日志視角下計(jì)算機(jī)網(wǎng)絡(luò)安全控制研究

邱成相++唐秀忠

摘要：互聯(lián)網(wǎng)的普及對計(jì)算機(jī)運(yùn)用的安全造成沖擊。計(jì)算機(jī)日志作為記錄計(jì)算機(jī)運(yùn)行行為的重要工具，可為計(jì)算機(jī)網(wǎng)絡(luò)安全控制提供有效幫助。本文簡要介紹了計(jì)算機(jī)系統(tǒng)日志的內(nèi)涵，以Windows系統(tǒng)為例分別采用本地及采用遠(yuǎn)程管理模式，研究基于日志的計(jì)算機(jī)網(wǎng)絡(luò)安全控制辦法。

關(guān)鍵詞：日志；網(wǎng)絡(luò)安全控制；IIS

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9416（2017）10-0213-02

計(jì)算機(jī)是人們?nèi)粘９ぷ魃钅酥辽鐣l(fā)展的重要工具。網(wǎng)絡(luò)信息時代，病毒、木馬、黑客入侵對計(jì)算機(jī)的正常使用產(chǎn)生負(fù)面影響。通過網(wǎng)絡(luò)安全控制機(jī)制，能夠最大程度確保網(wǎng)絡(luò)有效數(shù)據(jù)和用戶信息的安全，在保證用戶使用便捷、效率提升的前提下為其提供更高的安全性和可靠性。計(jì)算機(jī)系統(tǒng)日志針對計(jì)算機(jī)工作事件進(jìn)行詳實(shí)記錄，并可作為網(wǎng)絡(luò)安全控制的重要依據(jù)。

1 日志文件概述

用戶通過操作計(jì)算機(jī)系統(tǒng)產(chǎn)生系列行為，計(jì)算機(jī)系統(tǒng)對用戶的行為及事件進(jìn)行詳實(shí)記錄進(jìn)而生成的此類文件稱為計(jì)算機(jī)日志文件。日志按照日期、時間、用戶和行為等作為記錄對象，并按照時間為排列依據(jù)形成序列集合。通過分析日志文件內(nèi)容的變化，可在處理歷史數(shù)據(jù)、故障診斷及恢復(fù)、掌握系統(tǒng)異?；顒拥确矫姘l(fā)揮重要作用。根據(jù)記錄對象不同，日志可分為應(yīng)用程序日志、系統(tǒng)日志和安全日志等，根據(jù)記錄內(nèi)容不同可分為事件日志和消息日志。計(jì)算機(jī)系統(tǒng)運(yùn)行產(chǎn)生大量的日志文件，分別記錄相關(guān)對象活動內(nèi)容。

網(wǎng)絡(luò)環(huán)境中，通過遍歷來自多源的日志文件組合來掌握系統(tǒng)活動內(nèi)容，以及事件和行為變化進(jìn)而實(shí)現(xiàn)對系統(tǒng)的監(jiān)控、查詢、可疑行為篩選和審計(jì)。

2 日志視角下網(wǎng)絡(luò)安全控制策略

當(dāng)前中小型網(wǎng)絡(luò)服務(wù)器及客戶端大部分運(yùn)行的是Windows系統(tǒng)，它通過IIS提供互聯(lián)網(wǎng)信息服務(wù)，以Web服務(wù)組件為核心，便于用戶通過網(wǎng)絡(luò)計(jì)算機(jī)實(shí)現(xiàn)網(wǎng)頁瀏覽、郵件傳送和文件傳輸?shù)裙δ?。長期以來，IIS是非法用戶入侵Windows系統(tǒng)的重要突破口，入侵者通過IIS的漏洞，通過偽造用戶信息、網(wǎng)絡(luò)嗅探、遠(yuǎn)程控制木馬等方式實(shí)施遠(yuǎn)程攻擊，如采用SQL注入方式非法獲取用戶賬戶，或者通過DDoS向目標(biāo)系統(tǒng)發(fā)起定向入侵，造成網(wǎng)絡(luò)阻塞、訪問中斷或服務(wù)器崩潰等嚴(yán)重后果。另外，黑客利用HTTP協(xié)議堆棧中存在的遠(yuǎn)程執(zhí)行代碼漏洞發(fā)送特殊設(shè)計(jì)的HTTP請求，在HTTP.sys無法正確分析識別該請求時實(shí)施入侵。

2.1 通過本地日志實(shí)施網(wǎng)絡(luò)安全控制

系統(tǒng)默認(rèn)情況下，任何對計(jì)算機(jī)的訪問行為都會被系統(tǒng)日志自動記錄，攻擊者對計(jì)算機(jī)系統(tǒng)的掃描行為就會記錄在系統(tǒng)日志文件之中。針對入侵者利用IIS攻擊的手段，用戶以系統(tǒng)管理員身份訪問系統(tǒng)“控制面板”內(nèi)“管理工具”下的“事件管理器”，詳細(xì)查看系統(tǒng)日志和安全日志，獲取攻擊源、服務(wù)器端口、攻擊時間等信息，根據(jù)上述信息立刻采取相應(yīng)防范措施。

利用Windows系統(tǒng)查找功能分析防火墻日志，通過查找對應(yīng)IP地址、通訊端口連接情況、字符串等方式，獲取接入本地計(jì)算機(jī)數(shù)據(jù)的發(fā)送及接收時間、發(fā)送者IP地址和通訊端口、數(shù)據(jù)包類型等信息，根據(jù)這些信息判斷該連接是否安全，計(jì)算機(jī)IIS系統(tǒng)是否存在安全隱患，采取應(yīng)對措施。

2.2 利用遠(yuǎn)程管理實(shí)現(xiàn)網(wǎng)絡(luò)安全控制

網(wǎng)絡(luò)安全威脅每個時刻都有可能發(fā)生，管理人員卻無法保證7ⅹ24小時都在現(xiàn)場。對此，利用遠(yuǎn)程管理技術(shù)對系統(tǒng)日志分析，是在本地日志分析基礎(chǔ)上安全控制的有效補(bǔ)充。啟用遠(yuǎn)程管理功能前，計(jì)算機(jī)系統(tǒng)須安裝遠(yuǎn)程管理功能組件，并啟用該功能。

在系統(tǒng)管理員權(quán)限下，通過控制面板“程序”項(xiàng)里面的“打開或關(guān)閉Windows功能”來安裝遠(yuǎn)程管理功能組件。組件安裝成功后，設(shè)置可通過遠(yuǎn)程授權(quán)訪問的IP地址及域名，從而實(shí)現(xiàn)遠(yuǎn)程安全管理的基礎(chǔ)操作。借助對開放遠(yuǎn)程管理功能組件的計(jì)算機(jī)進(jìn)行遠(yuǎn)程管理時，通過異地計(jì)算機(jī)的瀏覽器中輸入帶有端口號的IP地址如http：//172.21.1.16：8088，在登錄對話框內(nèi)輸入賬戶名及密碼遠(yuǎn)程登錄目標(biāo)計(jì)算機(jī)系統(tǒng)。遠(yuǎn)程登錄默認(rèn)端口為3389，黑客可通過該端口采用猜測用戶口令等方式遠(yuǎn)程接入。解決方式之一就是修改默認(rèn)遠(yuǎn)程登錄端口。登錄后，通過維護(hù)功能對Web、FTP服務(wù)器進(jìn)行的啟停和刪除等操作，可像與本地計(jì)算機(jī)日志管理方式一樣管理日志信息。

2.3 專業(yè)日志分析工具實(shí)施網(wǎng)絡(luò)安全控制

通常計(jì)算機(jī)每日產(chǎn)生大量的日志記錄，其產(chǎn)生的量級與系統(tǒng)服務(wù)運(yùn)行時間的長短存在必然聯(lián)系。在IIS服務(wù)長期運(yùn)行的情況下，日志文件大小不可避免的持續(xù)增加。常規(guī)方式下通過人為逐個查找，不僅工作效率極低，且可能造成查找疏失。系統(tǒng)自身日志分析功能受限于用戶的專業(yè)水平和巨大的工作量，單一通過用戶識別、修正并排除計(jì)算機(jī)安全隱患很難實(shí)現(xiàn)。專業(yè)日志分析工具能夠全面細(xì)致分析網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、服務(wù)器、客戶端及各類應(yīng)用系統(tǒng)等產(chǎn)生的日志，并以可視化方式實(shí)時呈現(xiàn)出來。利用定義日志篩選規(guī)則和策略來準(zhǔn)確查找關(guān)鍵信息，幫助管理員了解系統(tǒng)運(yùn)行狀況，實(shí)現(xiàn)網(wǎng)絡(luò)故障定位及安全威脅識別。

3 日志文件管理

日志信息的安全直接關(guān)系到計(jì)算機(jī)系統(tǒng)的安全。非法入侵者采取刪除、篡改系統(tǒng)日志等操作，設(shè)法隱藏或銷毀目標(biāo)計(jì)算機(jī)系統(tǒng)上相關(guān)攻擊記錄，來躲避系統(tǒng)防控人員的追蹤、審計(jì)和取證。常規(guī)狀態(tài)下，計(jì)算機(jī)日志文件處于非保護(hù)加密的系統(tǒng)目錄中，攻擊者通過對日志信息進(jìn)行刪除或篡改來隱匿自身信息，管理員獲取完整有效記錄困難。因此，可從制度體系及技術(shù)措施兩方面來強(qiáng)化日志文件管理。

技術(shù)層面上，首先要正確規(guī)范日志等級如debug（調(diào)試信息）、info（收集關(guān)注的信息）、warn（警告信息）和error（錯誤信息），混亂的日志級別不便于運(yùn)維，也對后期日志分析和處理留下很大隱患。其次，日志文件需統(tǒng)一集中管理，合理控制日志文件大小，并定期清理。最重要的一點(diǎn)是強(qiáng)調(diào)日志文件的安全性，定期備份日志文件，對于存儲私密敏感信息的日志文件，保證通過加密機(jī)制或者控制用戶訪問權(quán)限等操作來為日志文件提供安全保障。

制度體系建設(shè)上，配備專業(yè)管理人員，做到專人專管，制定具體的日志管理計(jì)劃，從備份、維護(hù)及清除無用的日志信息等操作嚴(yán)格按照計(jì)劃執(zhí)行。

4 結(jié)語

網(wǎng)絡(luò)環(huán)境下的計(jì)算機(jī)安全控制是當(dāng)前重要研究內(nèi)容之一。用戶可以通過本地及遠(yuǎn)程管理功能對日志文件進(jìn)行分析，實(shí)現(xiàn)網(wǎng)絡(luò)中計(jì)算機(jī)系統(tǒng)安全控制和管理。在管理過程中，可采用專業(yè)工具及系統(tǒng)日志分析相結(jié)合的方式，精確查找分析威脅源并采取技術(shù)措施，從而增強(qiáng)計(jì)算機(jī)運(yùn)行的可靠性。

參考文獻(xiàn)

[1]謝樂華.關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)安全管理的分析探討[J].信息化建設(shè)，2016，（8）：11-12.

[2]明小波，郭金華.看日志加強(qiáng)計(jì)算機(jī)的網(wǎng)絡(luò)安全控制初探[J].中國新通信，2017，（15）：8-9.

[3]黃詩敏.網(wǎng)絡(luò)安全問題應(yīng)對解決方案[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016，（4）：7-8.

[4]林輝，竇旻.系統(tǒng)日志的安全保護(hù)[J].計(jì)算機(jī)工程，2003，（17）：130-131.endprint