一种信息安全运行场景监控展示平台的制作方法

1.本发明涉及信息网络安全技术领域，尤其设计一种信息安全运行场景监控展示平台。


背景技术：

2.在日趋严峻的网络安全形势下，电力系统网络安全风险可能引发电网大面积停电、发电机组停机及客户信息泄漏等风险，电力行业的信息网络安全运行状况对电力系统的安全稳定至关重要。信息安全运行是事关公司安全和发展的重要战略问题，要逐步推动网络安全和信息化工作的统一管控和产业改造，以应对日趋多元、复杂的网络安全形势和产业发展需求。
3.目前管理信息大区现有桌面终端3000多台，硬件设备包括300多台网络设备、7台服务器、1台磁盘阵列，机房基础设施含机房ups、空调，动环监控系统等，信息网络覆盖公司机关各部门、8个县市区和各二级单位。对公司信息设备和系统的安全运行监控涉及到网络设备的运行状态，考核设备、系统的在线率，网络异常行为，高危漏洞的排查，安全风险预警，攻击行为监测等等指标。目前仅有信息设备网管能够监控设备运行状态，桌面管理系统告警违规外联、入侵检测系统检测网络攻击行为，但存在大量误报情况，具体情况仍需要有经验的运维人员进行信息收集分析、手动排查、研判，缺少统一数据收集、智能分析的手段。
4.针对上述现状，信息运维人员希望通过开展科技项目研究，以收集、分析信息系统和网络安全情况为目标，开发监控程序收集公司所有网络及安全设备的运行状态及日志信息，将信息系统和网络运行状态的实时情况进行分析处理，预判网络安全运行危险点。


技术实现要素：

5.本发明的目的在于针对上述现有技术的不足，提供了一种信息安全运行场景监控展示平台，减轻安全运行监控人员的压力，提高信息安全监控效率及风险发现、处理的准确性、及时性。
6.为实现上述目的，本发明采用了如下技术方案：
7.本发明提供了一种信息安全运行场景监控展示平台，包括以下内容：
8.1)、自动化收集网络中的设备运行信息和机房基础设施的环境信息，并进行集中整理、分析后展示；
9.2)、开发bootstrap前端开源框架；
10.3)、研发监控展示平台的后端业务逻辑流程；
11.4)、设计收集的运行数据信息策略模型；
12.5)、研判告警信息的机器学习模型。
13.进一步，所述1中，包括：
14.101)采用深层网络爬虫，定向抓取相关网页资源，隐藏在搜索表单后的，通过提交一些关键词以获得web页面；爬虫爬行过程中最重要的部分就使表单填写，包括如下两种类
型：
15.第一种：基于领域知识的表单填写：维持一个本体库，通过语义分析来选取合适的关键词填写表单；
16.第二种：基于网页结构分析的表单填写：无领域知识或仅有有限的领域知识，将网页表单表示成dom树，从中提取表单各字段值。
17.102)、采用简单网络管理协议，工作在udp161端口，用于监控目标设备的操作系统、硬件设备、服务应用、软硬件配置、网络协议状态、设备性能及资源利用率、设备报错事件信息、应用程序状态的软硬件信息。
18.进一步，所述1中，还包括如下内容：
19.103)、采用端口转发技术来传输tcp/ip协议的报文，在客户端和服务器端建立了一条传输管道；
20.104)、利用数据库允许远程访问，在客户端进行数据查询收集。
21.进一步，所述简单网络管理协议包括：
22.nms，利用snmp协议对网络设备进行管理和监视的系统；所述nms 向agent发出请求，查询或修改一个或多个具体的参数值；同时，所述 nms可以接收agent主动发送的trap信息，以获知被管理设备当前的状态；
23.所述agent，用于维护被管理设备的信息数据，并响应所述nms的请求，把管理数据汇报给发送请求的所述nms；所述aent接收到所述 nms的请求信息后，完成查询或修改操作，并把操作结果发送给所述 nms，完成响应；同时，当设备发生故障或者其他事件的时候，所述agent 会主动发送所述trap信息给所述nms，通知设备当前的状态变化；
24.mib，定义了被管理对象的一系列的属性：对象的名称、对象的访问权限和对象的数据类型；通过这个mib，所述nms可对所述agent中的每一个被管理对象进行读/写操作，从而达到管理和监控设备的目的。
25.进一步，所述2中，
26.201)、包括用于架构用户界面和交互接口的html、css、javascript工具集，且自带大量组件和众多实用插件；
27.202)、高效使用html标签和css样式；
28.203)、使用json格式进行数据交换；
29.204)、d3.js数据可视化。
30.进一步，所述s3中，包括
31.使用flask框架；
32.运行centos8系统，符合监控展示平台的研发多种编程语言和数据库需求；
33.采用gunicorn服务器和nginx反向代理服务器，利用celery处理大量消息的分布式系统，并利用redis数据存储；
34.采用supervisor进程管理程序，能将一个普通的命令行进程变为后台 daemon，并监控进程状态，异常退出时能自动重启。
35.进一步，所述运行数据信息策略模型依据自动化收集的网络设备、安全设备、机房基础设施等相关运行数据、状态告警和日志文件，定制信息安全运行场景监控下的异常行为、网络攻击、有害程序、自身漏洞、数据安全共五个大类场景的分类建模。
36.本发明的有益效果为：以集中展示公司信息系统和网络安全运行情况为目标，研制出信息安全运行场景监控展示平台，该平台能够对系统和网络运行状态进行实时安全监控，预判危及网络安全运行指标的安全风险点，并及时告警展示，支撑公司网络安全风险防控管理和预警、漏洞的处置工作。
具体实施方式
37.为了使本发明的目的、技术方案及优点更加清楚明白，下面对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。
38.一种信息安全运行场景监控展示平台，包括以下内容：
39.1)、自动化收集网络中的设备运行信息和机房基础设施的环境信息，并进行集中整理、分析后展示；
40.包括：101)采用深层网络爬虫，定向抓取相关网页资源，隐藏在搜索表单后的，通过提交一些关键词以获得web页面；爬虫爬行过程中最重要的部分就使表单填写，包括如下两种类型：
41.第一种：基于领域知识的表单填写：维持一个本体库，通过语义分析来选取合适的关键词填写表单；
42.第二种：基于网页结构分析的表单填写：无领域知识或仅有有限的领域知识，将网页表单表示成dom树，从中提取表单各字段值。
43.102)、采用简单网络管理协议，即snmp协议，工作在udp161端口，用于监控目标设备的操作系统、硬件设备、服务应用、软硬件配置、网络协议状态、设备性能及资源利用率、设备报错事件信息、应用程序状态的软硬件信息所述简单网络管理协议包括：
44.nms，利用snmp协议对网络设备进行管理和监视的系统；所述nms 向agent发出请求，查询或修改一个或多个具体的参数值；同时，所述 nms可以接收agent主动发送的trap信息，以获知被管理设备当前的状态；
45.所述agent，用于维护被管理设备的信息数据，并响应所述nms的请求，把管理数据汇报给发送请求的所述nms；所述aent接收到所述 nms的请求信息后，完成查询或修改操作，并把操作结果发送给所述 nms，完成响应；同时，当设备发生故障或者其他事件的时候，所述agent 会主动发送所述trap信息给所述nms，通知设备当前的状态变化；
46.mib，定义了被管理对象的一系列的属性：对象的名称、对象的访问权限和对象的数据类型；通过这个mib，所述nms可对所述agent中的每一个被管理对象进行读/写操作，从而达到管理和监控设备的目的。
47.本方法针对主机设备、网络设备等能够安装snmp应用的设备。本发明主要需要研究windows、linux系统、华三交换机、中兴交换机、华为交换机等不同设备的管理信息库mib与snmp协议的使用，编写程序将收集到的数据规范化，融合到统一的数据模型中。
48.103)、采用端口转发技术来传输tcp/ip协议的报文，在客户端和服务器端建立了一条传输管道；
49.端口转发技术来传输tcp/ip协议的报文，在客户端和服务器端建立了一条传输管道，可以将服务器产生的数据信息通过固定端口传到客户端，避免了从web页面登录查询的操作。
50.本方法针对具有数据端口转发功能的系统，主要是安全设备。本发明需要研究不同的安全设备的传输数据格式，进行编码和解码，编写脚本将不同设备转发的数据进行自动化收集、规范化整理。
51.104)、利用数据库允许远程访问，在客户端进行数据查询收集。
52.远程数据库访问是利用数据库允许远程访问的功能，在客户端进行数据查询收集。需要研究相关系统数据库的表结构和字段含义，编写脚本实现数据的解密过程，并收集整理。
53.2)、开发bootstrap前端开源框架；
54.通过整合业务系统资源，将多源异构数据融合，将业务系统数据集中展现在统一的数据可视化平台，可以解决不同业务系统之间数据不互通的问题。根据信息运维管理的需求，对360天擎系统、探针流量系统、网管系统、绿盟扫描等系统的数据进行实时采集，对处理后的数据建立统一数据模型，以图、表等形式将相关业务数据集中展示到统一的数据可视化平台，提供更清晰的信息表达、更科学的决策辅助、更精准的节点管控。
55.展示页面主要包括网络安全异常流量预警、网络设备运行监控、病毒终端管理、风险漏洞管理、动环系统监控、邮箱收件提醒等十大场景。主要采用snmp、syslog、socket协议进行数据采集，部分模块采用python 爬虫技术采集数据。
56.监控展示平台的前端web页面需要具有较强的兼容性，支持不同浏览器和分辨率设备，界面清新简洁，要素排版利落大方的特点，需要实现监控数据的图表、图例展示，网络设备的拓扑图及运行状态告警动画显示。
57.201)、包括用于架构用户界面和交互接口的html、css、javascript工具集，且自带大量组件和众多实用插件；
58.前端web开发要求界面布局合理，功能符合预期，交互友好，操作响应流畅，其性能的提升优化需要注重以下问题：
59.减少连接请求。本发明研发的监控展示平台在浏览器(客户端)和服务器发生通信时，需要访问大量图片、数据、css、js资源信息，将会频繁的与服务器建立连接，又释放连接，这必定消耗大量的网络资源，且每个请求都会对服务器和浏览器产生性能负担。
60.202)、高效使用html标签和css样式；
61.html是一门用来描述网页的一种语言，它使用标记标签来描述网页，css指层叠样式表，用来渲染页面的。高效使用html和css能够降低网络开销。
62.203)、使用json格式进行数据交换；
63.json是javascript原生格式，在处理json数据时不需要任何特殊的api或工具包，与xml序列化相比，json序列化后产生的数据一般要比xml序列化后数据体积小。
64.204)、d3.js数据可视化。
65.本发明涉及到大量图形、图表、网络拓扑、告警动画等数据可视化需求，使用d3.js能够结合强大的可视化组件和数据驱动方式dom操作，提升图像的精美度和呈现效果。
66.3)、研发监控展示平台的后端业务逻辑流程；
67.本发明监控展示平台的后端业务逻辑流程实现需要主机系统、后端 web框架、相关中间件。
68.使用flask框架；
69.flask是一个使用python编写的轻量级、可定制web应用框架，较其他同类型框架更为灵活、轻便、安全，flask框架的主要特征是核心构成比较简单，但具有很强的扩展性和兼容性，不指定数据库和模板引擎等对象，可以根据需要选择各种数据库。
70.运行centos8系统，符合监控展示平台的研发多种编程语言和数据库需求；
71.centos8支持多种类型版本开发语言(python3、php7.2、ruby2.5、 node.js 10、java等)，默认支持多种数据库(mysql 8.0、mariadb 10.3、 postgresql、redis5.0等)，符合本发明监控展示平台的研发多种编程语言和数据库需求。
72.采用gunicorn服务器和nginx反向代理服务器，利用celery处理大量消息的分布式系统，并利用redis数据存储；
73.redis(remote dictionary server)，即远程字典服务，是一个开源的使用ansi c语言编写、支持网络、可基于内存亦可持久化的日志型、 key-value数据库，并提供多种语言的api。它支持存储的数据类型相对更多，包括string(字符串)、list(链表)、set(集合)、zset(sorted set有序集合) 和hash(哈希类型)。这些数据类型都支持push/pop、add/remove及取交集并集和差集及更丰富的操作，而且这些操作都是原子性的。
74.celery是一个简单、灵活且可靠的，处理大量消息的分布式系统，侧重于实时操作，能够在处理大量并发消息时候发挥重要作用。
75.gunicorn是一个python wsgi unix的http服务器，与各种web 框架兼容，轻量级的资源消耗，迅速连接响应。
76.nginx是一个高性能的http和反向代理web服务器，具有较强稳定性、丰富的功能集、示例配置文件和低系统资源消耗的优点。
77.采用supervisor进程管理程序，能将一个普通的命令行进程变为后台 daemon，并监控进程状态，异常退出时能自动重启。
78.4)、设计收集的运行数据信息策略模型；
79.所述运行数据信息策略模型依据自动化收集的网络设备、安全设备、机房基础设施等相关运行数据、状态告警和日志文件，定制信息安全运行场景监控下的异常行为、网络攻击、有害程序、自身漏洞、数据安全共五个大类场景的分类建模。
80.5)、研判告警信息的机器学习模型。
81.本发明涉及到的信息安全研判工作，许多都是需要依靠人为判断才是较为准确的，但是研发的平台接受一台安全设备的数据信息已达到每分钟上万条的数据量级，人工查询、遍历、研判的效率过低，无法及时得到判定结果。直接对数据进行指定特征的自动化分级，也无法准确地给出规则依据，因此选择使用机器学习更为科学有效。机器学习能够模拟或实现人类的学习行为，以获取新的知识或技能，重新组织已有的知识结构使之不断改善自身的性能，可以通过大量的历史样本训练出符合信息安全人员思维的自动判定策略。
82.以上所述实施例仅表达了本发明的实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。