基于监控日志的电力信息内网安全审计系统实现 |
| 2013-01-25 12:18 作者:高 宇 来源:硅谷网-《硅谷》杂志 HV: 编辑: 【搜索试试】
|
|
据《硅谷》杂志2012年第21期刊文称,针对电力企业信息内网监控系统的日志审计功能薄弱的缺点,设计并实现一个针对该系统日志的安全审计系统。系统通过对电力信息内网安全监控的多种日志信息进行采集和预处理,并利用数据挖掘算法进行审计分析,使管理员准确掌握网络系统的安全状态,及时发现违反安全策略的事件并实时告警、记录,以便于事后追查取证。应用结果表明,系统既实现电网企业信息内网的安全审计功能,又为电网企业信息内网采取进一步的安全措施提供依据。
关键词:日志分析;安全监控;数据挖掘;安全审计
0引言
随着电力企业信息化工作的不断深入,电力企业在信息内网部署了内网安全监控管理系统,对内网用户的行为及终端设备进行监控[1],然而由于目前的内网安全监管系统缺少对安全事件的审计功能或者审计功能薄弱,使管理员不能准确掌握网络系统的安全状态,不能对网络行为进行跟踪分析,要实现事后的追查取证比较困难。基于监控日志的电力信息内网安全审计系统则能帮助系统管理员对网络安全进行实时监控,及时发现整个网络上的动态,发现网络入侵和违规行为,如实记录网络上发生的一切,提供取证资料。它是保障电力企业信息内网安全的一种十分重要的手段。
1电力信息内网安全监控系统日志
电力信息内网安全监控系统的日志包括三种类型:
1)信息内网安全监控日志:主要包括每一个监控内容的监控结果、违规记录等信息;
2)受控终端日志:受控终端的系统事件、系统进程、系统服务等信息;
3)信息内网安全监控配置信息及操作日志[2]。
电力企业信息内网安全监控系统的审计分析是通过对以上三种日志的综合分析及时发现异常、可疑事件,以及受控终端中资源和权限滥用的迹象,同时把可疑数据、入侵信息、敏感信息等记录下来,作为取证和跟踪使用,以确认事故责任人。
2安全审计系统总体设计
基于监控日志的电力信息内网安全审计系统的体系结构从总体上可分为日志采集、日志处理、审计分析和结果展现四个逻辑层次,如图1所示。
图1基于监控日志的电力信息内网安全审计系统结构
电力信息内网安全审计系统实现的关键技术是日志格式化算法以及审计分析实现算法。
3关键技术实现
3.1日志压缩与归并的实现
由于获取的这些海量日志数据包含了大量的重复冗余信息,这些信息对于报警事件的关联分析不具有任何价值。因此需要对报警数据进行归并处理,以缩小关联分析的样本空间。
根据网络入侵事件的行为特征、时间特征和位置特征,现将报警事件主要分为三类:重复事件、冗余事件和并发事件。
对于重复事件和并发事件,利用归并规则进行检测。归并规则采用标准的关系代数进行组合,通过正则表达式对其进行解析提取。原始报警事件样本如图2所示。
图2原始报警事件样本
设置重复事件归并规则设置如下,attack1.src_add=attack2.src_addattack1.des_add=attack2.des_addattack1.region_id=attack2.region_idΛattack1.timestamp-attack2.timestamp<35sΛalert_id=14,通过对此报警事件进行归并处理,最终结果产生的报警事件如图3所示。
图3归并后的报警事件
将此13条记录进行归并,生成一条超报警,其中evt_all_id包含了全部归并报警事件的evt_id,便于后期的统计分析;timestamp_range为归并攻击事件的时间段,既告警事件的第一次发生时间至最后一次发生的时间;merge_counts为归并的报警事件数量,这个数值越大,则表示该类攻击在当前发生的可能性越大。
对于冗余事件,利用相关分析进行检测。给定两个属性,根据可用的数据度量一个属性能在多大程度上蕴涵另一个,判断依据通过计算属性A和B之间的相关系数,即
(4-2)
参数说明:
N-表示元组个数
和-分别表示元组i中A和B的值
和-分别表示A和B的均值
和-分别表示A和B的标准差
的值-11,分为三种情况:
1)>0,则A和B是正相关的,意味A的值随B的值增加而增加。该值越大,表示相关性越强,则此时A或B可作为冗余而去掉。
2)=0,则A和B是独立的。
3)<0,则A和B是负相关的,一个值随另一个的减少而增加。
4系统应用分析
系统在某省电力公司信息内网监控系统中进行了测试和应用,结果如下:
1)审计功能:通过采用攻击软件进行攻击模拟测试,对一些统计特征明显的攻击检测率可以达到89%以上,同时,能够准确的记录对终端中的资源和权限滥用现象,实时动态监测用户通信内容、发现和捕获各种敏感信息、违规行为。
2)系统稳定性:在稳定性测试中,内网安全监管审计系统连续运行24*7小时没有出现因为软件系统的原因而崩溃的现象,系统运行过程中操作系统的CPU使用率和内存的使用情况没有出现过异常。
应用结果表明该系统能对内网用户的行为及终端设备进行实时有效的监控,能够集中收集、管理并有效地分析各种安全日志,使管理员能够实时、直观地掌握电力企业信息内网安全状况。
5结束语
本文提出的安全审计系统通过对电力企业信息内网监控系统日志的采集、分析、识别,实时动态监测内网用户行为和终端系统,发现和捕获各种敏感信息、违规行为,实时报警响应,全面记录网络系统中的各种会话和事件,实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位,为电力企业信息内网安全策略的制定提供权威可靠的依据。
基金资助:国家自然科学基金(51077010)和吉林省自然科学基金(20101517)资助项目
作者简介:
高宇(1982-),女,硕士,实验教师,研究方向:电网信息安全。 |
|
|
|
【对“基于监控日志的电力信息内网安全审计系统实现”发布评论】 |
版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
|
|
|
|
