網(wǎng)絡(luò)安全監(jiān)測設(shè)備告警日志分析系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)

（核工業(yè)計(jì)算機(jī)應(yīng)用研究所 北京 100048）

日志分析不僅是網(wǎng)絡(luò)安全事件事后追蹤溯源的重要手段，也是網(wǎng)絡(luò)安全監(jiān)測的重要環(huán)節(jié)。分析結(jié)果為網(wǎng)絡(luò)管理人員掌握網(wǎng)絡(luò)運(yùn)行狀態(tài)、采取應(yīng)急響應(yīng)措施提供重要依據(jù)[1]。而安全設(shè)備日志是大量安全事件不同安全級別的告警記錄，分析網(wǎng)絡(luò)安全設(shè)備日志，能夠進(jìn)一步確定威脅源，威脅手段和攻擊目標(biāo)等。

目前，在企業(yè)網(wǎng)絡(luò)安全監(jiān)測和網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)過程中，網(wǎng)絡(luò)安全管理人員和運(yùn)維人員每天都要查看大量日志，從日志中篩選出告警級別較高的記錄進(jìn)行分析，分析的方法主要有關(guān)聯(lián)分析和數(shù)據(jù)可視化[2]?，F(xiàn)在有條件的企業(yè)已經(jīng)部署安全管理平臺(tái)。目前這一工作主要是靠安全工程師逐個(gè)對每臺(tái)安全設(shè)備告警日志分析，有條件的企業(yè)也可以依據(jù)安全管理平臺(tái)實(shí)時(shí)的告警記錄進(jìn)行安全監(jiān)測工作?？墒?，一旦安全設(shè)備更新或者部署位置發(fā)生變化，安全管理平臺(tái)過濾條件需要重新配置，周期較長。

本文首先介紹常用的網(wǎng)絡(luò)安全監(jiān)測設(shè)備，分析網(wǎng)絡(luò)安全監(jiān)測設(shè)備日志，再介紹一種從多個(gè)安全監(jiān)測設(shè)備告警日志中找出威脅IP地址軟件實(shí)現(xiàn)方式，較部署大型安全平臺(tái)來說，更經(jīng)濟(jì)，更靈活，能滿足大多數(shù)企事業(yè)單位網(wǎng)絡(luò)安全監(jiān)測需求。

1 常用網(wǎng)絡(luò)安全監(jiān)測設(shè)備

網(wǎng)絡(luò)安全監(jiān)測設(shè)備指具有一定監(jiān)測分析能力的網(wǎng)絡(luò)安全設(shè)備。具有監(jiān)測網(wǎng)絡(luò)安全監(jiān)測能力的硬件設(shè)備有很多，比如：入侵檢測系統(tǒng)、入侵防御系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)系統(tǒng)、Web應(yīng)用防火墻和威脅情報(bào)系統(tǒng)等。不同企業(yè)的網(wǎng)絡(luò)架構(gòu)也不同，使用的網(wǎng)絡(luò)安全監(jiān)測產(chǎn)品品牌和部署位置也不盡相同。這里作者根據(jù)自身企業(yè)網(wǎng)絡(luò)情況和網(wǎng)絡(luò)安全設(shè)備部署情況，選擇入侵防御系統(tǒng)、Web應(yīng)用防火墻和威脅情報(bào)系統(tǒng)三個(gè)網(wǎng)絡(luò)安全監(jiān)測設(shè)備日志作為研究對象。

1.1 入侵防御系統(tǒng)

入侵防御系統(tǒng)(IPS：Intrusion Prevention System)是計(jì)算機(jī)網(wǎng)絡(luò)中的一種安全設(shè)施系統(tǒng)，它主要通過監(jiān)控網(wǎng)絡(luò)設(shè)備以及監(jiān)控網(wǎng)絡(luò)設(shè)備對信息的傳輸，從而實(shí)時(shí)地中斷、調(diào)整或隔離一些具有風(fēng)險(xiǎn)性、危害性的網(wǎng)絡(luò)信息傳輸行為[3]。

1.2 Web應(yīng)用防火墻

Web應(yīng)用防火墻(WAF)需理解HTTP協(xié)議、分析用戶請求數(shù)據(jù)，實(shí)現(xiàn)往返流量的監(jiān)測和控制。對于目前常見的跨站腳本攻擊、SQL注入攻擊、命令注入攻擊、參數(shù)篡改、緩沖溢出攻擊、日志篡改、應(yīng)用平臺(tái)漏洞攻擊、DoS攻擊等攻擊行為都應(yīng)有良好的防護(hù)效果[4]。

1.3 威脅情報(bào)監(jiān)測系統(tǒng)

威脅情報(bào)是關(guān)于IT 或信息資產(chǎn)所面臨的已經(jīng)存在或正在暴露的威脅的循證知識(shí)[5]。威脅情報(bào)監(jiān)測系統(tǒng)是根據(jù)外部威脅情報(bào)對互聯(lián)網(wǎng)出口流量進(jìn)行監(jiān)測的安全防護(hù)設(shè)備，能夠發(fā)現(xiàn)針對互聯(lián)網(wǎng)資產(chǎn)的攻擊行為。

威脅情報(bào)系統(tǒng)功能模塊很多，包括惡意行為、協(xié)議還原、會(huì)話還原等。惡意行為模塊又包括惡意程序、惡意域名、黑IP、Webshell上傳等子模塊，可以根據(jù)業(yè)務(wù)情況和企業(yè)面臨的主要網(wǎng)絡(luò)安全威脅進(jìn)行模塊告警日志選擇。

2 網(wǎng)絡(luò)安全監(jiān)測設(shè)備日志分析

這部分主要對入侵防御系統(tǒng)、Web應(yīng)用防火墻和威脅情報(bào)系統(tǒng)中的告警日志進(jìn)行分析研究。以每條記錄樣本為研究對象，解析出每個(gè)字段的含義，重點(diǎn)關(guān)注源IP地址、目的IP地址，動(dòng)作等字段，分析清楚每個(gè)字段的含義，之后就可以根據(jù)提取規(guī)則提取威脅IP地址。

2.1 入侵防御系統(tǒng)日志分析（IPS）

（1）單條記錄（圖1）

圖1 單條記錄1

（2）重要字段說明（表1）

表1 重要字段說明1

2.2 Web應(yīng)用防護(hù)系統(tǒng)日志分析

（1）單條記錄（圖2）

圖2 單條記錄2

（2）重要字段說明（表2）

表2 重要字段說明2

2.3 威脅情報(bào)監(jiān)測系統(tǒng)日志分析

這里使用威脅情報(bào)監(jiān)測系統(tǒng)惡意行為模塊惡意程序子模塊的告警日志。這是因?yàn)樽髡咚谄髽I(yè)比較關(guān)注Web應(yīng)用安全狀況。也可以將黑IP子模塊告警日志同入侵防御系統(tǒng)告警日志、Web應(yīng)用防火墻告警日志一起統(tǒng)計(jì)分析，進(jìn)而可以得到公開情報(bào)黑IP對企業(yè)信息系統(tǒng)攻擊情況。

（1）單條記錄（圖3）

圖3 單條記錄3

（2）重要字段說明（表3）

表3 重要字段說明3

3 網(wǎng)絡(luò)安全設(shè)備日志分析系統(tǒng)設(shè)計(jì)

3.1 系統(tǒng)功能設(shè)計(jì)

（1）手動(dòng)輸入安全設(shè)備日志文件，根據(jù)日志記錄提取規(guī)則，識(shí)別安全風(fēng)險(xiǎn)等級標(biāo)記項(xiàng)。

（2）根據(jù)日志記錄提取規(guī)則，對日志記錄中的告警進(jìn)行過濾，形成記錄集。

（3）關(guān)聯(lián)分析入侵防御系統(tǒng)、Web應(yīng)用防火墻和威脅情報(bào)監(jiān)測系統(tǒng)告警日志，提取威脅IP地址并顯示通聯(lián)關(guān)系。

3.2 系統(tǒng)架構(gòu)設(shè)計(jì)（圖4）

本系統(tǒng)為桌面程序。以多個(gè)網(wǎng)絡(luò)安全監(jiān)測設(shè)備告警日志為輸入，調(diào)用提取模塊、分析模塊輸出模塊，最終輸出結(jié)果記錄是威脅IP地址。提取模塊可以根據(jù)需求進(jìn)行添加和減少以滿足不同情景。

圖4 系統(tǒng)架構(gòu)（圖不清楚）？？？

3.2.1 日志記錄

日志記錄是系統(tǒng)的輸入。日志包括入侵防御系統(tǒng)日志、Web應(yīng)用防火墻日志和威脅情報(bào)監(jiān)測系統(tǒng)日志。

3.2.2 提取模塊

提取模塊包括白名單模塊、提取規(guī)則模塊和為可視化提供數(shù)據(jù)集3個(gè)子模塊。

白名單中的IP不做提取操作。這個(gè)功能主要是解決糾正安全監(jiān)測設(shè)備存在誤報(bào)的問題。將IP加入白名單要格外注意，要經(jīng)過長時(shí)間監(jiān)測某個(gè)IP地址傳輸報(bào)警報(bào)文從而確定誤報(bào)。提取過的威脅IP地址也可加入白名單中，在之后的提取威脅IP工作中不做提取操作。

提取規(guī)則要根據(jù)實(shí)際情況靈活的變更。推薦三種規(guī)則：（1）將所有安全監(jiān)測設(shè)備告警IP地址全部提取出并認(rèn)定為威脅IP地址。（2）將所有安全監(jiān)測設(shè)備高級別告警IP地址全部提取并認(rèn)定為威脅IP地址。（3）將所有安全監(jiān)測設(shè)備沒有阻斷處理掉告警IP地址的全部提取出并認(rèn)定為威脅IP地址。以上三種規(guī)則可以根據(jù)實(shí)際情況進(jìn)行選擇。

提取規(guī)則主要根據(jù)日志字段中源IP、目的IP，執(zhí)行動(dòng)作進(jìn)行過濾，提取告警的源IP地址。

3.2.3 輸出模塊

輸出模塊包括威脅IP地址及其地理位置列表和通聯(lián)關(guān)系圖。IP地址地理位置使用GeoIP2 Databases數(shù)據(jù)庫[6]。使用pyecharts[7]熱導(dǎo)力圖進(jìn)行通聯(lián)關(guān)系的可視化展示。

威脅IP列表和通聯(lián)關(guān)系能夠反映如下攻擊特征：

（1）某威脅IP地址對企業(yè)多個(gè)資產(chǎn)進(jìn)行攻擊；

考慮到南水北調(diào)工程具有公益性和經(jīng)營性雙重性質(zhì)，其建設(shè)資金主要來源為中央預(yù)算內(nèi)資金和國家重大水利工程建設(shè)基金，在供水成本相對較高和受水區(qū)用戶承受能力有限的雙重制約下，為使工程經(jīng)營主體具有一定的抗風(fēng)險(xiǎn)能力，南水北調(diào)工程將采用微利的運(yùn)營方式，其資本金利潤率為1%，即工程營運(yùn)將略有盈余。

（2）某企業(yè)信息系統(tǒng)遭受多個(gè)威脅IP攻擊；

（3）境外IP對企業(yè)信息系統(tǒng)攻擊情況；

（4）被攻擊頻次較多的企業(yè)信息系統(tǒng)。

3.2.4 結(jié)果記錄

結(jié)果記錄為此系統(tǒng)的輸出，輸出為從安全監(jiān)測設(shè)備日志中按照規(guī)則提取的威脅IP地址。用戶可以將此威脅IP地址加入防火墻黑名單中，從而消除外部安全威脅。

4 網(wǎng)絡(luò)安全監(jiān)測設(shè)備日志分析系統(tǒng)實(shí)現(xiàn)

如下介紹的是網(wǎng)絡(luò)安全監(jiān)測設(shè)備日志分析系統(tǒng)的初步實(shí)現(xiàn)。使用Python語言實(shí)現(xiàn)。

4.1 界面（圖5）

界面主要包括日志文件選擇區(qū)域，威脅IP地址顯示區(qū)域和威脅IP地址通聯(lián)關(guān)系可視化區(qū)域。由于實(shí)際網(wǎng)絡(luò)環(huán)境和安全設(shè)備部署位置的原因，這里需要使用兩臺(tái)IPS的告警日志作為輸入，才能全面掌握威脅IP情況。

圖5 界面

4.2 威脅IP地址

圖6是日志文件選擇界面，圖7是分析出的威脅IP地址和其地理位置。

圖6 日志文件選擇界面

圖7 分析出的威脅IP地址和其地理位置

4.3 通聯(lián)關(guān)系圖

圖8是威脅IP通聯(lián)關(guān)系力導(dǎo)圖[8]，圖9是每個(gè)節(jié)點(diǎn)通聯(lián)情況。

圖8 威脅IP通聯(lián)關(guān)系力導(dǎo)圖

圖9 每個(gè)節(jié)點(diǎn)通聯(lián)情況

5 結(jié)束語

分析網(wǎng)絡(luò)安全監(jiān)測設(shè)備告警日志在日常的網(wǎng)絡(luò)安全監(jiān)測工作中是安全運(yùn)營的重要環(huán)節(jié)。分析思路除了應(yīng)用在分析安全監(jiān)測設(shè)備日志外，也可以用在分析郵件系統(tǒng)日志方面。我們可以通過對郵件日志進(jìn)行統(tǒng)計(jì)分析，繪制通聯(lián)關(guān)系，從而獲得如下信息：

（1）郵箱被爆破情況，及時(shí)預(yù)警近期可能爆破成功郵箱；

（2）境外IP成功登錄郵箱情況，經(jīng)與郵箱用戶溝通后，可以將可疑境外IP地址加入黑名單中。此舉能有效防止信息泄露；

（3）哪些郵箱被爆破風(fēng)險(xiǎn)較高，可以建議用戶更換密碼或者更換郵箱。

在重要敏感時(shí)期進(jìn)行網(wǎng)絡(luò)安全保障過程中，通過使用該系統(tǒng)，及時(shí)有效對網(wǎng)絡(luò)攻擊進(jìn)行了阻斷，判斷出了攻擊方的攻擊重點(diǎn)，對網(wǎng)絡(luò)安全建設(shè)起到了有的放矢的作用。