摘 要:当前,计算机技术在多个领域中被得到广泛运用,需要在与网络相连的各类信息系统中存储的重要信息也越来越多,尤其是受到利益驱使,容易出现各种入侵事件,从而使信息安全问题加重。因此,本文在概述网络安全技术的基础上,从系统架构、功能设计以及系统实现等多个方面对智能日志审计与预警系统的设计与实现进行了探讨,以预防和减少安全威胁事件,从而使审计效率提高。
关键词:预警系统;智能日志审计;设计;实现
近年来,随着知识经济时代的到来,再加上互联网技术的普及,企业采用办公自动化来促进协作效率和管理水平的提高,并且在企业办公中,网络信息系统是比较基础的一个设施[1]。但是在信息化过程中,由于受到诸多因素如流程复杂、用户众多以及组织机构复杂等影响,导致大中型企业普遍呈现出数据量大、业务系统负载大等特点,再加上广泛的信息化,在一定程度上也加剧了信息安全问题。虽然集中式日志服务器能够统一存储IT系统的相关信息,但是无法对各种异常日志进行处理和识别且及时预警,所以亟须一种智能日志审计预警系统,从而确保IT系统的信息和网络安全性[2]。
1 网络安全技术
网络安全即网络系统中的相关数据、硬件以及软件,避免遭到恶意或偶然的泄露、更改以及破坏,对系统的持续运行提供有效保障,且不需要网络服务的一种措施。一般来说,将网络安全的本质界定作为基本依据,其特征如下:
(1)完整性,即在未授权的基础上数据无法改变的特性,或者在传输、储存信息期间保持不被丢失、破坏或者修改的特性;
(2)保密性,即在授权前提下运用保护信息的一种特征;
(3)可控制性,即信息传播被授权后具有控制能力的一种特性。
1.1 安全威胁
通常情况下,计算机网络面临的威胁主要有以下几点:
(1)恶意程序威胁,以恶意软件为主,比如木马程序、间谍软件、网络蠕虫以及计算机病毒等,开发这些软件的目的在于网络攻击,其攻击比较有规律且频繁,也是比较常见的一种威胁;(2)计算机网络实体威胁,主要为网络、安全等计算机设备,存在较多漏洞,且配置错误;(3)潜在动机和对手,即人为的各种非恶意或恶意攻击,这些操作或者攻击可带来较大的危害。有文献[3]报道,人为因素泄露信息带来的影响较大。
对于上述计算机安全的各种威胁,其实际表现有非法访问、抵赖、信息的拒绝服务、破坏信息、篡改信息以及泄露信息等。
1.2 防护方法
面對各种威胁,当前采用的防护手段有很多,包括以下几种:
(1)身份认证;(2)对网络上的病毒进行防御;
(3)对网络的攻击进行防御;
(4)逻辑隔离,即两个网络从物理层面上来看是互相连接的,但是在传输数据时通道缺乏,一般运用多种措施如数据流控制、数据格式控制以及协议转换等隔离不同的安全领域;
(5)物理隔离。物理隔离器作为一个不同网络的隔离部件,通过这一方法可以对两个网络进行完全隔离,且公用储存信息缺失,可以在网际间避免计算机被重用,也是避免外网攻击的一个有效方法[4]。
1.3 日志审计
通常情况下,日志能够对所有硬件设备、应用系统以及操作系统的生成行为进行记录,且表达符合既定规范。比如,IPC系统遭到入侵时,在安全日志中系统能够记录相关信息如用户名、IP以及探测时间等,若入侵者行FTP探测,则会在FIP服务器上对FTP进行记录,包括探测用户名、时间以及IP等,甚至系统某项服务的停止或启动时间,在日志文件中,都会记录相关情况。
2 智能日志审计与预警系统架构和功能设计
2.1 日志收集和上报功能设计
在设计这一功能时,可以从以下几方面入手:
(1)业务日志通过收集客户端任务软件,可以对日志的相关信息进行获取;
(2)触发器在Oracle数据库登录日志中,在不影响平台性能的基础上,可以收集用户登录数据库信息且上传;
(3)运用脚本工具和日志工具对网络设备产生的相关日志、Windows和unix/linux操作系统、设备登录账号以及设备生成的日志、账号以及日志等上传至收集模块。
2.2 原始日志数据压缩与存储功能设计
客户端的日志数据通常不用处理或过滤则能上传,可将设备IP地址作为基本依据进行分类储存,并且在出现系统故障、违规操作以及黑客入侵的情况下,可以对详细的原始日志数据进行获取和分析。同时,为了对存储空间进行节约,系统每周对本周的日志数据进行压缩并保存后,可以对原始日志数据进行删除。
2.3 Web页面功能设计
在进行Web页面功能设计时,有以下几点需要注意:
(1)在计算机系统中,需要对系统维护人员账号、值班员账号、日志审计员账号以及管理员账号进行预设;
(2)明确管理员权限。一般来说,只有管理人员才具备用户授权、解锁、锁定、删除以及建立等角色管理和用户管理权限,可以进一步完善权限警告策略,对设备与子系统的关联进行构建,使用户管理功能增强,提高过滤关键词的有效性;
(3)日志审计员权限。只有日志审计员可以对设备和平台系统的日志进行审计,可以对因误操作、数据备份、修改密码等出现在日志中的敏感信息如密码、账号等进行删除。同时,日志审计员可以在Web页面设置和删除过滤关键字和告警关键字,并且关联配置IP地址、设备名称与告警关键字。
2.4 手机短信告警功能设计
在进行设计时,能够在Web页面对平台设备、平台设备维护人员、相关手机号关联以及接收告警短信手机号码的功能进行配置,在运行系统期间,若出现日志数据异常,则向维护人员发送短信,使相关人员可以及时发现不良事件,如设备运行异常、业务异常、系统异常以及黑客入侵等。
3 智能日志审计和预警系统的实现
3.1 日志搜集的实现
由于已经实现日志客户端和文本,在搜集日志数据时,其代码为:
3.2 数据识别、分析以及处理
系统在异步日志收集完成后,可将日志数据发送给Redis;然后由日志识别模块获取数据,根据日志识别规则,结合IP地址,识别日志类型,包括系统日志、数据库登录日志、设备账号登录日志以及命令日志等,做好标记后,在数据库中根据日志类型标签进行储存。同时,运用jave语言编写日志分析处理器,其组成部分有三个,分别是结果回写及缓存器、识别分析及处理器以及任务控制器,其流程见图1。此外,为了使分析器的吞吐量增强,在设计分析器时,还需要增加分析结果缓存与任务控制器模块,不仅可以避免丢失任务数据,还能使数据库的瓶颈风险降低。
3.3 实现短信预警功能
在日志分析处理器中,可以记录日志,构建警告日志,并且向短信中心发送相关信息,再经短信中心向相关维护人员的手机发送信息如系统和设备故障、高危命令操作、账号异常、异常进程启停以及异常登录等,其时间较短,一般在10s内,其流程图见图2。
3.4 数据库实现
为了便于Web页面和数据处理存储的交互,本系统选择oracle数据库,设计和实现步骤:
(1)用户权限表、角色表,其中用户表能够设置用户、角色以及权限,再对角色权限进行设置;
(2)用户设备表、子系统用户表、过滤关键字设备表以及子系统表等可以设置子系统,对关联用户进行设置,能够查看用户管理的设备系统;
(3)告警关键字表存储设置的告警关键字,与设备关联,若这个告警关键字出现在设备中,则可以进行告警;
(4)过滤关键字表可以存储设置的过滤关键字,与设备关联,若某个过滤关键字出现在这台设备中,则对其进行过滤;
(5)对相关记录表进行设置,包括数据库登录日志表、用户日志表、业务日志表以及系统日志表等。数据库表的逻辑关联关系见图3。
3.5 Web页面实现
本系统通过Java语言和ssh框架对Web页面代码进行编写,其中B/S与用户交互可以实现Web页面。而Web服务可以促进系统相关Web页面功能设计的实现,即值班员、IT系统维护人员、审计员以及管理员根据各自的權限运用浏览器进行多项工作,比如设备配置、设置告警关键字、日志多维分析、设置过滤关键字、日志审计、IT系统接入配置、日志审计以及登录告警设置等,其服务框架见图4。
同时,审计员在对IT系统进行日志审计时,Web页面将设备IP地址和IT系统名称作为基本依据,使目录树形成,并且不同IP地址下面的日志展示包括内容有很多,如系统日志、业务日志、数据登录日志以及命令日志等,可以展现出友好的人机界面,为IT系统日志审计提供方便,再加上没有相关工作,如识别、查找、日志分类搜索、解包以及目录切换等,在一定程度上可以提高日志审计效率。
结语
综上所述,在智能日志审计与预警系统中,日志服务器可以与客户端日志上传工具互相协同,对IT系统日志信息进行储存,智能分析和处理海量日志信息,并且可以通过短信告警不安全事件,在对系统进行保护的基础上,还能促进IT系统日志审计效率的提高。
参考文献:
[1]李伟.智能油田信息安全综合审计关键技术研究与应用[J].中国管理信息化,2020,23(22):6162.
[2]“数据中台关键技术与系统研究”专辑导读[J].华东师范大学学报(自然科学版),2020(05):68.
[3]丁晨.大数据和人工智能技术在银行网络安全风险管理中的实践——日志安全审计分析业务[J].中国信息化,2019(05):6668.
[4]吕荣峰,杨梦宁,余虹.智能日志审计与预警系统功能设计与实现[J].数字技术与应用,2016(02):187189.
作者简介:邓志勇(1984— ),男,汉族,佛山人,研究方向:企业信息化。