基于ELK的Windows系统安全风险分析的研究探索

阮晓龙 冯顺磊

摘  要： 操作系统安全尤其是Windows操作系统安全广受重视，如何分析Windows系统运行情况、评估Windows系统安全风险，实现Windows系统安全威胁感知是网络安全研究的重要方向。本文以ELK为基础，从日志分析角度入手，建立海量实时日志分析平台，高效利用Windows系统事件日志，挖掘Windows事件日志价值，实现Windows系统日志审计与分析，完成系统安全风险评估与威胁感知。

关键词： ELK;Windows事件日志;日志分析;系统安全

【Abstract】： The security of the operating system， especially the security of the windows operating system， has been paid more and more attention. How to analyze the operation of the windows system， evaluate the security risk of the windows system， and realize the security threat awareness of the windows system is an important direction of the network security research. Based on elk and from the perspective of log analysis， this paper establishes a massive real- time log analysis platform， makes efficient use of windows system event log， excavates the value of windows event log， realizes windows system log audit and analysis， and completes system security risk assessment and threat perception.

【Key words】： ELK; Windows; Log analysis; System safety

0  引言

根据NetMarketShare 2019全球操作系统市场调研，Windows操作系统仍以87.48%的比例占据最大份额，Windows操作系统依旧是使用最为广泛的操作系统，Windows系统的安全防护显得尤为重要。Windows系统的安全防护可从Windows事件日志开始，Windows事件日志中记录着操作系统、应用程序以及用户操作情况，是系统运行的重要痕迹信息[1]。采集Windows事件日志，挖掘Windows事件日志价值，分析事件日志产生原因，归纳安全事件发生规律，可有效感知Windows操作系统运行状态与安全风险[2]。

通过ELK可建设集中式Windows事件日志分析与安全风险感知平台，统一采集Windows系统事件日志，集中存储、实时分析、可视化呈现。依托集中式Windows事件日志分析与风险感知平台可审计Windows系统运行状态与安全风险，精细化感知操作系统层面的安全与服务，并以此实现系统安全审计与危险操作行为溯源。

1  Windows日志

1.1  日志审计

Windows核心日志文件有系统（System）、安全（Security）和应用程序（Application）三种，各类型日志的详细描述信息与存储位置如表1所示。

1.2  日志解读

通过事件查看器查看Windows日志信息，选择其中一条日志解读如下。Windows事件日志記录的XML如图2所示。

此事件日志由Windows在创建登录会话时生成。“使用者”字段指本地系统上请求登录的帐户。通常是一个服务或本地进程。

“登录信息”中的“登录类型”字段表示发生的登录类型。登录类型信息描述如表3所示。

“新登录”字段指本次登录的帐户。“网络账户名称”、“网络账户域”字段表示远程登录请求源自哪里。“工作站名称”并非始终可用，在某些情况下可能会留空。

1.3  关键日志

Windows事件日志由事件级别、记录时间、事件来源、事件ID、事件描述、涉及的用户、计算机、操作代码及任务类别等多个字段构成。每个事件ID代表不同的Windows操作行为，关键的Windows事件日志如表4、5、6所示，可依据事件ID挖掘Windows日志价值[3]。

2  日志数据处理

Windows事件日志数据处理依托于ELK实现，使用Beats（采集日志）、Elasticsearch（存储数据）、Kibana（数据分析模型）实现可视化呈现。Windows日志的采集使用Winlogbeat实现，Winlogbeat是ELK的Beats系列采集器，可密切监控Windows设备上产生的各类事件，并实时流式传输至Elasticsearch或Logstash[4]。

（1）安装Winlogbeat

下载并解压Winlogbeat，使用Windows PowerShell将Winlogbeat安装为Windows服务，安装过程如图3所示。

（2）采集Windows事件日志

修订Winlogbeat配置文件，将采集Windows事件日志推送至Elasticsearch中。

启动Winlogbeat服务，命令如下所示。

Start-Service winlogbeat采集的Windows事件日志如图4所示。

3  日志数据分析

3.1  分析模型

基于采集的Windows事件日志数据并结合Windows事件含义可创建Windows事件日志分析模型，Windows事件分析模型将从不同角度展示Windows系统运行情况。分析模型主要分为四类：日志统计、事件分析、安全审计与风险评估。

（1）日志统计

日志统计将实时分析各类型事件个数、占比、排行等，从宏观上展示Windows系统整体运行状态。

（2）事件分析

事件分析将根据格式化后的Windows事件字段进行分析，深入事件日志本身，挖掘日志价值，从细节上展示Windows操作系统服务情况。

（3）安全审计

安全审计将集中展示多个Windows设备的事件日志信息，支持通过各种筛选条件查看Windows系统日志信息。

（4）风险评估

风险评估将重点关注Windows系统安全事件，实时展示Windows系统运行风险。

3.2  数据可视化

为更好呈现Windows事件日志分析效果，可结合数据分析模型创建数据可视化视图。数据可视化视图依托于开源日志分析与可视化平台Kibana创建，使用Kibana可快速从Elasticsearch中抽取数据创建直观的分析图表，并可将各种分析图表汇总，形成仪表盘展示要点信息。

以分析模型“Windows日志变化趋势”为例，绘制数据可视化视图。其步骤如下所示。

（1）创建数据索引，将推送至Elasticsearch的Windows事件日志创建索引，索引名称为“Winlogbeat*”。

（2）选择数据源，依据采集的Windows事件日志信息，选择索引为“Winlogbeat*”。

（3）选择可视化类型为“折线图”。

（4）配置X轴数据为“时间”，Y轴数据為“计数”，并将序列以“log.level”拆分，形成可视化分析图表如图5所示。

4  安全风险审计

建设集中式Windows事件日志分析与安全风险感知平台可实现Windows操作系统安全风险监测。Windows事件日志分析与安全风险感知平台可采集Windows系统事件日志，集中存储于Elasticsearch，并使用Kibana可视化呈现。

（1）集中审计Windows事件日志

基于集中式Windows事件日志分析与安全风险感知平台可实现TB级的日志数据存储，依托此平台可实现Windows日志统一审计与管理。本文使用Winlogbeat不间断采集5台Windows 10系统事件日志并推送至Windows事件日志分析与安全风险感知平台。使用Kibana的“Discover”查看指定时间周期的Windows事件日志，快速定位系统安全风险，发现前因后果，帮助系统管理人员更高效率的解决系统安全问题[5]。

（2）实时分析Windows安全风险

Winlogbeat将Windows事件日志实时地流式传输至Windows事件日志分析与安全风险感知平台，实现实时的安全风险分析与可视化数据呈现[6]。依据Windows事件含义创建如表7所示的数据分析模型，完成Windows系统登录情况分析、软件运行情况分析、服务质量分析、可移动设备使用情况分析等多个主题分析。以此挖掘Windows安全风险产生规律分布，发现Windows系统常见安全问题与安全风险较高设备、软件、服务等，并可基于此建设Windows操作系统安全风险防护知识库，有准备、有目的的解决Windows系统安全风险[7-9]。

（3）及时感知Windows安全威胁

基于ELK的Windows事件日志分析与安全风险感知平台可实现精细化日志格式化与毫秒级的数据处理，及时感知Windows安全威胁。依据Windows操作系统安全防护知识库，定义不同级别的Windows安全风险，关联Windows事件日志。当平台监测到相应的Windows事件日志产生后可快速判断安全风险等级并通过邮件、短信、微信等方式将情况推送给相关管理人员，实现Windows安全风险动态感知[10-11]。

5  总结

基于ELK技术完成了集中式Windows事件日志分析与安全风险感知平台的建设，探索了海量数据下Windows事件日志方法，研究了Windows系统的安全风险，实现了对Windows系统的安全威胁感知，有效提升了Windows系统的运维服务质量与安全防护能力。

参考文献

[1]张文琦， 周喜， 赵凡， 马博. 基于多维时序日志的异常行为可视分析[J/OL]. 计算机工程与应用： 1-13[2019-08-09]. http：//kns.cnki.net/kcms/detail/11.2127.tp.20190408.1735.012.html.

[2]王全民， 韩晓芳. 基于Netflow的网络安全大数据可视化分析[J]. 计算机系统应用， 2019， 28（04）： 1-8.

[3]李春强， 夏伟. 基于Windows日志分析的终端安全研究[J]. 网络空间安全， 2018， 9（09）： 70-77.

[4]姚攀， 马玉鹏， 徐春香. 基于ELK的日志分析系统研究及应用[J]. 计算机工程与设计， 2018， 39（07）： 2090-2095.

[5]申月莉. 基于Windows主机日志的取证分析方法研究[J]. 洛阳师范学院学报， 2016， 35（08）： 62-67.

[6]陈飞. 基于windows日志的安全审计技术研究[D]. 四川师范大学， 2012.

[7]曹政. 基于Mahout 框架的Hadoop 平台作业日志分析平台设计与实现[J]. 软件， 2015， 36（11）： 43-47.

[8]江三锋， 王元亮. 基于Hive 的海量web 日志分析系统设计研究[J]. 软件， 2015， 36（4）： 93-96.

[9]陈星， 霍珊珊， 刘健. 物联网信息系统安全测评服务模式的研究[J]. 软件， 2016， 37（3）： 09-15.

[10]黄堃. 基于计算机网络技术的计算机网络信息安全及其防护策略分析[J]. 软件， 2018， 39（6）： 139-141.

[11]尚永强. 计算机网络信息安全中数据加密技术的探讨[J]. 软件， 2018， 39（12）： 198-201.