万欣

摘 要：针对网络与信息安全中日志的种类及价值进行分析，并分析日志在網络运维及安全管理中的应用场景及作用，解析日志在日志审计及安全大数据中的应用方式。

关键词：日志；日志分类；日志应用；日志审计；网络安全大数据

中图分类号：TM621 文献标识码：A

1 引言

随着网络时代的来临，用户网络日渐庞大，除了基础网络设施外、网络中充满着各种各样的系统及应用，这些系统及应用承载着一个企业的核心业务及经济价值；但随着网络的发展，网络安全问题也日益严峻，国家重要企业内部信息泄露、安全攻击事件时有发生，且在发生攻击前、攻击时，网络内的安全设备未发现攻击或未找到攻击日志，传统的网络安全设备似乎对新型的攻击无法抵抗。

但在基础设施及系统应用运行时，各种网络基础设施、系统应用服务均产生了日志数据，且日志数据中隐藏着用户的行为记录及各种行为数据，数据量也越来越大以海量计，网络中的日志种类也越来越多。在网络时代谁掌握了数据谁就掌握了主动权，网络信息安全中的日志数据除了能够借助于进行安全运维之外，还可用于抵对信息网络攻击及态势展示。

2 信息安全中日志的分类及价值

网络信息安全中的日志与常规应用大数据的应用日志有所区别，应用大数据更多关于民生，这些数据更多被企业用于了解消费者习惯并促进消费、国家了解民生习惯或用于预测民生数据等。而信息安全中的日志数据主要是从网络设备、安全设备、服务器、中间件等网络基础设施的运行中获取，其体现的是网络运行过程中的痕迹、用户操作的蛛丝马迹，这些数据更多地被用于帮助网络安全运维、安全管理，用于发现网络安全威胁、发生安全事件时及时告知运维人员、发生安全事件后协助追踪溯源，且可协助用户掌握网络整体安全态势。

网络信息安全中的日志可简单地分为设备运行日志及流量，路由交换设备，安全设备（防火墙、VPN、入侵审计、网页防篡改等），操作系统，应用系统，中间件，数据库这六类系统及设备在运行过程中产生的日志，而流量日志一般可通过网络审计、流量分析等设备来识别。

这些日志记录了运维人员、普通终端用户、外部用户在使用系统时访问的路径、访问者IP、登录系统的用户名、提交参数等，在发生攻击时可以记录攻击者的攻击时间、攻击方式、攻击IP等，即使网络安全设备未匹配出攻击。在攻击者进行攻击时，攻击者进入网络中途经的设备都会记录攻击者的访问路径、操作方式、提交参数等，如表1所示。

表1基本涵盖了网络及信息安全中的常规设备。及设备记录的大致日志类型，这些日志默认会被记录在设备本地，在超过日志记录的限制后，新产生的日志会覆盖旧日志。

一般攻击者在完成访问或者攻击后，会将自己留下的访问记录进行删除，故保留网络中各种设备的日志是发现攻击、在发生事件后进行追溯以便解决问题的非常必要的手段。

通过日志审计系统可对日志进行收集并分析，这类系统只能记录已经发现的攻击，但不是所有的攻击都能被安全设备发现，如潜伏时间很长的APT攻击及新型未知攻击，这类攻击都是在发生之后才被安全人士所知，然后制定检测规则并更新安全设备的检测库进行检测，其实通过以上的网络信息安全日志可对这些新型的攻击起到一定的检测作用。

3 信息安全中日志的应用

3.1日志审计系统的作用

各种设备及系统都被称为日志源，日志审计系统收集到各种日志源的日志之后，将日志按照日志源类型进行解析，此过程称为日志格式化或者归一化。每个日志源的日志格式都不一样，故每个日志源的解析文件内容都不一样，一般在进行日志解析时都会先分析日志的格式，然后按照格式将关注的日志内容过滤出来。如日志审计系统收到防火墙的日志后，按照预先做好的防火墙日志分析文件对日志进行格式化，将日志事件、日志中的源目IP、防火墙相关的策略ID、攻击名称等字段过滤出来。

完成日志的格式化并存储下来后，如在发生安全事件时，日志审计系统可将告警通过短信、邮件、声光等方式告知运维人员，以便让运维人员及时地处理安全事件。同时，系统可通过各种预制好的报表对各种安全日志、安全事件进行统计分析，让运维人员及管理人员掌握网络安全状况，具体的功能架构如图1所示。

通过上述及图1所示可总结出，日志审计系统在通过各种数据采集方式收集到各种数据源的日志后，对日志进行解析、归一化，然后将日志进行存储、匹配告警、统计分析，对网络中各种行为做完整的记录，这可以对网络运维起到非常重要的作用，可满足企业的安全需求。

此外，在2016年11月份颁发的《中华人民共和国网络安全法》中的第二十一条（三）项、第五十九条，就有对网络日志留存的规定，可见日志留存对网络安全的重要性。

3.2 安全大数据中日志的应用

通过以上介绍可发现，常规的日志审计系统只能收集安全设备已发现的安全事件日志，没有自主发现能力，只有收集及统计的功能，故若想通过网络日志来增强对安全事件的发现能力，需通过安全大数据平台来对发现未知的安全事件，同时还可掌握网络整体安全态势。

因安全大数据平台进行分析时需处理的日志是海量级的，故为了增强数据的分析处理能力，是基于大数据平台的架构的，与常规日志审计的关系型数据库有所区别、但安全大数据平台也是经过日志收集、日志格式化的过程，然后再根据格式化后的数据进行安全分析。

3.2.1 日志分析建模及画像

安全大数据欲通过网络日志发现安全事件、攻击事件，需预先建立安全分析模型，建立分析模型是将攻击常见的方式及顺序进行匹配。如攻击者在攻击前都会先进行扫描发现漏洞或可乘之机，然后再进行层层渗透、攻击，安全设备不一定能识别出这些攻击动作或者可能只发现这些事件的表象，无法发现攻击者的真正目的，但通过安全分析模型可将未知攻击、深层次攻击发现出来。

在安全大数据平台中除了通过安全攻击模型可发现未知攻击、深层次攻击外，还可通过人物画像的方式发现这些潜在攻击。

人物画像也称为用户画像，简而言之，是指通过大数据将用户的操作习惯记录下来，如某个终端用户在日常上班时只会访问OA、CRM、工单系统、公司网站等与工作相关的系统，这些行为日志都会被大数据平台记录下来并完成该用户的行为画像。如某天发现该用户在某个时间访问该用户平常未访问过的系统或设备，大数据平台收到用户的访问日志后，发现与该用户的行为画像不太一致，故认为该用户的行为有所异常，故而进行告警。此过程即为安全大数据的人物画像。

3.2.2 安全态势展示

安全大数据平台在进行安全事件深度分析之后，可将安全事件监测结果进行集中展示，可将安全事件从事件源IP、事件目标、事件名称、事件趋势等各个维度进行展示，并可以地图、各种精美图表的方式，将整体的网络安全态势进行展示。

通过安全态势的集中展示，管理人员及运维人员能够快速地掌握整个用户网络中的安全态势及安全事件趋势，管理人员可实时掌握整个网络的安全态势，为安全管理提供数据支撑、为管理方向做指导；运维人员能够在事件发生后快速掌握事件详情、及时响应、解决问题。

4 网络日志价值及利用总结

通过对网络中安全设备日志的收集、格式化分析后，这些日志可利用于多个方面，如日志审计产品通过日志格式化、存储、设置告警规则、统计报表分析之后，可用于协助网络安全运维、网络故障排查、问题追溯。安全大数据在日志审计处理基础上，通过使用大数据架构可处理更海量的数据，并通过建立日志分析模型建立、人物画像分析，可增强对未知网络安全攻击的检测能力，弥补传统网络安全设备的不足，并提供安全态势的集中展示，让运维及管理人员能够直观、整体的掌握整体网络安全态势，是大数据时代增强网络安全检测能力及安全管理能力的一个有力助力。

除日志审计系统、安全大数据平台外，网络日志还可应用于多个系统，如安全管理系统、安全态势感知平台、预警平台等，这些平台都是在安全日志收集、格式、存储的基础上做一定的分析，建立不同的分析模型，并结合其他和资产安全性相关的要素（如漏洞、流量、配置合规性等）进行网络安全分析及态势预测，这些系统都可从不同的功能性、视角，帮助用户进行网络安全建设、管理，真正实现将网络中米粒之珠的日志最大化利用。

5 結束语

网络信息安全通过传统的安全设备可检测已知攻击，但对新型及深层次攻击检测的能力有限。但是，随着网络威胁越来越严峻，仅能够发现已知攻击是远远不够的，故通过网络日志进行日志记录、发现未知威胁、深层次攻击是非常有必要的。同时，对网络安全状况分析及整体安全态势展现，让网络安全管理人员能够整体、宏观地掌握网络安全态势是具有巨大的帮助的。网络日志在整个网络运行中是实时存在的，如果不利用起来，本身是没有价值的，若能把日志分析及大数据分析结果利用起来后将是一笔巨大的安全财富。

参考文献

[1] 美Anton A Chuvakin著.姚军，简于涵，刘晖，译.日志管理与分析指南[M].北京：机械工业出版社，2014.

[2] 李军.大数据——从海量到精通[M].北京：清华大学出版社，2014.

[3] 维克托·迈尔-舍恩伯格，肯尼斯·库克耶.大数据时代：生活、工作与思维的大变革[M].杭州：浙江人民出版社，2013.

[4] 牛温佳.用户网络行为画像——大数据中的用户网络行为画像分析与内容推荐应用[M].北京：电子工业出版社.