電信運營商安全審計系統小概率關聯分析技術研究

中國電信集團天津分公司 田 野

安全審計系統作為一種安全策略記錄，能夠為電信運營商信息安全提供保證，通過將小概率關聯分析技術應用于該系統，能夠利用相關性綜合觀察系統中的所有事件與信息，從而最大化降低信息安全事件的發生概率，這對電信運營商發展至關重要。

1 探討小概率關聯分析技術在電信運營商安全審計系統中的重要意義

所謂安全審計，主要是一種用于挖掘系統違規操作和漏洞的信息安全保護技術，分析基礎是系統數據。信息系統均具有一定脆弱性，極易出現信息安全問題，但是通過將小概率關聯分析技術運用于該系統，能夠提高數據分析準確性，審計管理人員不需要手動進行大量策略配置工作，有效增強了審計工作的常態化和實時化性質，保證審計內容與電信運營商日常業務的緊密貼合，及時掌握違規操作，提升電信運營商審計信息管理水平。

2 研究小概率關聯分析技術在電信運營商安全審計系統中的設計運用

2.1 技術模型原理流程

從當前電信運營商安全審計系統運行現狀來看，在海量的系統數據日志內異常信息和違規操作占比較小，但是此類信息數據直接關系到系統的信息數據安全，為此，需要挖掘這類小概率事件，以信息數據為基礎進行場景、特征以及過程的回溯，并配套落實知識庫，打造一個智能化的自學習分析體系。在將小概率關聯分析技術運用于電信運營商安全審計系統時，主要以以下假設為基礎展開：相較于非法操作，日常中的合法操作更多，判定非法操作的基準是閾值，所以在運用小概率關聯分析技術時，主要目的就是找出數量在特定閾值以下的系統操作行為。

在該假設條件的基礎上，首先對該系統歷史操作記錄的執行次數進行統計，對于該系統而言，操作系統由三方面構成，分別為參數（option）、操作（operation)）和對象（object），即3O。在具體分析過程中，主要是將操作與參數或對象進行隨機組合，從而比較違規閾值（illegal threshold）與統計結果，若是低于閾值，則判定該操作記錄疑似違規記錄，然后將其歸類到疑似違規操作表（sus violation record）中，該技術分析環節為“查找。”其次，通過整理疑似數據得到“疑似違規操作記錄庫”后，使用每個操作對應的一次會話的唯一標識（session ID）對操作之前的有關操作集合進行回溯，經過這一操作可以獲得session里相關操作記錄以及使用者（user）等信息，以此獲得更為全面的疑似違規操作流，該技術分析環節為“回溯”。在完成數據記錄回溯后，若干疑似違規操作流中可能存在不在違規操作庫中的記錄，因此在獲得疑似違規操作流后，需要通過安全專家對違規操作進行確認，在確定某些記錄為違規操作后，將會存儲于違規操作表（violation record），對于沒有被判定為違規操作的記錄則會被丟棄，因此該技術分析環節為“確認”。最后，若是發現表violation record中已經存在疑似違規操作，則會以自動化的方式增加操作次數，若是后來添加至表內的記錄，該技術過程為“修改”。由此可見，小概率關聯分析技術在電信運營商安全審計系統中的運用分為四部分，分別為查找、回溯、確認及修改。

2.2 小概率關聯分析技術服務程序構成

小概率關聯分析是一種自學習行為，但是用戶需要提前做好設置，比如回溯時間、分析策略，或是合理的違規閾值等，這樣才能夠實現記錄數據的分析與歸類整理。從當前技術發展和使用現狀來看，基于該技術的服務程序包括四個模塊，分別為統計、回溯、確認及監控。①統計。該模塊負責統計某段時間內系統日志中所有操作的系數，統計后按照從小到大的順序排列，根據用戶設置的關聯分析策略對疑似違規操作進行刪選，并存儲至數據表中。②回溯。得到疑似違規操作庫后，系統管理員需要根據具體需求選擇是否回溯，若確認回溯則以時間、用戶名等要素為基礎。例如，當違規閾值為3時，創建用戶（create user）這一操作發生了2次，那么該操作就被判定為疑似違規操作，回溯該操作后則會得到兩個疑似違規操作流。③確認。系統管理員以自身經驗為基礎判定該操作流是否為違規操作過程，選擇的不同其得到的操作流類別也不同，分別為安全和違規操作流程。由于在確認過程中需要歸并處理日志流，將安全操作記錄篩選出去，因此，操作流時間可能較長，但是用戶參與難度降低，最終得到的結果質量也更為理想。④監控。以違規操作流為基礎監控用戶操作并實時匹配，以此獲得相關正處于進行時的危險操作，從而及時發送警示信息。

2.3 技術模型設計

在使用小概率關聯分析技術對電信運營商安全審計系統進行分析時，主要通過小概率分析模型進行，在設計該模型時，從信息數據查找、數據回溯、確認以及修改四個階段進行。以“腳本方式將DB2數據表導出到主機文件”為例，分析第一此運行情況和例行運行情況，以此保證分析模型設計質量。

（1）查找設計

在進行查找設計時，分別以兩種情況為基礎分別設計第一次查找和例行性查找。對于前者而言，需要面向電信運營商安全審計系統數據庫中的所有操作記錄開展分析工作，首先，提取記錄詳情落實預處理工作，記錄詳情包括參數（option）、操作（operation)）和對象（object），預處理過程中將三者之間多余的空格去掉，之后保存，存儲方式為表map。之后，將3O作為記錄主鍵進行次數的記錄，并一一對應主鍵的使用者ID，即user session ID，主要將其記錄在表operation session。若是遇到不存在的主鍵，則歸類于表map上，次數為1。在統計完操作記錄后，一旦發生次數在違規閾值以下，則被劃定為疑似違規操作，并整理至表violation record中。值得注意的是，由于每天用戶的記錄均存在異同，所以為了避免日期重疊，還需要進行時間范圍的記錄，因為日期是操作日志表名，所以直接將第一個表和最后一個表的表名作為時間范圍即可，分別為作為起始時間戳，從而保證查找時間范圍的準確是。最后，在全部記錄查找結束后，回溯所有操作記錄。

而后者這一例行性查找則是每天對該系統進行查找，次數1次，統計過程與第一次運行情況相同，唯一存在差異的內容時對疑似違規操作進行過濾時，以查找閾值為基礎，從而得到疑似違規操作表，最后開展回溯工作。

（2）回溯設計

為實現對疑似違規操作表的有效回溯，需要以回溯原則進行設計，假設記錄為A，那么針對第一次運行情況下的回溯，內容包括A session ID 1的所有操作，而例行性回溯則是回溯A session ID 1的user。通過重復回溯記錄A對應的user session ID后，得到一個記錄相關操作，之后回溯嚇一條記錄，全部回溯結束后獲得疑似違規操作流，存儲于T NEED CONFIRED **** ** **中。

（3）確認設計

在確認階段，無論是第一次運行情況還是例行性情況，其過程不存在差異，都是對T NEED CONFIRED **** ** **進行分析，具體需要確認的操作流程如表1所示。

表1 待確認的操作流

（4）修改設計

在明確獲得違規操作后，進入violation record中進行確認操作，將非違規操作剔出。

結論：綜上所述，小概率關聯分析技術在電信運營商安全審計系統中的運用能夠及時最終安全漏洞、安全事故，并實時告警開展責任追蹤。在實際設計運用過程中，相關人員應設計分析模型和搭建知識庫，從而為關聯分析的展開奠定良好基礎，保證電信運營商信息安全。