告警關鍵字表存儲設置的告警關鍵字，與設備關聯，若這個告警關鍵字出現在設備中，則可以進行告警;

（4）過濾關鍵字表可以存儲設置的過濾關鍵字，與設備關聯，若某個過濾關鍵字出現在這臺設備中，則對其進行過濾;

（5）對相關記錄表進行設置，包括數據庫登錄日志表、用戶日志表、業務日志表以及系統日志表等。數據庫表的邏輯關聯關系見圖3。

3.5?Web頁面實現

本系統通過Java語言和ssh框架對Web頁面代碼進行編寫，其中B/S與用戶交互可以實現Web頁面。而Web服務可以促進系統相關Web頁面功能設計的實現，即值班員、IT系統維護人員、審計員以及管理員根據各自的權限運用瀏覽器進行多項工作，比如設備配置、設置告警關鍵字、日志多維分析、設置過濾關鍵字、日志審計、IT系統接入配置、日志審計以及登錄告警設置等，其服務框架見圖4。

同時，審計員在對IT系統進行日志審計時，Web頁面將設備IP地址和IT系統名稱作為基本依據，使目錄樹形成，并且不同IP地址下面的日志展示包括內容有很多，如系統日志、業務日志、數據登錄日志以及命令日志等，可以展現出友好的人機界面，為IT系統日志審計提供方便，再加上沒有相關工作，如識別、查找、日志分類搜索、解包以及目錄切換等，在一定程度上可以提高日志審計效率。

結語

綜上所述，在智能日志審計與預警系統中，日志服務器可以與客戶端日志上傳工具互相協同，對IT系統日志信息進行儲存，智能分析和處理海量日志信息，并且可以通過短信告警不安全事件，在對系統進行保護的基礎上，還能促進IT系統日志審計效率的提高。

參考文獻：

[1]李偉.智能油田信息安全綜合審計關鍵技術研究與應用[J].中國管理信息化，2020，23（22）：6162.

[2]“數據中臺關鍵技術與系統研究”專輯導讀[J].華東師范大學學報（自然科學版），2020（05）：68.

[3]丁晨.大數據和人工智能技術在銀行網絡安全風險管理中的實踐——日志安全審計分析業務[J].中國信息化，2019（05）：6668.

[4]呂榮峰，楊夢寧，余虹.智能日志審計與預警系統功能設計與實現[J].數字技術與應用，2016（02）：187189.

作者簡介：鄧志勇（1984—?），男，漢族，佛山人，研究方向：企業信息化。