安全生产统计分析报告范文篇1

关键词：安全日志；多源异构日志；模糊场景关联分析；聚类分析；疑似度

随着网络应用的迅速发展，安全管理问题日益繁杂。企业单位采用各种网络安全设备，如防火墙、入侵检测系统、病毒木马检测系统、行为审计系统、漏洞扫描器等，节点分散，数量品牌多，产品差异大，各安全设备功能相对独立，告警日志多。例如连续运行的入侵检测系统报警量常常达到G数量级。据统计，其中约有99%以上是无关报警。传统对各种告警日志进行单独分析和处理的方法，由于忽略各种类型日志之间的相关性，使其分析结果无法准确地反映网络系统的安全状况，管理员湮没在大量告警中，很难了解系统的安全威胁状况，无法在海量日志中快速定位有价值的安全威胁，也不能及时采取有效的响应措施。因此，针对这种多源异构告警日志的模糊场景关联分析具有重要的实用价值和研究意义。

近年来，国内外研究人员从不同角度对多源异构日志进行研究，并取得一定的成果。Asif-Iqba等提出了一种异构日志事件过滤的方法，利用聚类算法过滤冗余的日志事件，最后对日志事件进行聚合，从而有利于多源日志事件关联分析；Robiah等提出了一种基于异构日志的入侵报警关联分析方法；文献通过对日志文件的交集进行分析来发现用户的恶意行为，从而提高系统的安全性，但该方法只能对防火墙日志与应用系统日志进行分析；文章提出了一种日志关联分析模型，通过对不同来源的日志文件进行采集、过滤、规范化以及关联分析，重构攻击序列。

以上方法为多源异构日志分析工作提供了可行的解决思路，为日志分析模型及算法奠定了良好的基础，但也普遍存在分析数据源不够广泛、分析技术单一等问题。为此，本文提出了一种包含聚合分析、统计分析和关联分析在内的模糊场景关联分析方法，旨在解决从海量信息安全报警日志中快速准确关联分析出最有威胁攻击行为的问题，辅助管理员对事件进行深度分析和准确处理，实现海量异构安全报警的高效关联分析及处置，以减少网络攻击威胁对信息系统所造成的影响。

1系统架构

本文所使用的模糊场景关联分析是对各类安全设备告警日志数据的深入挖掘和分析，该算法应用在某单位安全运维一体化管控系统的核心关联分析引擎中。模糊场景关联分析算法依靠内存数据库的高效率特点，将格式化后的安全告警日志实时保存在内存中进行周期性快速比对分析，依据攻击源和目的IP地址聚合后攻击行为的次数、类型、攻击手段、事件名称等关键要素进行不同分析，基于越多次数、越多类型、越多攻击手段其作为攻击源和攻击目标的疑似度就越高的基本分析原则，为每个攻击来源和目的IP地址进行实时疑似度统计分析，管理员不再根据安全告警原始日志的接收顺序进行分析处置，而是依据攻击行为疑似度高低优先处理最具安全威胁的攻击者或攻击目标IP地址。

2海量异构安全日志关联分析原理

在面对大量安全告警信息进行关联处理中，传统分析引擎依照顺序规则判定安全报警的生成，按照一个既定的告警事件分析顺序依次判断，最终根据提前明确预定义规则生成安全报警。但在实际关联分析过程中，过于教科书样式的分析规则在现实关联分析中，由于受安全产品的部署和检测效能限制，往往无法保证百分之百地提供真实、有效的安全告警让分析引擎正确执行命中。为了实现针对全网真实环境下部署策略各不相同的安全设备所触发安全告警数据的有效分析，本文设计引入模糊化场景分析规则，其具体设计步骤为：以单一日志分析后的来源和目的IP地址作为关键索引，在一个有效的时间窗口中不断聚合告警日志中每次攻击的来源和目的分别相同的IP地址，在时间窗口中不断累积攻击源和攻击目标IP所对应的安全事件的名称、级别、对端IP这些信息成为关联分析的输入条件。最终基于这些输入数据进行关联分析后，形成一个不断变化的疑似度阈值，当阈值达到提前设置的数值时，算法就趋于认同该来源或者目的IP地址有可能是一个真实的攻击来源或者攻击目标。

3整体架构

为了使模糊场景关联分析算法保持高效的实时比对分析，系统架构采用流式数据处理引擎、内存数据库和传统关系型数据库混合构建完成，将1天24小时即86400秒内采集到的海量日志全部放入内存数据库中进行实时比对分析，流式数据处理引擎负责格式化处理各类实时安全告警日志数据，流式引擎处理格式化后的日志数据放入内存数据库，相对传统关系型数据更适合大量数据的匹配分析。所有分析出来的安全告警数据以及对应原始告警数据日志放入关系型数据库中进行保存。

4技术实现

4.1模糊关联场景分析方法

模糊场景关联分析是对安全运维一体化系统中汇集的安全告警原始日志数据的分析和挖掘。该方法主要是通过模糊关联分析算法，对当前和历史的安全告警和日志数据的计算，发现系统中告警威胁的攻击者和被攻击者疑似度（疑似度的值为0～1之间，用来表示攻击者和被攻击者的疑似程度，越接近1表明攻击者和被攻击者的确定程度越大）。

通过对安全告警产生过程的深入分析，认为有4种安全告警对于疑似度的计算可以产生不同影响。

第1种：未符合聚合策略被忽略的安全告警。由于某些高级持续性威胁（APT）的告警会有意识地调整攻击频率，系统中单一的聚合策略并不能生成告警。

第2种：已处理生成安全事件的安全告警。对于己生成安全事件的告警，这些攻击源和攻击目标是管理员需要持续关注的。

第3种：管理员手动操作忽略的安全告警。由于管理员并不能轻松根据上报的安全告警分析出它们之间的关联关系，所以往往对这些告警采用忽略处理，进而错过彻底发现攻击的最佳时机。

第4种：系统中状态为未处理的安全告警。系统中未处理的安全告警是管理员最关注的。

以上是模糊场景关联分析方法的四大数据来源（见图1）。

对于每一种安全告警中都存在着攻击源和攻击目标，在安全告警事件中，源IP即攻击源，目的IP即攻击目标。模糊场景关联分析方法根据4个数据源计算出每个源IP和目的IP的疑似度（见图2）。

通过对模糊场景关联分析的数据源的分析，每种数据源都是由安全告警组成，每个安全告警又是由多个原始的告警聚合产生，对于安全告警的聚合数量、告警等级是直接影响计算疑似度的2个重要参数（见图3）。

4.2模糊场景算法组成

模糊场景关联分析方法中有4个数据来源、2个维度和2个参数。模糊场景关联分析主要是攻击源和攻击目标疑似度的计算模型（见图4）。

由于4个数据源产生的安全告警的影响是不同的，己处理生成安全事件的安全告警最高，系统中状态为未处理的安全告警次之，由于未符合聚合策略被忽略的安全告警和管理员手动忽略的安全告警均属于忽略状态的告警，所以此类告警影响最低。

其对应在计算方法中的权值也是依次降低。影响划分如下：

己处理生成安全事件的安全告警权重>系统中状态为未处理的安全告警权重>未符合聚合策略被忽略的安全告警和系统运维人员手动忽略的安全告警权重。

数据源的权重Ts范围为1～100，4种数据源的权重如表1所示（表中数据为假设数据）。

对于模糊场景关联分析方法中告警数量，每种数据源提供的数量是不同的，为了避免数据量对计算结果误导性影响，告警数量的权重采用非线性的计算方式获得，具体计算公式如下所示：

Tc=a*th（X/Fn）

Tc表示报警数量的权重，x表示告警数量。a是控制权重的变化趋势，a值越大表明_rc的值越大。th（）为双曲正切函数，使用双曲正切函数能保证数量的大小变化对权重值影响不成比例。Fn为调整系数，是一个常量值，更能符合Tc的变化趋势。

模糊场景关联分析方法告警等级权重Td也是计算方法中重要的参数，安全告警一共分为3个等级：高、中、低。告警等级的权重范围为1～10，由于低等级的安全告警对于疑似度的影响较小，系统默认定义低级别安全报警的权值为1。其中安全告警等级的权重如表2所示（表中高中级数据为假设数据）。

事件疑似度是由数据源种类、安全告警数量和安全报警等级决定的，具体计算公式如下所示：

其中，DoubtC表示源IP（或目的IP）为攻击源（或攻击目的）的疑似度。n表示时间范围内参加计算的安全报警数量。Ts表示每种数据源的权重。Tc表示通过安全告警聚合的数量计算出的数量权重。Td代表安全告警等级的权重。Fa为疑似度调整系数，是一个常量值，Fa的设置是将疑似度作整体调整的人性化设计，更能符合用户对于疑似度的感念意识。疑似度计算使用双曲正切函数y=th（X）=（e∧x-e∧（-X））/（e∧x+e∧、（-x）），如图5所示，在双曲正切函数中，不论数值有多大（如：疑似度原值可以是无限大），最终计算出的结果都是在0～1之间的，而其他函数则没有此性质。疑似度计算公式中利用双曲正切函数的分值限制将疑似度值控制在0～100%之间。

模糊场景关联分析算法实例（此数据为测试算法数据）：

（1）时间范围10分钟，取源IP为192.168.10.1的10条数据为例。

（2）数量权重计算公式中的Fn值为200，a系数值为10。

（3）安全报警等级权值高中低分别为：Td=6，Td=4，Td=1。

（4）疑似度计算公式中的Fa值为1000。

具体如表3所示。

Doubtc=th（9982.400/1000）=0.7609

则时间范围10分钟，源IP；为192.168.10.1的攻击者疑似度为76.09%。

5应用效果

模糊场景关联分析算法作为安全运维一体化管控系统的核心日志分析处置功能引擎，已经成功部署在某单位并在安全日志关联分析处置中发挥了实际功效价值。该引擎自从上线后，平均每天关联分析接近370万条不同厂家品牌规格的安全日志数据，通过对安全日志分析处置，每天可以稳定针对20～30个重点攻击源和攻击目标IP地址进行高威胁疑似度预警，及时通知管理员进行研判分析处置。管理员可以直接在系统界面中查看相关疑似度统计分析数据以及对应的原始日志主数据，进行运维流程处理。模糊场景关联分析算法应用后，日常安全运维人员不必每天再面对大量滚动更新的安全日志而束手无策，系统成为安全运维团队日常工作的重要支撑工具。

安全生产统计分析报告范文篇2

多系列失效分析法11)

双比较法12)

工作任务分析法13)

因果（鱼刺）图分析法B.2能够提供危险度分级的安全评价方法1)

危险和可操作性研究2)

故障类型及影响分析3)

事故树分析4)

逻辑树分析5)

风险矩阵评价法6)

安全度评价法7)

风险容忍度评价法8)

道化学公司火灾、爆炸危险指数评价法9)

蒙德火灾、爆炸、毒性指数评价法10)

日本劳动省六阶段评价法11)

前苏联化工过程危险性定量评价法12)

模糊矩阵法13)

直接数值估算法14)

人的认知可靠性分析法15)

我国化工厂危险程度分级法16)

我国冶金工厂危险程度分级法17)

我国冶炼工厂危险程度分级法18)

重大危险源辨识方法19)

作业条件危险性评价法（格雷厄姆—金尼法）20)

“安全检查表—危险指数评价—系统安全分析”评价法21)

统计图表分析法B.3可以提供事故后果的安全评价方法1)

故障类型及影响分析2)

事故树分析3)

逻辑树分析4)

概率理论分析5)

马尔可夫模型分析6)

道化学公司火灾爆炸危险指数评价法7)

蒙德火灾爆炸毒性指数评价法8)

日本劳动省六阶段评价法9)

前苏联化工过程危险性定量评价法10)

模糊矩阵法11)

成功可能性指数法12)

Safeti评价法13)

易燃、易爆、有毒重大危险源评价法14)

“安全检查表—危险指数评价—系统安全分析”评价法15)

统计图表分析法16)

矿山工程安全评价法17)

尾矿库矩阵评价法18)

液体泄漏模型19)

气体泄漏模型20)

绝热扩散模型21)

池火火焰与辐射强度评价模型22)

火球爆炸伤害模型23)

爆炸冲击波超压伤害模型24)

蒸气云爆炸超压破坏模型25)

安全生产统计分析报告范文篇3

关键词：电子商务；企业审计；流程

当前信息化建设飞速发展，各行各业信息化、数据化的程度水涨船高。信息技术的发展为建立一个跨时空的实时商务系统提供了技术平台，电子商务应运而生。电子商务环境下的企业审计对传统的审计模式是巨大的冲击，它改变了企业的管理理念和会计模式，一定程度上给审计人员带来了便利，但也带来了很大的挑战。以下，就电子商务环境下企业审计要素、审计流程、审计报告的变化展开分析。

一、企业审计变化的几个方面

1.审计目标

传统的审计目标主要是查错防弊。会计工作人员收集证据主要是使自己能在真实合法的环境中对会计报表的合法性、公允性、一贯性表达客观公正的意见，生成审计报告。在传统的会计行业中，会计报表对企业经营状况和经营成果反馈的及时性和相关性不足，而主要考虑了准确性和可靠性。随着电子商务、网络财务等新技术的涌现，经济活动更加开放，企业审计的目标也向更深更广扩展。企业把公司简介、产品信息、企业财务等放到企业网站上共享，大大提高了信息传递的及时性。在大数据、信息大爆炸时代，企业审计更加注重及时性，传统审计已经完全不能适应电子商务环境下的审计要求。

2.审计对象

通过对电子商务环境下的审计的观察，我们发现互联网将企业的资金、物资、信息等资源融合在一起。不同企业之间可在各自的网站平台上了解相关产品，并在网络上达成共识，召开视频会议，签订电子合同，进行电子支付一整套的商务活动和流程[1]。可见电子凭证已成为电子商务环境下企业审计的重点对象。电子商务的交易一般是在网络中完成的，因此交易的安全性必须得到高度重视，所以与传统审计不同，电子商务环境下的审计对象也包括对企业内外环境安全性的检查。

3.审计方法

传统的企业审计，会计人员核账方式基本以账账核对、账实核对、账证核对为主。会计人员根据原始凭证来编制记账凭证[2]，根据凭证登记明细账和总账，最终根据账簿编制会计报表。在经济高度发展的今天，传统审计方法已失去意义。会计信息系统在电子商务中的广泛运用，使财务信息的同步性大大提高。审计人员可通过一些接口来获取相关资料，凭借发达的信息网络来实现远程操作。部分审计软件也使得审计人员在分析数据工作时，通过对这些软件的利用对信息进行加工，得出最终的审计结果。如运用数据库采集原始信息，选取样本，有针对性地分析调查。

4.审计环境

电子商务改变了企业审计的环境要素，大体涉及地理环境、法律环境、审计技术等。电子商务对企业地理环境审计的改变主要在于，传统的企业与企业间进行面面交易，一切经济活动都是线下完成。电子商务的出现从根本上改变了企业的交易方式。企业不再局限于面面交易，而通过网络完成整个经济活动，大大缩减了交易环节和程序。再者，审计人员也不用亲自到达审计现场，可在电子平台上对企业信息进行整合分析和远程操作，这一环境下的审计大大提高了审计人员工作的时效性。电子商务对企业法律环境审计的改变在于，电子商务环境下的企业经济活动将会面临更大风险，不稳定因素随时存在[3]。而我国当前在电子商务方面的法律法规还不够完善。因此，建立一套完整的法律制度体系成为当务之急。电子商务对企业技术审计的改变主要在于，当前各种新技术不断涌现，企业要把握机遇，将新技术运用到经济活动中。然而，新技术虽好，也有利有弊，它在提升企业审计时效的同时，给审计安全带来巨大的挑战。

二、电子商务环境下企业审计的流程

1.企业的电子商务情况

电子商务采用全球网络化信息系统，企业一方面面临系统自身的风险，另一方面要面临网络黑客和病毒的入侵。审计人员须如实掌握企业电子商务情况，在此基础上开展企业审计，这是评估企业电子商务风险、财务信息可靠性的必要环节。对企业情况的掌握，包括对企业电子商务类型的掌握（纯粹电子商务企业，以电子商务做补充的实物贸易）；对企业产品的掌握（虚拟产品如点卡、实物产品如服饰）；对企业电子商务应用范畴的掌握（部分实体交易、全部线上交易）；对企业收入来源的掌握（由传统的提供产品到向技术服务、广告的转变）。

2.内部控制

对企业的内部控制，可从以下两个方面展开：一是对安全性的控制，考察信息的安全性，需要分析信息是否安全、可获、完整、保密、真实。企业一般会建立安全基础架构来确保其电子商务系统的安全，通过对信息安全进行风险评估、政策分析、引入维护时的标准防控。如：运用病毒防护软件、网络防火墙、加密技术等。二是对交易完备性的控制。企业为了评估信息的可靠性，会对电子商务交易中的信息的完备性进行有效检验。审计人员需要对企业的各种状况有全面的把握，才能判断企业的内部控制是合理的、稳定的、可靠的。

3.符合性测试

在审计人员对企业内部控制情况全面掌控的情况下，展开符合性测试，通过符合性测试来判断企业日常运营中是否真正落实了对其控制的初衷。一般而言，企业的符合性测试包括两方面：一是安全性测试，此部分包括检测系统是否只能被授权企业访问；通过对防护墙的攻击测试，检查系统的实际可靠性；对企业合作伙伴进行抽样审查，检查其数字证书的合法性。二是对交易完备性的控制。对企业交易行为进行抽样检查，看其是否有少记漏记的现象，检测在同一网络环境下的企业交易信息是否一致[4]。

4.实质性测试

审计人员通过对会计报表的真实性、合法性做出科学的检测，获取直接的审计数据，运用观察、检查、函证、查询、计算等方法综合分析，得出最终的审计结论。审计人员在审计过程中通过电子函证来证实交易的完整性和真实性，通过系统运行结果和人工计算结果，来分析数据处理的正确与否。

5.电子商务环境下的审计报告

审计人员在掌握企业内部控制情况的前提下，做出符合性测试和实质性测试，最终通过对收集到的审计资料进行汇总，编制成审计报告。电子商务环境下的网络审计，可采用在线实时报告。研究表明，提高企业信息披露的宽泛度和报告频率可给企业带来经济效益[5]。在审计报告的内容、形式以及审计报告编制和使用方式上，实时审计报告体现出传统审计报告不可比拟的优势。审计报告首先要能反映企业的经营状况，其次要能对企业的控制系统做出合理有效的评价，再次要揭示审计中发现的问题，最后提出相应的改进措施和意见。