中国电信集团天津分公司 田 野

安全审计系统作为一种安全策略记录，能够为电信运营商信息安全提供保证，通过将小概率关联分析技术应用于该系统，能够利用相关性综合观察系统中的所有事件与信息，从而最大化降低信息安全事件的发生概率，这对电信运营商发展至关重要。

1 探讨小概率关联分析技术在电信运营商安全审计系统中的重要意义

所谓安全审计，主要是一种用于挖掘系统违规操作和漏洞的信息安全保护技术，分析基础是系统数据。信息系统均具有一定脆弱性，极易出现信息安全问题，但是通过将小概率关联分析技术运用于该系统，能够提高数据分析准确性，审计管理人员不需要手动进行大量策略配置工作，有效增强了审计工作的常态化和实时化性质，保证审计内容与电信运营商日常业务的紧密贴合，及时掌握违规操作，提升电信运营商审计信息管理水平。

2 研究小概率关联分析技术在电信运营商安全审计系统中的设计运用

2.1 技术模型原理流程

从当前电信运营商安全审计系统运行现状来看，在海量的系统数据日志内异常信息和违规操作占比较小，但是此类信息数据直接关系到系统的信息数据安全，为此，需要挖掘这类小概率事件，以信息数据为基础进行场景、特征以及过程的回溯，并配套落实知识库，打造一个智能化的自学习分析体系。在将小概率关联分析技术运用于电信运营商安全审计系统时，主要以以下假设为基础展开：相较于非法操作，日常中的合法操作更多，判定非法操作的基准是阈值，所以在运用小概率关联分析技术时，主要目的就是找出数量在特定阈值以下的系统操作行为。

在该假设条件的基础上，首先对该系统历史操作记录的执行次数进行统计，对于该系统而言，操作系统由三方面构成，分别为参数（option）、操作（operation)）和对象（object），即3O。在具体分析过程中，主要是将操作与参数或对象进行随机组合，从而比较违规阈值（illegal threshold）与统计结果，若是低于阈值，则判定该操作记录疑似违规记录，然后将其归类到疑似违规操作表（sus violation record）中，该技术分析环节为“查找。”其次，通过整理疑似数据得到“疑似违规操作记录库”后，使用每个操作对应的一次会话的唯一标识（session ID）对操作之前的有关操作集合进行回溯，经过这一操作可以获得session里相关操作记录以及使用者（user）等信息，以此获得更为全面的疑似违规操作流，该技术分析环节为“回溯”。在完成数据记录回溯后，若干疑似违规操作流中可能存在不在违规操作库中的记录，因此在获得疑似违规操作流后，需要通过安全专家对违规操作进行确认，在确定某些记录为违规操作后，将会存储于违规操作表（violation record），对于没有被判定为违规操作的记录则会被丢弃，因此该技术分析环节为“确认”。最后，若是发现表violation record中已经存在疑似违规操作，则会以自动化的方式增加操作次数，若是后来添加至表内的记录，该技术过程为“修改”。由此可见，小概率关联分析技术在电信运营商安全审计系统中的运用分为四部分，分别为查找、回溯、确认及修改。

2.2 小概率关联分析技术服务程序构成

小概率关联分析是一种自学习行为，但是用户需要提前做好设置，比如回溯时间、分析策略，或是合理的违规阈值等，这样才能够实现记录数据的分析与归类整理。从当前技术发展和使用现状来看，基于该技术的服务程序包括四个模块，分别为统计、回溯、确认及监控。①统计。该模块负责统计某段时间内系统日志中所有操作的系数，统计后按照从小到大的顺序排列，根据用户设置的关联分析策略对疑似违规操作进行删选，并存储至数据表中。②回溯。得到疑似违规操作库后，系统管理员需要根据具体需求选择是否回溯，若确认回溯则以时间、用户名等要素为基础。例如，当违规阈值为3时，创建用户（create user）这一操作发生了2次，那么该操作就被判定为疑似违规操作，回溯该操作后则会得到两个疑似违规操作流。③确认。系统管理员以自身经验为基础判定该操作流是否为违规操作过程，选择的不同其得到的操作流类别也不同，分别为安全和违规操作流程。由于在确认过程中需要归并处理日志流，将安全操作记录筛选出去，因此，操作流时间可能较长，但是用户参与难度降低，最终得到的结果质量也更为理想。④监控。以违规操作流为基础监控用户操作并实时匹配，以此获得相关正处于进行时的危险操作，从而及时发送警示信息。

2.3 技术模型设计

在使用小概率关联分析技术对电信运营商安全审计系统进行分析时，主要通过小概率分析模型进行，在设计该模型时，从信息数据查找、数据回溯、确认以及修改四个阶段进行。以“脚本方式将DB2数据表导出到主机文件”为例，分析第一此运行情况和例行运行情况，以此保证分析模型设计质量。

（1）查找设计

在进行查找设计时，分别以两种情况为基础分别设计第一次查找和例行性查找。对于前者而言，需要面向电信运营商安全审计系统数据库中的所有操作记录开展分析工作，首先，提取记录详情落实预处理工作，记录详情包括参数（option）、操作（operation)）和对象（object），预处理过程中将三者之间多余的空格去掉，之后保存，存储方式为表map。之后，将3O作为记录主键进行次数的记录，并一一对应主键的使用者ID，即user session ID，主要将其记录在表operation session。若是遇到不存在的主键，则归类于表map上，次数为1。在统计完操作记录后，一旦发生次数在违规阈值以下，则被划定为疑似违规操作，并整理至表violation record中。值得注意的是，由于每天用户的记录均存在异同，所以为了避免日期重叠，还需要进行时间范围的记录，因为日期是操作日志表名，所以直接将第一个表和最后一个表的表名作为时间范围即可，分别为作为起始时间戳，从而保证查找时间范围的准确是。最后，在全部记录查找结束后，回溯所有操作记录。

而后者这一例行性查找则是每天对该系统进行查找，次数1次，统计过程与第一次运行情况相同，唯一存在差异的内容时对疑似违规操作进行过滤时，以查找阈值为基础，从而得到疑似违规操作表，最后开展回溯工作。

（2）回溯设计

为实现对疑似违规操作表的有效回溯，需要以回溯原则进行设计，假设记录为A，那么针对第一次运行情况下的回溯，内容包括A session ID 1的所有操作，而例行性回溯则是回溯A session ID 1的user。通过重复回溯记录A对应的user session ID后，得到一个记录相关操作，之后回溯吓一条记录，全部回溯结束后获得疑似违规操作流，存储于T NEED CONFIRED **** ** **中。

（3）确认设计

在确认阶段，无论是第一次运行情况还是例行性情况，其过程不存在差异，都是对T NEED CONFIRED **** ** **进行分析，具体需要确认的操作流程如表1所示。

表1 待确认的操作流

（4）修改设计

在明确获得违规操作后，进入violation record中进行确认操作，将非违规操作剔出。

结论：综上所述，小概率关联分析技术在电信运营商安全审计系统中的运用能够及时最终安全漏洞、安全事故，并实时告警开展责任追踪。在实际设计运用过程中，相关人员应设计分析模型和搭建知识库，从而为关联分析的展开奠定良好基础，保证电信运营商信息安全。