郭晶 何亮 王宏 王勇

摘  要：目前，很多大型企业网络与信息系统的安全审计能力不足，无法实现审计事件的有效检测与追踪。该文介绍了国网公司信息系统行为审计系统的整体技术架构和关键技术，系统采用统一代理与插件技术整合多类日志源系统，实现异源系统日志统一采集与集中管理，构建人员、设备、文件、应用系统这四个维度的实体画像，基于机器学习算法构建实体行为动态基线和阈值，通过当前操作行为偏差分析实现用户异常行为检测，系统通过用户桌面操作行为的全程记录与规则化分析进行事件还原取证。整个行为审计系统已在国网公司总部和27家省市公司的应用，有效支撑公司整体安全态势分析及信息系统安全治理，实现了企业应用业务操作审计的可控、能控、在控，提升了信息系统的安全管理水平。

关键词：电力信息  行为审计  安全审计  大型企业

中图分类号：TP391                         文献标识码：A文章编号：1672-3791（2021）04（c）-0017-04

Research and Application of Behavior Security Audit System of Large Enterprise Information System

GUO Jing  HE Liang  WANG Hong  WANG Yong

（Aostar Information Technologies Co.， Ltd.， Chengdu， Sichuan Province， 610041  China）

Abstract：At present， many large-scale enterprise network and information system security audit ability is insufficient， unable to achieve the effective detection and tracking of audit events. This paper introduces the overall technical framework and key technologies of the information system behavior audit system of State Grid Corporation. The system adopts the unified agent and plug-in technology to integrate multiple types of log source systems， to realize the unified collection and centralized management of logs of different systems， to build the entity portrait of four dimensions of personnel， equipment， files and application systems， and to build the dynamic baseline of entity behavior based on machine learning algorithm and threshold， through the deviation analysis of current operation behavior to achieve the detection of user abnormal behavior， the system through the user desktop operation behavior of the whole process record and regular analysis of event recovery forensics. The whole behavior audit system has been applied in the headquarters of State Grid Corporation and 27 provincial and municipal companies， effectively supporting the company's overall security situation analysis and information system security governance， realizing the controllable， controllable and in control of enterprise application business operation audit， and improving the security management level of information system.

Key Words： Electric power information; Behavior audit; Safety audit; Large enterprise

電力企业的发展关乎国家经济发展的命脉，电力企业的信息系统建设与安全审计十分重要。通过前期建设，国网电网公司已经具备对网络与信息系统的日志审计功能，但整体审计能力仍不足。审计数据源分散，已建的日志系统各自为阵，采集的数据格式和标准不统一，难以进行统一管理和分析。在日志质量方面，采集到的日志可读性差、信息不全、利用价值低。比如：各业务应用日志记录内容多以维护调试内容为主，记录用户登录、数据传输、事务执行等。在行为审计分析与追踪方面，分析方法单一，导致出现大量无效预警报警，难以及时有效地发现和阻断违规行为。

该文通过对各系统异源日志的全面收集、海量存储和多种审计方法的综合运用，构建了信息系统行为安全审计系统，实现用户信息系统使用的全生命周期管理、操作全过程管理，对其他大型企业具有很好的借鉴参考作用。

1  行为安全审计系统技术架构

信息系统行为安全审计系统整合了国网公司主机、网络、安全类、应用类、终端类以及应用系统日志数据，构建统一的企业级行为安全审计平台。业务功能方面，主要包括流量采集、用户行为画像、用户态势管理、行为异常管理、流量采集管理端、行为数据质量分析、违规行为阻断管理、违规预测管理、系统管理等模块[1]。信息系统行为安全审计系统技术架构如图1所示，系统使用的核心技术主要包括Storm、Kafka、Zookeeper、Flume、MapReduce、HDFS等，其中离线分析部分采用MapReduce进行动态计算，使用Storm作为实时数据处理。系统输入为离线和实时计算的数据源的集合，然后分别由实时系统和离线分析系统进行分析处理，如使用Flume收集日志，然后连接一个消息中间件Kafka，Flume作为消息的生产者，生产的消息数据（日志数据、业务请求数据等）发布到Kafka中，然后通过订阅的方式，使用Storm和HDFS，将消息处理后写入HDFS进行离线分析处理。

2  系统关键技术

2.1 异源系统日志统一采集与集中管理方法

对各类异源系统的日志信息进行统一采集和集中管理，从数据采集源头打实基础。系统采用统一代理与插件技术整合用户桌面操作日志、网络设备及服务器日志、内外网数据流量日志和业务应用操作等多类日志源，在各个监控节点上部署采集代理，其主要负责日志信息采集和处理，采集服务端统一对采集代理进行插件管理和策略下发，采集的日志通过统一日志中心进行集中存储和管理，统一日志采集代理体系结构见图2。

日志采集代理与统一日志中心服务器之间使用TCP协议进行通信，并通过安全套接层SSL进行加密和认证，防止日志信息被窃听。为了防止主机随意连接日志服务器并发送虚假的日志文件，系统使用公证机制保证日志文件的可信性和可靠性。

日志采集代理通过插件技术来实现多源日志采集的灵活处理，其中终端采集Agent基于HOOK（钩子）机制通过捕获操作系统传输消息实现，交换机流量采集Agent基于协议解析和证书机制实现对Http/Https、Ftp/Ftps等各种协议数据的解析，每个插件通过Agent管理端插件配置和正则表达式实现对各日志源的采集内容定义，插件配置文件由插件基本信息、一系列的正则表达式和标识信息域的变量列表组成。

2.2 四个实体维度的异常行为检测方法

快速准确地识别用户的异常行为并进行阻断是行为安全审计系统的核心。系统建立用户、应用系统、设备、文件这四个实体维度的行为画像，利用主成分分析算法在画像信息中提取形成风险事件的关键因素，并基于机器学习回归算法构建实体行为动态基线和阈值，基于当前操作行为与基线、阈值偏差分析，通过分级权重机制判断并识别异常行为，实现动态预警提升审计准确率。

其中人员画像主要从日志对人员的静态信息和动态信息进行提取，通过统计分析、聚类分析、关联分析等方法挖掘用户的各种操作行为，形成各种人员画像[2]。终端画像主要是从日志对终端的静态信息和动态信息进行提取，利用统计分析、关联分析等方法对终端状态进行挖掘，形成各类终端画像。文件画像主要是根据深度内容扫描技术识别文件内容，并标记文件中的敏感关键字及敏感关键字在文件中出现的次数，形成各类文件画像。应用系统画像通过对应用系统不同的运行特征进行提取和归纳，从日志中提取应用系统不同维度的有效信息，通过对这些信息进行计算，形成特征，归纳出的标签的集合即应用系统画像[3-5]。

下面以抄表员用户画像为例进行说明，根据抄表员在一段时间段内的操作行为日志，通过归并、分拣、聚类等方式进行数据分析，基于业务查询、业务办理等日常操作场景构建分析模型，构建条件包括行为发生IP地址段、行为发生时间范围、行为发生时间周期、行为结果等。将指定操作日志发送给分析模型，分析模型对用户操作日志进行行为分析、比对，将偏离正常行为区域、行为时间段的日志，作为异常行为日志发送给审计管理员进行审核，同时生成行为分布。

2.3 多轨可视化用户行为分析取证技术

在违规事件发生后，一般通过反向追踪根据被泄露或是窜改的数据线索追踪到目标人群，然后通过正向复原从嫌疑人群中复原个人的详细操作轨迹。这个看似简单的过程在实际环境中往往由于业务应用操作日志可被删除、篡改，形成行为追踪断点，导致定位不清、追责困难。

系统采用多轨可视化用户行为分析取证方法实现用户操作行为全纪录、运维操作全程监控与多维度的行为分析与追踪。系统从用户打开客户端开始实时记录用户在客户端的操作行为，记录客户端发生的状态变化、关键进程生命周期、Web应用会话以及响应内容等。用户访问应用程序时，在浏览器端访问的URL信息、页面内容、操作信息，与在应用服务端实时采集的日志数据进行完善互补，确保数据采集的全面性[6]。对关键区域用户操作进行全程记录的录屏数据可以转化为结构化数据便于进行提取分析，包括视频界定、关键字抓取、转换为数据主题数据并入主题库、形成的带主题特征的结构化数据等。系统收到事件调查申请后，将追踪分析场景相关参数和内容传递给规则化分析引擎，以完成具体参数转换、数据加载、编排、检索和数据范围锁定等分析计算，快速获取事件相关日志数据。最后应用标尺分析技术对事件数据进行可视化多维分析，展现用户在特定时间段内的活动轨迹、时长以及该时间段内用户进行的操作和异常行为。操作上主要是通过将用户行为所有路径中涉及的节点进行分层来实现，如应用、负载均衡、路由器、Web服务器、代理、客户端等。

3  应用成效

信息系统用户行为安全审计系统已经在国网公司总部及27家省市公司推广应用，在生产应用过程中，多次发现违规使用禁用端口、系统弱口令、账号异地登录等非法操作。

2017年6月21日，国网某电力公司审计人员通过行为安全审计操作日志的关键字查询，发现违规操作记录。sunwei账号15点03分在IP：10.165.177.137的电脑上登录了10.1**.***.132服务器，执行修改密码操作。进一步查看审计录像发现，其完成常规巡检工作后执行ssh指令欲跳转其他服务器，该用户在巡检工作中多次违规操作，均被系统默认设置的全局黑名单成功拦截。

通过对某单位统一权限平台账号登录日志进行审计分析，统一权限平台账号异地登录率较高，同一账号在多终端登录情况广泛存在，账号安全形势依然严峻。统计发现，同一账号在固定终端（固定IP）使用的比例小于40%，建议账号安全治理与行为审计协同，常态化开展账号安全治理工作。

4  结语

随着网络安全法的实施以及信息化安全提升发展趋势，信息系统行为安全审计越发重要。该文形成了一套适用于大中型企业的信息系统行为安全审计解决方案，解决了传统信息化带来的行为信息系统行为分析困难、用户操作行為定责无依据、分析行为不彻底等问题，是强化企业信息安全的必要手段，具有良好的应用价值。

参考文献

[1] 刘廷峰，张晓韬，周平，等.国家电网公司行为安全审计系统开发与应用实践[J].网络空间安全，2018，9（12）：90-92.

[2] 欧阳帆，张月天.一种基于用户行为画像的安全审计系统[J].信息与电脑：理论版，2018（2）：21-25.

[3] 韩培义.面向云计算的数据加密与脱敏技术研究[D].北京邮电大学，2020.

[4] 王益成.数据驱动下科技情报智慧服务模式研究[D].吉林大学，2020.

[5] 王玉彬.社交网络大数据分析系统的设计与实现[D].山东大学，2020.

[6] 彭永勇，刘远彪.基于企业级应用场景的多轨可视化用户行为分析取证技术研究[J].信息与电脑：理论版，2018（2）：21-25.