李祝紅 趙燦明 杜炳 楊安東
摘 要:隨著電力企業(yè)信息化水平不斷提升,信息業(yè)務支撐服務范圍越來越廣,各類業(yè)務終端接入數(shù)量呈快速增長趨勢,公司擬通過通過建設電力網(wǎng)絡日志分析系統(tǒng)捕獲網(wǎng)絡實時訪問數(shù)據(jù),對用戶訪問數(shù)據(jù)信息進行行為挖掘和分析,以監(jiān)管信息內(nèi)網(wǎng)用戶非授權(quán)網(wǎng)絡訪問行為,并對用戶訪問信息進行其它有益挖掘;實現(xiàn)業(yè)務終端安全管控、終端網(wǎng)絡訪問行為的數(shù)據(jù)挖掘和數(shù)據(jù)分析。
關(guān)鍵詞:電力網(wǎng)絡;日志分析;數(shù)據(jù)挖掘
中圖分類號:TP311.13 文獻標識碼:A 文章編號:1671-2064(2018)07-0023-01
隨著電力企業(yè)信息化水平不斷提升,信息業(yè)務支撐服務范圍越來越廣,各類業(yè)務終端接入數(shù)量呈快速增長趨勢,加強對業(yè)務終端安全管控、對終端網(wǎng)絡訪問行為進行挖掘和數(shù)據(jù)分析意義重大。
現(xiàn)有的桌面終端安全管控技術(shù)和手段均難以滿足需求,如:IP管控、桌面VRV偏重于對IP地址或用戶終端的管理,但均無法針對用戶網(wǎng)絡訪問行為數(shù)據(jù)進行分析和管理;上網(wǎng)行為管理系統(tǒng)偏重于對網(wǎng)絡訪問行為管理,但是數(shù)據(jù)包級的挖掘功能不足,且需要高成本的軟硬件支持,針對特定網(wǎng)絡支持不足;而入侵檢測系統(tǒng)偏重于對數(shù)據(jù)報級網(wǎng)絡行為特征分析,對用戶終端網(wǎng)絡行為難以有效管理。
如何有效克服現(xiàn)狀不足,設計出一種能夠基于網(wǎng)絡用戶訪問行為的日志分析系統(tǒng),使得用戶能夠有效管理網(wǎng)絡訪問行為進行用戶有用數(shù)據(jù)挖掘分析具有重大意義。
1 國內(nèi)外現(xiàn)狀
近年來,對于網(wǎng)絡日志分析的研究和相關(guān)產(chǎn)品研發(fā)也取得突破性進展。
在網(wǎng)絡用戶行為分析方面,主要的分析方法有兩大類:一類是以網(wǎng)絡用戶的正常行為建模,來判斷采集到的行為信息是否異常,其稱為異常檢測技術(shù),主要是指通過對數(shù)據(jù)的聚類分析和深度神經(jīng)算法的檢測;第二類主要是指通過利用用戶網(wǎng)絡訪問行為中的異常數(shù)據(jù)進行建模分析,主要包含模式匹配技術(shù)、專家系統(tǒng)和推理監(jiān)測方法等。需要特別指出的是,模式匹配技術(shù)是其主要的代表性檢測技術(shù),它的主要原理是通過采集用戶的網(wǎng)絡訪問行為與已建立的網(wǎng)絡行為數(shù)據(jù)庫進行比較分析和匹配,一旦發(fā)現(xiàn)用戶行為與數(shù)據(jù)庫無法匹配,則認為該用戶的網(wǎng)絡訪問違反了安全策略。這種方法的原理簡單,操作性強,數(shù)據(jù)監(jiān)測準確率高;但是缺點也相當明顯即智能檢測到已知的網(wǎng)絡行為,數(shù)據(jù)庫需要不斷的更新;除此之外,在高速、大規(guī)模的網(wǎng)絡環(huán)境中,如果僅僅依靠模式匹配技術(shù)無法及時分析處理大量的數(shù)據(jù)包,處理速度和處理準確率值得商榷。
2 技術(shù)關(guān)鍵點
2.1 基于WinPcap的數(shù)據(jù)包捕獲和過濾技術(shù)
WinPcap主要包含三個部分,分別是數(shù)據(jù)包監(jiān)聽程序、底層動態(tài)鏈接和獨立的靜態(tài)庫;其中數(shù)據(jù)包監(jiān)聽程序是主要的核心程序,動態(tài)鏈接和獨立的靜態(tài)庫懂事為用戶層服務的。
(1)數(shù)據(jù)包監(jiān)聽設備驅(qū)動程序。為實現(xiàn)數(shù)據(jù)抓包,理論上必須不經(jīng)過操作系統(tǒng)的協(xié)議而直接對網(wǎng)絡傳輸?shù)脑紨?shù)據(jù)進行抓包。鑒于此,Winpcap程序必須要部署一部分核心程序在操作系統(tǒng)的核心層,該程序與網(wǎng)絡接口直接連接。(2)底層的動態(tài)連接庫(packet.dll)和高層靜態(tài)庫(wpcap.dll)。為了保證程序的合理性和可運行性,Winpcap需要提供一個可用于程序編匯的接口。這個接口也被稱之為底層動態(tài)鏈接庫和高層靜態(tài)庫。需要指出的是,底層動態(tài)鏈接庫主要用于提供一個底層的API,方便數(shù)據(jù)包監(jiān)聽程序直接訪問驅(qū)動函數(shù);高層靜態(tài)庫則主要用于高層抓包數(shù)據(jù)庫的完成,建設數(shù)據(jù)庫的目的主要是是數(shù)據(jù)抓包可以不經(jīng)過操作系統(tǒng)核心層的管理。
與此同時,關(guān)于底層動態(tài)鏈接其主要部署在用戶層,同時與其他兩個運行程序?qū)崿F(xiàn)邏輯隔離,主要是為了該程序可以在多版本的WINDOWS上穩(wěn)定運行。
2.2 基于聚類分析算法的網(wǎng)絡流量統(tǒng)計
數(shù)據(jù)挖掘一般是指從大量的數(shù)據(jù)中通過算法抽取挖掘出潛在、未知的有價值的模式或規(guī)律等知識的復雜過程。
基于以上描述,本系統(tǒng)運用了自動聚類分析方法。我們通過流的頭字段中的源IP地址、目的IP地址、源端口、目的端口等參數(shù)對流簇進行了定義。其中,IP地址的定義主要是利用長度在8至32的數(shù)值個數(shù)來定義;端口的定義則主要是通過某個較為獨特的端口值或所有可能值來定義,因為網(wǎng)路中分配給固定的端口其值一般是不大于1024的,只有是臨時的端口值采會大于1023;一次我們認為大于1023或者是小于1024的端口數(shù)值是可以被定義的。
3 功能描述
3.1 系統(tǒng)功能圖(如圖1)
3.2 功能描述
3.2.1 數(shù)據(jù)處理
(1)數(shù)據(jù)抓包。指通過利用對網(wǎng)絡端口的實時監(jiān)控,實現(xiàn)網(wǎng)絡訪問的實時數(shù)據(jù)包。(2)數(shù)據(jù)包篩選。主要指對抓包到的網(wǎng)絡數(shù)據(jù)依據(jù)源地址和目的地址開展數(shù)據(jù)篩選,對符合篩選條件的數(shù)據(jù)包進行過濾,對符合條件的數(shù)據(jù)包開展下一步分析。(3)數(shù)據(jù)包分析存儲。解析數(shù)據(jù)包內(nèi)容,丟棄非郵件發(fā)送和網(wǎng)頁瀏覽的數(shù)據(jù)包,對符合條件的數(shù)據(jù)包進行進一步內(nèi)容解析,解析出郵件行為的發(fā)件人地址、收件人地址、郵件標題、發(fā)送時間等信息和網(wǎng)頁訪問行為的網(wǎng)頁地址、訪問者IP等信息,分別存儲到數(shù)據(jù)庫中。最后存儲到數(shù)據(jù)庫中的數(shù)據(jù)是終端行為審計信息查詢的主要依據(jù)。
3.2.2 用戶行為挖掘與分析
(1)用戶數(shù)據(jù)流量排名。以柱狀圖展示所選時間段內(nèi)不同類型數(shù)據(jù)包中用戶訪問流量排名前10位。(2)用戶興趣點分布。統(tǒng)計某一時間段內(nèi)用戶興趣點的具體用戶訪問量和訪問流量占比,并以餅狀圖展示。(3)網(wǎng)絡實時流量圖。實時展示核心交換機中不同類型數(shù)據(jù)包流量情況以及每個網(wǎng)絡終端中網(wǎng)絡流量情況。(4)不同類型包流量統(tǒng)計。統(tǒng)計某一時間段內(nèi)ARP、HTTP、ICMP、TCP、UDP等不同類型數(shù)據(jù)包的累計流量,并以柱狀圖展現(xiàn)。
3.2.3 系統(tǒng)管理
(1)監(jiān)控關(guān)鍵字管理。提供用戶網(wǎng)絡訪問行為中關(guān)鍵字設置,系統(tǒng)對存在關(guān)鍵字信息的網(wǎng)絡訪問行為進行自動預警。(2)白名單管理。提供監(jiān)測用戶白名單管理,系統(tǒng)會自動過濾掉白名單中用戶,不對其進行網(wǎng)絡訪問行為查詢和統(tǒng)計。(3)組織管理。提供系統(tǒng)用戶的組織機構(gòu)信息維護。(4)用戶管理。提供系統(tǒng)訪問用戶的信息管理,包括用戶姓名、手機號、郵箱地址等信息。
4 結(jié)語
系統(tǒng)已成功應用于國網(wǎng)蕪湖供電公司信息內(nèi)網(wǎng)用戶終端安全管理當中,系統(tǒng)捕獲網(wǎng)絡實時訪問數(shù)據(jù),對用戶訪問數(shù)據(jù)信息進行行為挖掘和分析,以監(jiān)管信息內(nèi)網(wǎng)用戶非授權(quán)網(wǎng)絡訪問行為,并對用戶訪問信息進行其它有益挖掘。本研究對于加強安全終端管控、增強網(wǎng)絡信息安全有著顯著作用。