阮曉龍 馮順磊

摘? 要： 操作系統(tǒng)安全尤其是Windows操作系統(tǒng)安全廣受重視，如何分析Windows系統(tǒng)運(yùn)行情況、評估Windows系統(tǒng)安全風(fēng)險(xiǎn)，實(shí)現(xiàn)Windows系統(tǒng)安全威脅感知是網(wǎng)絡(luò)安全研究的重要方向。本文以ELK為基礎(chǔ)，從日志分析角度入手，建立海量實(shí)時(shí)日志分析平臺(tái)，高效利用Windows系統(tǒng)事件日志，挖掘Windows事件日志價(jià)值，實(shí)現(xiàn)Windows系統(tǒng)日志審計(jì)與分析，完成系統(tǒng)安全風(fēng)險(xiǎn)評估與威脅感知。

關(guān)鍵詞： ELK;Windows事件日志;日志分析;系統(tǒng)安全

【Abstract】： The security of the operating system， especially the security of the windows operating system， has been paid more and more attention. How to analyze the operation of the windows system， evaluate the security risk of the windows system， and realize the security threat awareness of the windows system is an important direction of the network security research. Based on elk and from the perspective of log analysis， this paper establishes a massive real- time log analysis platform， makes efficient use of windows system event log， excavates the value of windows event log， realizes windows system log audit and analysis， and completes system security risk assessment and threat perception.

【Key words】： ELK; Windows; Log analysis; System safety

0? 引言

根據(jù)NetMarketShare 2019全球操作系統(tǒng)市場調(diào)研，Windows操作系統(tǒng)仍以87.48%的比例占據(jù)最大份額，Windows操作系統(tǒng)依舊是使用最為廣泛的操作系統(tǒng)，Windows系統(tǒng)的安全防護(hù)顯得尤為重要。Windows系統(tǒng)的安全防護(hù)可從Windows事件日志開始，Windows事件日志中記錄著操作系統(tǒng)、應(yīng)用程序以及用戶操作情況，是系統(tǒng)運(yùn)行的重要痕跡信息[1]。采集Windows事件日志，挖掘Windows事件日志價(jià)值，分析事件日志產(chǎn)生原因，歸納安全事件發(fā)生規(guī)律，可有效感知Windows操作系統(tǒng)運(yùn)行狀態(tài)與安全風(fēng)險(xiǎn)[2]。

通過ELK可建設(shè)集中式Windows事件日志分析與安全風(fēng)險(xiǎn)感知平臺(tái)，統(tǒng)一采集Windows系統(tǒng)事件日志，集中存儲(chǔ)、實(shí)時(shí)分析、可視化呈現(xiàn)。依托集中式Windows事件日志分析與風(fēng)險(xiǎn)感知平臺(tái)可審計(jì)Windows系統(tǒng)運(yùn)行狀態(tài)與安全風(fēng)險(xiǎn)，精細(xì)化感知操作系統(tǒng)層面的安全與服務(wù)，并以此實(shí)現(xiàn)系統(tǒng)安全審計(jì)與危險(xiǎn)操作行為溯源。

1? Windows日志

1.1? 日志審計(jì)

Windows核心日志文件有系統(tǒng)（System）、安全（Security）和應(yīng)用程序（Application）三種，各類型日志的詳細(xì)描述信息與存儲(chǔ)位置如表1所示。

1.2? 日志解讀

通過事件查看器查看Windows日志信息，選擇其中一條日志解讀如下。Windows事件日志記錄的XML如圖2所示。

此事件日志由Windows在創(chuàng)建登錄會(huì)話時(shí)生成?！笆褂谜摺弊侄沃副镜叵到y(tǒng)上請求登錄的帳戶。通常是一個(gè)服務(wù)或本地進(jìn)程。

“登錄信息”中的“登錄類型”字段表示發(fā)生的登錄類型。登錄類型信息描述如表3所示。

“新登錄”字段指本次登錄的帳戶?！熬W(wǎng)絡(luò)賬戶名稱”、“網(wǎng)絡(luò)賬戶域”字段表示遠(yuǎn)程登錄請求源自哪里?！肮ぷ髡久Q”并非始終可用，在某些情況下可能會(huì)留空。

1.3? 關(guān)鍵日志

Windows事件日志由事件級(jí)別、記錄時(shí)間、事件來源、事件ID、事件描述、涉及的用戶、計(jì)算機(jī)、操作代碼及任務(wù)類別等多個(gè)字段構(gòu)成。每個(gè)事件ID代表不同的Windows操作行為，關(guān)鍵的Windows事件日志如表4、5、6所示，可依據(jù)事件ID挖掘Windows日志價(jià)值[3]。

2? 日志數(shù)據(jù)處理

Windows事件日志數(shù)據(jù)處理依托于ELK實(shí)現(xiàn)，使用Beats（采集日志）、Elasticsearch（存儲(chǔ)數(shù)據(jù)）、Kibana（數(shù)據(jù)分析模型）實(shí)現(xiàn)可視化呈現(xiàn)。Windows日志的采集使用Winlogbeat實(shí)現(xiàn)，Winlogbeat是ELK的Beats系列采集器，可密切監(jiān)控Windows設(shè)備上產(chǎn)生的各類事件，并實(shí)時(shí)流式傳輸至Elasticsearch或Logstash[4]。

（1）安裝Winlogbeat

下載并解壓Winlogbeat，使用Windows PowerShell將Winlogbeat安裝為Windows服務(wù)，安裝過程如圖3所示。

（2）采集Windows事件日志

修訂Winlogbeat配置文件，將采集Windows事件日志推送至Elasticsearch中。

啟動(dòng)Winlogbeat服務(wù)，命令如下所示。

Start-Service winlogbeat采集的Windows事件日志如圖4所示。

3? 日志數(shù)據(jù)分析

3.1? 分析模型

基于采集的Windows事件日志數(shù)據(jù)并結(jié)合Windows事件含義可創(chuàng)建Windows事件日志分析模型，Windows事件分析模型將從不同角度展示W(wǎng)indows系統(tǒng)運(yùn)行情況。分析模型主要分為四類：日志統(tǒng)計(jì)、事件分析、安全審計(jì)與風(fēng)險(xiǎn)評估。

（1）日志統(tǒng)計(jì)

日志統(tǒng)計(jì)將實(shí)時(shí)分析各類型事件個(gè)數(shù)、占比、排行等，從宏觀上展示W(wǎng)indows系統(tǒng)整體運(yùn)行狀態(tài)。

（2）事件分析

事件分析將根據(jù)格式化后的Windows事件字段進(jìn)行分析，深入事件日志本身，挖掘日志價(jià)值，從細(xì)節(jié)上展示W(wǎng)indows操作系統(tǒng)服務(wù)情況。

（3）安全審計(jì)

安全審計(jì)將集中展示多個(gè)Windows設(shè)備的事件日志信息，支持通過各種篩選條件查看Windows系統(tǒng)日志信息。

（4）風(fēng)險(xiǎn)評估

風(fēng)險(xiǎn)評估將重點(diǎn)關(guān)注Windows系統(tǒng)安全事件，實(shí)時(shí)展示W(wǎng)indows系統(tǒng)運(yùn)行風(fēng)險(xiǎn)。

3.2? 數(shù)據(jù)可視化

為更好呈現(xiàn)Windows事件日志分析效果，可結(jié)合數(shù)據(jù)分析模型創(chuàng)建數(shù)據(jù)可視化視圖。數(shù)據(jù)可視化視圖依托于開源日志分析與可視化平臺(tái)Kibana創(chuàng)建，使用Kibana可快速從Elasticsearch中抽取數(shù)據(jù)創(chuàng)建直觀的分析圖表，并可將各種分析圖表匯總，形成儀表盤展示要點(diǎn)信息。

以分析模型“Windows日志變化趨勢”為例，繪制數(shù)據(jù)可視化視圖。其步驟如下所示。

（1）創(chuàng)建數(shù)據(jù)索引，將推送至Elasticsearch的Windows事件日志創(chuàng)建索引，索引名稱為“Winlogbeat*”。

（2）選擇數(shù)據(jù)源，依據(jù)采集的Windows事件日志信息，選擇索引為“Winlogbeat*”。

（3）選擇可視化類型為“折線圖”。

（4）配置X軸數(shù)據(jù)為“時(shí)間”，Y軸數(shù)據(jù)為“計(jì)數(shù)”，并將序列以“l(fā)og.level”拆分，形成可視化分析圖表如圖5所示。

4? 安全風(fēng)險(xiǎn)審計(jì)

建設(shè)集中式Windows事件日志分析與安全風(fēng)險(xiǎn)感知平臺(tái)可實(shí)現(xiàn)Windows操作系統(tǒng)安全風(fēng)險(xiǎn)監(jiān)測。Windows事件日志分析與安全風(fēng)險(xiǎn)感知平臺(tái)可采集Windows系統(tǒng)事件日志，集中存儲(chǔ)于Elasticsearch，并使用Kibana可視化呈現(xiàn)。

（1）集中審計(jì)Windows事件日志

基于集中式Windows事件日志分析與安全風(fēng)險(xiǎn)感知平臺(tái)可實(shí)現(xiàn)TB級(jí)的日志數(shù)據(jù)存儲(chǔ)，依托此平臺(tái)可實(shí)現(xiàn)Windows日志統(tǒng)一審計(jì)與管理。本文使用Winlogbeat不間斷采集5臺(tái)Windows 10系統(tǒng)事件日志并推送至Windows事件日志分析與安全風(fēng)險(xiǎn)感知平臺(tái)。使用Kibana的“Discover”查看指定時(shí)間周期的Windows事件日志，快速定位系統(tǒng)安全風(fēng)險(xiǎn)，發(fā)現(xiàn)前因后果，幫助系統(tǒng)管理人員更高效率的解決系統(tǒng)安全問題[5]。

（2）實(shí)時(shí)分析Windows安全風(fēng)險(xiǎn)

Winlogbeat將Windows事件日志實(shí)時(shí)地流式傳輸至Windows事件日志分析與安全風(fēng)險(xiǎn)感知平臺(tái)，實(shí)現(xiàn)實(shí)時(shí)的安全風(fēng)險(xiǎn)分析與可視化數(shù)據(jù)呈現(xiàn)[6]。依據(jù)Windows事件含義創(chuàng)建如表7所示的數(shù)據(jù)分析模型，完成Windows系統(tǒng)登錄情況分析、軟件運(yùn)行情況分析、服務(wù)質(zhì)量分析、可移動(dòng)設(shè)備使用情況分析等多個(gè)主題分析。以此挖掘Windows安全風(fēng)險(xiǎn)產(chǎn)生規(guī)律分布，發(fā)現(xiàn)Windows系統(tǒng)常見安全問題與安全風(fēng)險(xiǎn)較高設(shè)備、軟件、服務(wù)等，并可基于此建設(shè)Windows操作系統(tǒng)安全風(fēng)險(xiǎn)防護(hù)知識(shí)庫，有準(zhǔn)備、有目的的解決Windows系統(tǒng)安全風(fēng)險(xiǎn)[7-9]。

（3）及時(shí)感知Windows安全威脅

基于ELK的Windows事件日志分析與安全風(fēng)險(xiǎn)感知平臺(tái)可實(shí)現(xiàn)精細(xì)化日志格式化與毫秒級(jí)的數(shù)據(jù)處理，及時(shí)感知Windows安全威脅。依據(jù)Windows操作系統(tǒng)安全防護(hù)知識(shí)庫，定義不同級(jí)別的Windows安全風(fēng)險(xiǎn)，關(guān)聯(lián)Windows事件日志。當(dāng)平臺(tái)監(jiān)測到相應(yīng)的Windows事件日志產(chǎn)生后可快速判斷安全風(fēng)險(xiǎn)等級(jí)并通過郵件、短信、微信等方式將情況推送給相關(guān)管理人員，實(shí)現(xiàn)Windows安全風(fēng)險(xiǎn)動(dòng)態(tài)感知[10-11]。

5? 總結(jié)

基于ELK技術(shù)完成了集中式Windows事件日志分析與安全風(fēng)險(xiǎn)感知平臺(tái)的建設(shè)，探索了海量數(shù)據(jù)下Windows事件日志方法，研究了Windows系統(tǒng)的安全風(fēng)險(xiǎn)，實(shí)現(xiàn)了對Windows系統(tǒng)的安全威脅感知，有效提升了Windows系統(tǒng)的運(yùn)維服務(wù)質(zhì)量與安全防護(hù)能力。

參考文獻(xiàn)

[1]張文琦， 周喜， 趙凡， 馬博. 基于多維時(shí)序日志的異常行為可視分析[J/OL]. 計(jì)算機(jī)工程與應(yīng)用： 1-13[2019-08-09]. http：//kns.cnki.net/kcms/detail/11.2127.tp.20190408.1735.012.html.

[2]王全民， 韓曉芳. 基于Netflow的網(wǎng)絡(luò)安全大數(shù)據(jù)可視化分析[J]. 計(jì)算機(jī)系統(tǒng)應(yīng)用， 2019， 28（04）： 1-8.

[3]李春強(qiáng)， 夏偉. 基于Windows日志分析的終端安全研究[J]. 網(wǎng)絡(luò)空間安全， 2018， 9（09）： 70-77.

[4]姚攀， 馬玉鵬， 徐春香. 基于ELK的日志分析系統(tǒng)研究及應(yīng)用[J]. 計(jì)算機(jī)工程與設(shè)計(jì)， 2018， 39（07）： 2090-2095.

[5]申月莉. 基于Windows主機(jī)日志的取證分析方法研究[J]. 洛陽師范學(xué)院學(xué)報(bào)， 2016， 35（08）： 62-67.

[6]陳飛. 基于windows日志的安全審計(jì)技術(shù)研究[D]. 四川師范大學(xué)， 2012.

[7]曹政. 基于Mahout 框架的Hadoop 平臺(tái)作業(yè)日志分析平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)[J]. 軟件， 2015， 36（11）： 43-47.

[8]江三鋒， 王元亮. 基于Hive 的海量web 日志分析系統(tǒng)設(shè)計(jì)研究[J]. 軟件， 2015， 36（4）： 93-96.

[9]陳星， 霍珊珊， 劉健. 物聯(lián)網(wǎng)信息系統(tǒng)安全測評服務(wù)模式的研究[J]. 軟件， 2016， 37（3）： 09-15.

[10]黃堃. 基于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)信息安全及其防護(hù)策略分析[J]. 軟件， 2018， 39（6）： 139-141.

[11]尚永強(qiáng). 計(jì)算機(jī)網(wǎng)絡(luò)信息安全中數(shù)據(jù)加密技術(shù)的探討[J]. 軟件， 2018， 39（12）： 198-201.