面向業(yè)務(wù)日志的數(shù)據(jù)安全審計(jì)

◆鄒云峰 鄧君華 徐 超 邱文偉

?

面向業(yè)務(wù)日志的數(shù)據(jù)安全審計(jì)

◆鄒云峰1鄧君華1徐 超1邱文偉2

(1.國網(wǎng)江蘇省電力有限公司電力科學(xué)研究院 江蘇 210000； 2.國網(wǎng)江蘇省電力有限公司常州供電公司 江蘇 213000)

目前，大量的信息系統(tǒng)都存在內(nèi)部人員行為安全問題，針對(duì)電力營銷系統(tǒng)中的用戶可能會(huì)進(jìn)行一些與業(yè)務(wù)無關(guān)的數(shù)據(jù)操作，本文提出一種結(jié)合業(yè)務(wù)功能范圍的數(shù)據(jù)安全審計(jì)方法。通過對(duì)用戶日志進(jìn)行綜合分析，挖掘數(shù)據(jù)與業(yè)務(wù)的關(guān)聯(lián)，提取用戶的行為模式，生成審計(jì)規(guī)則，進(jìn)而檢測異常操作，發(fā)掘系統(tǒng)安全隱患。

安全審計(jì)；日志分析；數(shù)據(jù)挖掘；異常檢測

0 引言

隨著企業(yè)信息化建設(shè)的不斷深入，信息安全的重要性越來越突出，數(shù)據(jù)是信息化潮流真正的主題，企業(yè)已經(jīng)把關(guān)鍵數(shù)據(jù)視為正常運(yùn)作的基礎(chǔ)，一旦遭受數(shù)據(jù)災(zāi)難，那么整體工作會(huì)陷入癱瘓，帶來難以估量的損失。2017年3月，京東與騰訊的安全團(tuán)隊(duì)聯(lián)手協(xié)助公安部破獲了一起特大竊取販賣公民個(gè)人信息案，其主要犯罪嫌疑人為京東內(nèi)部員工，該員工利用職務(wù)之便，盜取了涉及交通、物流、醫(yī)療、社交、銀行等個(gè)人信息50億條，通過各種方式在網(wǎng)絡(luò)黑市販賣。類似的還有順豐物流內(nèi)部人員泄露用戶數(shù)據(jù)等，因此為了保障數(shù)據(jù)安全，企業(yè)不僅要保護(hù)系統(tǒng)免受外部攻擊，還要避免來自內(nèi)部用戶的數(shù)據(jù)泄露行為。目前，大多數(shù)企業(yè)雖然已經(jīng)采用了一定的網(wǎng)絡(luò)安全手段如防火墻、入侵檢測、漏洞掃描等用于防范惡意攻擊，但當(dāng)內(nèi)部用戶有意或無意的違規(guī)操作給個(gè)人甚至企業(yè)帶來安全隱患時(shí)，上述的安全措施無法及時(shí)響應(yīng)告警，對(duì)于已授權(quán)的內(nèi)部用戶的訪問需求，系統(tǒng)也不可能對(duì)所有數(shù)據(jù)完全加密，因此需要引進(jìn)一種重要的監(jiān)測手段——網(wǎng)絡(luò)安全審計(jì)。

網(wǎng)絡(luò)安全審計(jì)是傳統(tǒng)安全防護(hù)技術(shù)的有益補(bǔ)充，可以有效地監(jiān)督和檢測系統(tǒng)內(nèi)部用戶的網(wǎng)絡(luò)行為，防止企業(yè)敏感信息或重要資料、數(shù)據(jù)的流失，在用戶行為發(fā)生后，通過對(duì)日志數(shù)據(jù)的收集、積累和分析，能夠發(fā)現(xiàn)系統(tǒng)內(nèi)部用戶的異常行為，并及時(shí)提醒審計(jì)人員。網(wǎng)絡(luò)安全審計(jì)極大地提高了網(wǎng)絡(luò)安全整體防范和預(yù)警能力，廣泛應(yīng)用于政府、金融、教育、企業(yè)網(wǎng)絡(luò)等領(lǐng)域。本文描述的基于業(yè)務(wù)功能的數(shù)據(jù)安全審計(jì)方法，在借鑒已有的審計(jì)策略的同時(shí)做了一些改進(jìn)，主要針對(duì)用戶在訪問數(shù)據(jù)時(shí)，可能會(huì)進(jìn)行一些與業(yè)務(wù)無關(guān)的數(shù)據(jù)操作這類行為進(jìn)行審計(jì)，比如更新無關(guān)數(shù)據(jù)等，這些行為中可能隱藏著一些會(huì)為系統(tǒng)帶來安全隱患的異常行為，因此需要結(jié)合業(yè)務(wù)的功能范圍，綜合分析日志信息，發(fā)掘安全隱患。

1 審計(jì)框架

審計(jì)過程的整體設(shè)計(jì)框架如圖 1所示：在開始審計(jì)日志之前，首先需要對(duì)日志進(jìn)行預(yù)處理，然后采用數(shù)據(jù)挖掘的一些技術(shù)，從這些日志中提取出業(yè)務(wù)與數(shù)據(jù)操作的關(guān)聯(lián)以及用戶行為模式，并且根據(jù)這些挖掘出的關(guān)聯(lián)生成審計(jì)規(guī)則，再將當(dāng)前的用戶日志和審計(jì)規(guī)則進(jìn)行對(duì)比，分析用戶的行為是否異常，最后得出結(jié)論，在這個(gè)過程中還要考慮到審計(jì)規(guī)則的更新問題。

圖1 審計(jì)過程框架圖

1.1 日志預(yù)處理

定義1（系統(tǒng)調(diào)用序列）：定義用戶對(duì)于每個(gè)數(shù)據(jù)的每項(xiàng)操作，如對(duì)某數(shù)據(jù)A的讀或?qū)懖僮鳛橐淮蜗到y(tǒng)調(diào)用sc={data，operation}，對(duì)于每個(gè)業(yè)務(wù)Business，每個(gè)用戶的每次操作的所有數(shù)據(jù)操作集合構(gòu)成一個(gè)系統(tǒng)調(diào)用序列SC={sc1，sc1，sc3，……}，定義Sc={sc1，sc2，sc3，……}為SC的非空子序列，上述集合皆為有限集。

定義2（日志格式）：定義日志的格式為Log={User，Time，Business，Data，Operation，SC}，其中User表示用戶，Business表示業(yè)務(wù)，訪問的數(shù)據(jù)集Data={d1，d2，d3，……}，對(duì)數(shù)據(jù)的操作集Operation={op1，op2，op3，……}，Time為用戶的操作發(fā)生時(shí)間，以上所有集合都是有限集。

1.2 挖掘關(guān)聯(lián)

采用數(shù)據(jù)挖掘的關(guān)聯(lián)規(guī)則算法為業(yè)務(wù)和數(shù)據(jù)操作建立關(guān)聯(lián)的步驟如下：

（1）將日志按照業(yè)務(wù)分類，以業(yè)務(wù)Business作為區(qū)分主屬性，可以得到相同業(yè)務(wù)由不同用戶執(zhí)行的操作集合Operation={op1，op2，op3，……}，和相同業(yè)務(wù)不同用戶訪問的數(shù)據(jù)集Data={d1，d2，d3，……}；

（2）分別比較集合Operation和集合Data，找到所有的操作集Operation中最小的操作集Operationmin和所有的數(shù)據(jù)集中訪問數(shù)據(jù)最少的Datamin，并為該業(yè)務(wù)和最小的數(shù)據(jù)集和操作集建立關(guān)聯(lián)關(guān)系，定義為三元組Relationmin=（Business，Operationmin，Datamin）；

（3）對(duì)于每個(gè)業(yè)務(wù)都重復(fù)上述（1）（2）操作，得到所有業(yè)務(wù)與其必要的最小數(shù)據(jù)操作關(guān)聯(lián)集合Relation={Relationmin1，Relationmin2，Relationmin3，……}，該集合可作為生成審計(jì)規(guī)則庫的主要依據(jù)。

1.3 提取模式

采用數(shù)據(jù)挖掘的關(guān)聯(lián)規(guī)則算法為業(yè)務(wù)提取正常的行為模式的步驟如下：

（1）將日志按照業(yè)務(wù)分類，以業(yè)務(wù)Business作為區(qū)分主屬性，可以得到相同業(yè)務(wù)由不同用戶執(zhí)行的所有調(diào)用序列集合ALLSystemCall={SC1，SC，SC3，……}；

（2）對(duì)于同一業(yè)務(wù)Business的ALLSystemCall={SC1，SC2，SC3，……}，統(tǒng)計(jì)每個(gè)元素SC中的子序列Sc，設(shè)置一個(gè)閾值a，將每個(gè)子序列出現(xiàn)的次數(shù)與總序列個(gè)數(shù)做比較，若出現(xiàn)頻數(shù)超過閾值a，則該子序列為頻繁調(diào)用序列，將所有的頻繁子序列記為集合SystemCall={Sc1，Sc2，Sc3，……}；

（3）為該業(yè)務(wù)和頻繁子序列建立關(guān)聯(lián)關(guān)系Relation(B&SC)={Business，SystemCall}；

（4）對(duì)于每個(gè)業(yè)務(wù)Business，重復(fù)執(zhí)行上述（1）（2）（3）操作，得到所有業(yè)務(wù)及他們各自關(guān)聯(lián)的調(diào)用序列集關(guān)聯(lián)的集合RELATION(B&SC)={ Relation(B&SC)1，Relation(B&SC)2，Relation(B&SC)3，……}。

1.4 審計(jì)規(guī)則

定義3（審計(jì)規(guī)則）：定義對(duì)于每一條輸入日志Log的審計(jì)規(guī)則為Rule={Business，Datamin，Operationmin，SystemCall}，Business為某項(xiàng)業(yè)務(wù)，Datamin={d1，d2，d3，……}為最小訪問數(shù)據(jù)集，Operationmin={op1，op2，op3，……}為最小操作集。

1.5 規(guī)則匹配

（1）當(dāng)輸入新日志Lognew={User，Time，Business，Data，Operation，SCnew}時(shí)，按照相同屬性Business將其與Rule進(jìn)行對(duì)比，比較集合Data和集合Datamin，比較集合Operation和集合Operationmin，判定用戶行為正常的條件如下：當(dāng)且僅當(dāng)Data<= Datamin且Operation<= Operationmin，否則進(jìn)入（2）步驟；

（2）設(shè)置一個(gè)相似度閾值B，按照相同屬性Business將SCnew={sc1，sc2，sc3，……}與Rule中的SystemCall進(jìn)行對(duì)比，判定用戶的行為正常的條件如下：系統(tǒng)發(fā)出告警信息：Sci∈SystemCall，計(jì)算Sci與SCnew的相似度bi ，?bi滿足bi>=b，否則認(rèn)定用戶操作異常；

（3）管理員對(duì)每次檢測出的異常行為進(jìn)行人工審核，若人工審核通過，則進(jìn)行一次計(jì)數(shù)，累加值為counter，當(dāng)某項(xiàng)業(yè)務(wù)的counter值達(dá)到一定數(shù)量時(shí)，更新該業(yè)務(wù)的審計(jì)規(guī)則。

2 結(jié)束語

數(shù)據(jù)安全審計(jì)是企業(yè)信息化建設(shè)的重要環(huán)節(jié)之一，包括多層次、多方面，要求多種技術(shù)相結(jié)合?；跇I(yè)務(wù)功能的數(shù)據(jù)安全審計(jì)方法針對(duì)系統(tǒng)用戶在執(zhí)行業(yè)務(wù)操作時(shí)，可能會(huì)進(jìn)行一些與業(yè)務(wù)無關(guān)的數(shù)據(jù)操作的行為進(jìn)行審計(jì)，在對(duì)大量日志數(shù)據(jù)處理時(shí)，利用分布式計(jì)算模型先對(duì)數(shù)據(jù)進(jìn)行切分，再利用數(shù)據(jù)挖掘的技術(shù)分析日志數(shù)據(jù)，審計(jì)用戶行為是否越界訪問數(shù)據(jù)以及發(fā)掘這些行為里不易察覺的、潛在的異常和危險(xiǎn)。對(duì)于日志的審計(jì)，都是在用戶行為已經(jīng)發(fā)生之后，為了提高系統(tǒng)檢測的準(zhǔn)確性，需要根據(jù)業(yè)務(wù)操作的實(shí)際變化對(duì)審計(jì)規(guī)則及時(shí)更新，在審計(jì)用戶行為時(shí)，盡可能選取更長時(shí)間段的歷史日志記錄提取行為模式。最后，在應(yīng)用本文描述的方法解決實(shí)際問題時(shí)，結(jié)合具體的場景適當(dāng)做出調(diào)整，更利于方案的實(shí)施。

[1]林果園，郭山清，黃皓等.基于動(dòng)態(tài)行為和特征模式的異常檢測模型[J].計(jì)算機(jī)學(xué)報(bào)，2006.

[2]高鵬，張德遠(yuǎn)，孫欽東等.網(wǎng)絡(luò)信息審計(jì)系統(tǒng)中的多模式相似匹配算法[J].軟件學(xué)報(bào)，2004.

[3]何永忠，李斕，馮登國.多級(jí)安全DBMS的通用審計(jì)策略模型[J].軟件學(xué)報(bào)，2005.

[4]張衠.大數(shù)據(jù)安全風(fēng)險(xiǎn)與對(duì)策研究[D].上海：上海社會(huì)科學(xué)院信息研究所，2017.

[5]張少敏，李曉強(qiáng)，王保義.基于Hadoop的智能電網(wǎng)數(shù)據(jù)安全存儲(chǔ)設(shè)計(jì)[J].電力系統(tǒng)保護(hù)與控制，2013.

[6]PARYASTO M， ALAMSYAH A， RAHARDJO B. Bigdata security management issues [C] . the 2nd International Conference on Information and Communication Technology. Bandung： IEEE， 2014.

[7]ALQASSEM I. Privacy and security requirements framework for the internet of things（IoT）[C].

Companion Proceedings of the 36th International Conference on Software Engineering. Hyderabad： ACM，2014.

[8]丁文超，冷冰，許杰等.大數(shù)據(jù)環(huán)境下的安全審計(jì)系統(tǒng)框架[J].通信技術(shù)，2016.

[9]趙春曄，涂山山，陳昊宇等.云安全審計(jì)中基于日志的用戶行為分析[J].現(xiàn)代電子技術(shù)，2017.

[10]王文娟，杜學(xué)繪，王娜等.云計(jì)算安全審計(jì)技術(shù)研究綜述[J].計(jì)算機(jī)科學(xué)，2017.

[11]覃曉寧，楊育斌.業(yè)務(wù)安全審計(jì)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J/OL].機(jī)電工程技術(shù)，2017.