中國電信集團(tuán)天津分公司 田 野

安全審計系統(tǒng)作為一種安全策略記錄，能夠?yàn)殡娦胚\(yùn)營商信息安全提供保證，通過將小概率關(guān)聯(lián)分析技術(shù)應(yīng)用于該系統(tǒng)，能夠利用相關(guān)性綜合觀察系統(tǒng)中的所有事件與信息，從而最大化降低信息安全事件的發(fā)生概率，這對電信運(yùn)營商發(fā)展至關(guān)重要。

1 探討小概率關(guān)聯(lián)分析技術(shù)在電信運(yùn)營商安全審計系統(tǒng)中的重要意義

所謂安全審計，主要是一種用于挖掘系統(tǒng)違規(guī)操作和漏洞的信息安全保護(hù)技術(shù)，分析基礎(chǔ)是系統(tǒng)數(shù)據(jù)。信息系統(tǒng)均具有一定脆弱性，極易出現(xiàn)信息安全問題，但是通過將小概率關(guān)聯(lián)分析技術(shù)運(yùn)用于該系統(tǒng)，能夠提高數(shù)據(jù)分析準(zhǔn)確性，審計管理人員不需要手動進(jìn)行大量策略配置工作，有效增強(qiáng)了審計工作的常態(tài)化和實(shí)時化性質(zhì)，保證審計內(nèi)容與電信運(yùn)營商日常業(yè)務(wù)的緊密貼合，及時掌握違規(guī)操作，提升電信運(yùn)營商審計信息管理水平。

2 研究小概率關(guān)聯(lián)分析技術(shù)在電信運(yùn)營商安全審計系統(tǒng)中的設(shè)計運(yùn)用

2.1 技術(shù)模型原理流程

從當(dāng)前電信運(yùn)營商安全審計系統(tǒng)運(yùn)行現(xiàn)狀來看，在海量的系統(tǒng)數(shù)據(jù)日志內(nèi)異常信息和違規(guī)操作占比較小，但是此類信息數(shù)據(jù)直接關(guān)系到系統(tǒng)的信息數(shù)據(jù)安全，為此，需要挖掘這類小概率事件，以信息數(shù)據(jù)為基礎(chǔ)進(jìn)行場景、特征以及過程的回溯，并配套落實(shí)知識庫，打造一個智能化的自學(xué)習(xí)分析體系。在將小概率關(guān)聯(lián)分析技術(shù)運(yùn)用于電信運(yùn)營商安全審計系統(tǒng)時，主要以以下假設(shè)為基礎(chǔ)展開：相較于非法操作，日常中的合法操作更多，判定非法操作的基準(zhǔn)是閾值，所以在運(yùn)用小概率關(guān)聯(lián)分析技術(shù)時，主要目的就是找出數(shù)量在特定閾值以下的系統(tǒng)操作行為。

在該假設(shè)條件的基礎(chǔ)上，首先對該系統(tǒng)歷史操作記錄的執(zhí)行次數(shù)進(jìn)行統(tǒng)計，對于該系統(tǒng)而言，操作系統(tǒng)由三方面構(gòu)成，分別為參數(shù)（option）、操作（operation)）和對象（object），即3O。在具體分析過程中，主要是將操作與參數(shù)或?qū)ο筮M(jìn)行隨機(jī)組合，從而比較違規(guī)閾值（illegal threshold）與統(tǒng)計結(jié)果，若是低于閾值，則判定該操作記錄疑似違規(guī)記錄，然后將其歸類到疑似違規(guī)操作表（sus violation record）中，該技術(shù)分析環(huán)節(jié)為“查找。”其次，通過整理疑似數(shù)據(jù)得到“疑似違規(guī)操作記錄庫”后，使用每個操作對應(yīng)的一次會話的唯一標(biāo)識（session ID）對操作之前的有關(guān)操作集合進(jìn)行回溯，經(jīng)過這一操作可以獲得session里相關(guān)操作記錄以及使用者（user）等信息，以此獲得更為全面的疑似違規(guī)操作流，該技術(shù)分析環(huán)節(jié)為“回溯”。在完成數(shù)據(jù)記錄回溯后，若干疑似違規(guī)操作流中可能存在不在違規(guī)操作庫中的記錄，因此在獲得疑似違規(guī)操作流后，需要通過安全專家對違規(guī)操作進(jìn)行確認(rèn)，在確定某些記錄為違規(guī)操作后，將會存儲于違規(guī)操作表（violation record），對于沒有被判定為違規(guī)操作的記錄則會被丟棄，因此該技術(shù)分析環(huán)節(jié)為“確認(rèn)”。最后，若是發(fā)現(xiàn)表violation record中已經(jīng)存在疑似違規(guī)操作，則會以自動化的方式增加操作次數(shù)，若是后來添加至表內(nèi)的記錄，該技術(shù)過程為“修改”。由此可見，小概率關(guān)聯(lián)分析技術(shù)在電信運(yùn)營商安全審計系統(tǒng)中的運(yùn)用分為四部分，分別為查找、回溯、確認(rèn)及修改。

2.2 小概率關(guān)聯(lián)分析技術(shù)服務(wù)程序構(gòu)成

小概率關(guān)聯(lián)分析是一種自學(xué)習(xí)行為，但是用戶需要提前做好設(shè)置，比如回溯時間、分析策略，或是合理的違規(guī)閾值等，這樣才能夠?qū)崿F(xiàn)記錄數(shù)據(jù)的分析與歸類整理。從當(dāng)前技術(shù)發(fā)展和使用現(xiàn)狀來看，基于該技術(shù)的服務(wù)程序包括四個模塊，分別為統(tǒng)計、回溯、確認(rèn)及監(jiān)控。①統(tǒng)計。該模塊負(fù)責(zé)統(tǒng)計某段時間內(nèi)系統(tǒng)日志中所有操作的系數(shù)，統(tǒng)計后按照從小到大的順序排列，根據(jù)用戶設(shè)置的關(guān)聯(lián)分析策略對疑似違規(guī)操作進(jìn)行刪選，并存儲至數(shù)據(jù)表中。②回溯。得到疑似違規(guī)操作庫后，系統(tǒng)管理員需要根據(jù)具體需求選擇是否回溯，若確認(rèn)回溯則以時間、用戶名等要素為基礎(chǔ)。例如，當(dāng)違規(guī)閾值為3時，創(chuàng)建用戶（create user）這一操作發(fā)生了2次，那么該操作就被判定為疑似違規(guī)操作，回溯該操作后則會得到兩個疑似違規(guī)操作流。③確認(rèn)。系統(tǒng)管理員以自身經(jīng)驗(yàn)為基礎(chǔ)判定該操作流是否為違規(guī)操作過程，選擇的不同其得到的操作流類別也不同，分別為安全和違規(guī)操作流程。由于在確認(rèn)過程中需要?dú)w并處理日志流，將安全操作記錄篩選出去，因此，操作流時間可能較長，但是用戶參與難度降低，最終得到的結(jié)果質(zhì)量也更為理想。④監(jiān)控。以違規(guī)操作流為基礎(chǔ)監(jiān)控用戶操作并實(shí)時匹配，以此獲得相關(guān)正處于進(jìn)行時的危險操作，從而及時發(fā)送警示信息。

2.3 技術(shù)模型設(shè)計

在使用小概率關(guān)聯(lián)分析技術(shù)對電信運(yùn)營商安全審計系統(tǒng)進(jìn)行分析時，主要通過小概率分析模型進(jìn)行，在設(shè)計該模型時，從信息數(shù)據(jù)查找、數(shù)據(jù)回溯、確認(rèn)以及修改四個階段進(jìn)行。以“腳本方式將DB2數(shù)據(jù)表導(dǎo)出到主機(jī)文件”為例，分析第一此運(yùn)行情況和例行運(yùn)行情況，以此保證分析模型設(shè)計質(zhì)量。

（1）查找設(shè)計

在進(jìn)行查找設(shè)計時，分別以兩種情況為基礎(chǔ)分別設(shè)計第一次查找和例行性查找。對于前者而言，需要面向電信運(yùn)營商安全審計系統(tǒng)數(shù)據(jù)庫中的所有操作記錄開展分析工作，首先，提取記錄詳情落實(shí)預(yù)處理工作，記錄詳情包括參數(shù)（option）、操作（operation)）和對象（object），預(yù)處理過程中將三者之間多余的空格去掉，之后保存，存儲方式為表map。之后，將3O作為記錄主鍵進(jìn)行次數(shù)的記錄，并一一對應(yīng)主鍵的使用者ID，即user session ID，主要將其記錄在表operation session。若是遇到不存在的主鍵，則歸類于表map上，次數(shù)為1。在統(tǒng)計完操作記錄后，一旦發(fā)生次數(shù)在違規(guī)閾值以下，則被劃定為疑似違規(guī)操作，并整理至表violation record中。值得注意的是，由于每天用戶的記錄均存在異同，所以為了避免日期重疊，還需要進(jìn)行時間范圍的記錄，因?yàn)槿掌谑遣僮魅罩颈砻?，所以直接將第一個表和最后一個表的表名作為時間范圍即可，分別為作為起始時間戳，從而保證查找時間范圍的準(zhǔn)確是。最后，在全部記錄查找結(jié)束后，回溯所有操作記錄。

而后者這一例行性查找則是每天對該系統(tǒng)進(jìn)行查找，次數(shù)1次，統(tǒng)計過程與第一次運(yùn)行情況相同，唯一存在差異的內(nèi)容時對疑似違規(guī)操作進(jìn)行過濾時，以查找閾值為基礎(chǔ)，從而得到疑似違規(guī)操作表，最后開展回溯工作。

（2）回溯設(shè)計

為實(shí)現(xiàn)對疑似違規(guī)操作表的有效回溯，需要以回溯原則進(jìn)行設(shè)計，假設(shè)記錄為A，那么針對第一次運(yùn)行情況下的回溯，內(nèi)容包括A session ID 1的所有操作，而例行性回溯則是回溯A session ID 1的user。通過重復(fù)回溯記錄A對應(yīng)的user session ID后，得到一個記錄相關(guān)操作，之后回溯嚇一條記錄，全部回溯結(jié)束后獲得疑似違規(guī)操作流，存儲于T NEED CONFIRED **** ** **中。

（3）確認(rèn)設(shè)計

在確認(rèn)階段，無論是第一次運(yùn)行情況還是例行性情況，其過程不存在差異，都是對T NEED CONFIRED **** ** **進(jìn)行分析，具體需要確認(rèn)的操作流程如表1所示。

表1 待確認(rèn)的操作流

（4）修改設(shè)計

在明確獲得違規(guī)操作后，進(jìn)入violation record中進(jìn)行確認(rèn)操作，將非違規(guī)操作剔出。

結(jié)論：綜上所述，小概率關(guān)聯(lián)分析技術(shù)在電信運(yùn)營商安全審計系統(tǒng)中的運(yùn)用能夠及時最終安全漏洞、安全事故，并實(shí)時告警開展責(zé)任追蹤。在實(shí)際設(shè)計運(yùn)用過程中，相關(guān)人員應(yīng)設(shè)計分析模型和搭建知識庫，從而為關(guān)聯(lián)分析的展開奠定良好基礎(chǔ)，保證電信運(yùn)營商信息安全。