一種云工作負(fù)載管理和安全感知系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)論文設(shè)計(jì)

1、摘要隨著信息化的發(fā)展，信息服務(wù)在社會(huì)生活中變得越來越重要，這給人們生產(chǎn)生活帶來巨大便利的同時(shí)也帶來了更大的安全威脅。新型網(wǎng)絡(luò)犯罪層出不窮，尤其示對于信息服務(wù)提供商而言，其帶來的安全隱患可能導(dǎo)致致命的后果。安全管理作為網(wǎng)絡(luò)安全建設(shè)的重要一步，越來越受到重視，對工作負(fù)載的主動(dòng)安全感知能力的要求也越來越高。尤其是隨著虛擬化、云計(jì)算的發(fā)展，工作負(fù)載的概念已經(jīng)從原來的物理機(jī)的概念擴(kuò)展到虛擬機(jī)、容器，對其進(jìn)行安全管理也變得更加的繁瑣。本文以上述問題作為出發(fā)點(diǎn)，設(shè)計(jì)并實(shí)現(xiàn)了一套云工作負(fù)載管理和安全感知系統(tǒng)，用于輔助決策，提高安全防御能力。該系統(tǒng)分為兩個(gè)子系統(tǒng)：采集和處理子系統(tǒng)、安全感知平臺(tái)子系統(tǒng)。前者又可以

2、分為Client端和Manager端，分別負(fù)責(zé)云工作負(fù)載上數(shù)據(jù)的獲取和加工處理，并使用國密SM4加密算法保證兩者之間的通信安全；后者負(fù)責(zé)將加工處理后的數(shù)據(jù)以友好的界面展示給用戶，讓用戶直觀地了解當(dāng)前云工作負(fù)載的基本信息和安全狀況。其中安全狀況由三方面體現(xiàn)：事件警告、文件監(jiān)控及安全基線檢測。本系統(tǒng)使用XML文件實(shí)現(xiàn)了特征規(guī)則和安全基線檢測點(diǎn)的靈活配置，大大提高了系統(tǒng)的擴(kuò)展性。本系統(tǒng)在實(shí)現(xiàn)過程中，嚴(yán)格按照軟件開發(fā)標(biāo)準(zhǔn)流程進(jìn)行，首先通過構(gòu)建需求用例圖對需求進(jìn)行認(rèn)真分析,確認(rèn)系統(tǒng)需要實(shí)現(xiàn)的功能；再對系統(tǒng)整體架構(gòu)及各個(gè)子模塊進(jìn)行概要設(shè)計(jì)，之后采用流程圖、時(shí)序圖的方式對系統(tǒng)進(jìn)行詳細(xì)設(shè)計(jì)并實(shí)現(xiàn)了該系統(tǒng),最后

3、對系統(tǒng)進(jìn)行測試，保證系統(tǒng)正常工作。關(guān)鍵詞：安全感知，特征規(guī)則，安全基線檢測，文件監(jiān)控，安全管理iAbstractWith the development of informatization, information services have become more and more important in social life, which has brought great convenience to peoples production and life and also brought greater security threats. The emergence of new

4、 types of cybercrimes is endless, especially for information service providers, which can lead to fatal consequences for security risks. As an important step in the construction of network security, security management is receiving more and more attention, and the requirements for active security aw

5、areness of workloads are becoming higher and higher. Especially with the development of virtualization and cloud computing, the concept of workload has been extended from the original concept of physical machines to virtual machines and containers, and the security management of it has become more t

6、edious.Based on the above issues, this paper designs and implements a cloud workload management and security awareness system to assist decision-making and improve security defense capabilities. The system is divided into two subsystems: the acquisition and processing subsystem, and the security-awa

7、re platform subsystem. The former can be divided into Client and Manager, which are responsible for data acquisition and processing on cloud workloads, and use the SM4 encryption algorithm to ensure communication security between the two; the latter is responsible for showing, in a friendly way, the

8、 processed data to the user, allowing the user to intuitively understand the basic information and security status of the current cloud workload. The security situation is reflected in three aspects: event warning, file monitoring and security baseline detection. This system uses XML files to achiev

9、e flexible configuration of feature rules and security baseline detection points, which greatly improves the scalability of the system.The system is developed in strict accordance with the standard software development process. First, carefully analyze the requirements by constructing use case diagr

10、am to confirm the functions that the system needs to implement. Then outline the overall architecture of the system and each sub-module. The system is designed and implemented in detail in the manner of diagrams and timing diagrams. Finally, the system is tested to ensure that the system works norma

11、lly.Keywords：security awareness, feature rules, security baseline detection, file monitoring, security management iii目錄摘要iAbstractii圖目錄IV表目錄VI第1章 緒論11.1 課題背景11.2 研究現(xiàn)狀11.3 本文主要工作3第2章 系統(tǒng)需求分析42.1 系統(tǒng)整體需求分析42.2 用戶角色分析42.2.1 普通用戶52.2.2 安全運(yùn)維人員52.2.1 系統(tǒng)管理人員52.3 安全感知平臺(tái)功能性需求分析52.3.1 登陸模塊52.3.2 警告管理62.3.3 文件監(jiān)控

12、管理62.3.4 安全基線管理72.3.5 資產(chǎn)管理72.3.6 客戶端管理82.3.7 系統(tǒng)管理82.4 采集和處理子系統(tǒng)功能性需求分析92.4.1 Client端92.4.2 Manager端92.5 系統(tǒng)非功能性需求分析102.6 本章小結(jié)10第3章 系統(tǒng)概要設(shè)計(jì)113.1 系統(tǒng)總體設(shè)計(jì)113.2 采集和處理子系統(tǒng)概要設(shè)計(jì)123.2.1 系統(tǒng)信息采集133.2.2 文件監(jiān)控133.2.3 日志收集143.2.4 安全基線檢測143.2.5 消息發(fā)送和命令接受143.2.6 注冊143.2.7 消息接受和命令下發(fā)143.2.8 消息處理153.2.9 數(shù)據(jù)存取153.3 安全感知平臺(tái)概要設(shè)

13、計(jì)153.3.1 登陸模塊173.3.2 警告管理173.3.3 文件監(jiān)控管理183.3.4 安全基線管理183.3.5 資產(chǎn)管理183.3.6 客戶端管理183.3.7 系統(tǒng)管理193.1 數(shù)據(jù)庫設(shè)計(jì)193.1.1 數(shù)據(jù)庫概念設(shè)計(jì)193.1.2 數(shù)據(jù)庫物理結(jié)構(gòu)設(shè)計(jì)213.1 本章小結(jié)29第4章 系統(tǒng)詳細(xì)設(shè)計(jì)和實(shí)現(xiàn)304.1 特征規(guī)則匹配實(shí)現(xiàn)304.2 安全檢測點(diǎn)實(shí)現(xiàn)334.3 采集和處理子系統(tǒng)詳細(xì)設(shè)計(jì)和實(shí)現(xiàn)354.3.1 系統(tǒng)信息采集354.3.2 文件監(jiān)控374.3.3 日志收集394.3.4 安全基線檢測404.3.5 消息發(fā)送和命令接受404.3.6 注冊414.3.7 消息接受和命令

14、下發(fā)424.3.8 消息處理434.3.9 數(shù)據(jù)存取464.4 安全感知平臺(tái)詳細(xì)設(shè)計(jì)和實(shí)現(xiàn)474.4.1 登陸模塊474.4.2 警告管理484.4.3 文件監(jiān)控管理494.4.4 安全基線管理494.4.5 資產(chǎn)管理504.4.6 客戶端管理514.4.7 系統(tǒng)管理524.5 本章小結(jié)53第5章 系統(tǒng)測試545.1 測試環(huán)境545.2 功能測試545.2.1 登陸模塊545.2.2 警告管理555.2.3 文件監(jiān)控管理565.2.4 安全基線管理575.2.5 資產(chǎn)管理585.2.6 客戶端管理595.2.7 系統(tǒng)管理605.3 非功能測試615.4 本章小結(jié)62第6章 總結(jié)和展望636.1

15、 全文總結(jié)636.2 問題展望64參考文獻(xiàn)65III圖目錄圖 1.1 信息安全產(chǎn)品矩陣圖2圖 2.1 登陸模塊用例圖6圖 2.2 警告管理用例圖6圖 2.3 文件監(jiān)控管理用例圖7圖 2.4 安全基線管理用例圖7圖 2.5資產(chǎn)管理用例圖8圖 2.6 客戶端管理用例圖8圖 2.7 系統(tǒng)管理用例圖9圖 3.1 系統(tǒng)總體架構(gòu)設(shè)計(jì)圖12圖 3.2 采集和處理子系統(tǒng)架構(gòu)圖13圖 3.3 安全感知平臺(tái)架構(gòu)設(shè)計(jì)16圖 3.4 采集和處理子系統(tǒng)E-R圖20圖 3.5 安全感知平臺(tái)E-R圖21圖 4.1 解析器節(jié)點(diǎn)組織示意圖31圖 4.2 檢測點(diǎn)組織形式33圖 4.3 系統(tǒng)信息采集流程圖36圖 4.4 端口信息采

16、集流程圖37圖 4.5 文件監(jiān)控流程圖38圖 4.6 日志收集流程圖39圖 4.7 安全基線檢測流程圖40圖 4.8 消息發(fā)送和命令接受流程圖41圖 4.9 注冊模塊流程圖42圖 4.10 消息接受和命令下發(fā)43圖 4.11 消息處理模塊流程圖44圖 4.12 事件解析處理流程圖45圖 4.13 數(shù)據(jù)存取模塊流程圖46圖 4.14 登陸模塊功能示意圖47圖 4.15 警告管理時(shí)序圖48圖 4.16 更改檢測模版時(shí)序圖50圖 4.17 資產(chǎn)清點(diǎn)時(shí)序圖51圖 4.18 版本升級時(shí)序圖52圖 4.19 用戶操作記錄時(shí)序圖53表目錄表 3.1 用戶信息表21表 3.2 角色表21表 3.3 角色權(quán)限表

17、22表 3.4 操作記錄表22表 3.5 安全基線檢測項(xiàng)表22表 3.6 文件監(jiān)控表23表 3.7 資產(chǎn)信息表24表 3.8 資產(chǎn)用戶信息表24表 3.9 資產(chǎn)用戶組信息表25表 3.10 端口信息表25表 3.11 通用軟件信息表26表 3.12 內(nèi)核模塊信息表26表 3.13 資產(chǎn)用戶登陸信息表27表 3.14 資產(chǎn)系統(tǒng)用戶操作記錄表28表 3.15 進(jìn)程信息表28表 5.1 登陸模塊功能測試用例表54表 5.2 警告管理功能測試用例表55表 5.3 文件監(jiān)控管理功能測試用例表56表 5.4 安全基線管理功能測試用例表57表 5.5 資產(chǎn)管理模塊功能測試用例表59表 5.6 客戶端管理模塊

18、功能測試用例表59表 5.7 系統(tǒng)管理模塊功能測試用例表61表 5.8 非功能測試用例表61VI第1章 緒論1.1 課題背景互聯(lián)網(wǎng)已經(jīng)滲透到人類社會(huì)的各個(gè)方面，極大地推動(dòng)了社會(huì)進(jìn)步1，成為人們生活日常中不可或缺的一部分。根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息安全中心發(fā)布的第44次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告（下稱統(tǒng)計(jì)報(bào)告），截止2019年6月，我國網(wǎng)民規(guī)模達(dá)8.54億，較2018年底增長2598萬，互聯(lián)網(wǎng)普及率達(dá)61.2%，在線政務(wù)服務(wù)規(guī)模達(dá)5.09億，占網(wǎng)民整體的59.6%2。顯然，網(wǎng)絡(luò)已經(jīng)深入到政府服務(wù)、企業(yè)生產(chǎn)、個(gè)人生活的方方面面，網(wǎng)絡(luò)服務(wù)廠商在社會(huì)中也承擔(dān)越來越重要的角色。但是，網(wǎng)絡(luò)帶來巨大效率和便利的

19、同時(shí)，也帶來了更多的安全隱患。統(tǒng)計(jì)報(bào)告顯示，2019年上半年安全事件頻發(fā)，我國總計(jì)有近4萬個(gè)網(wǎng)站被篡改（包含200多個(gè)政府網(wǎng)站），同時(shí)，有2.6萬個(gè)網(wǎng)站被植入后門，同比增長了1.2倍2。國家信息安全漏洞庫2019年的統(tǒng)計(jì)報(bào)告顯示，截至2019年底，采集漏洞總數(shù)已達(dá)137822個(gè)，下半年月平均增加數(shù)量達(dá)到1660個(gè)3。安全形勢越來越嚴(yán)峻，網(wǎng)絡(luò)攻擊行為發(fā)展趨勢呈現(xiàn)分布化、規(guī)?；蛷?fù)雜化，網(wǎng)絡(luò)威脅表現(xiàn)多樣化4。尤其是移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)等技術(shù)的發(fā)展，工作負(fù)載承擔(dān)的功能越來越復(fù)雜，安全問題也日益突出，目前的安全防御措施已經(jīng)無法滿足工作負(fù)載的安全防護(hù)要求了。另外，隨著虛擬技術(shù)和云計(jì)算技術(shù)的提高，工作負(fù)載的

20、概念已經(jīng)延伸到物理機(jī)、虛擬機(jī)、容器甚至Serverless，安全也不再僅僅是物理機(jī)上的安全，而是要更加關(guān)注于工作負(fù)載的安全。在安全問題如此頻發(fā)、安全形勢如此嚴(yán)峻的網(wǎng)絡(luò)環(huán)境下，對工作負(fù)載進(jìn)行安全管理，及時(shí)感知到其中潛在的不安全事件并做好防范，對網(wǎng)絡(luò)與安全的建設(shè)具有重要意義。1.2 研究現(xiàn)狀安全威脅來自于多方面，例如網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)釣魚、SQL注入、拒絕服務(wù)攻擊、惡意軟件攻擊、跨站腳本攻擊、利用系統(tǒng)安全漏洞以及內(nèi)部用戶的惡意破壞或泄密等5。針對這些安全威脅，可以采取的保護(hù)措施有訪問控制、數(shù)據(jù)加密、防火墻技術(shù)和入侵檢測技術(shù)等。訪問控制一共有兩種：顯式訪問控制和隱式訪問控制。顯示訪問控制是指某個(gè)主體直接

21、控制對其他對象的訪問權(quán)限，比如配置用戶可以訪問的網(wǎng)絡(luò)地址。隱式訪問控制是指信息加密后無法被任何非授權(quán)節(jié)點(diǎn)和用戶訪問6。數(shù)據(jù)加密用于保障信息安全性。使用最廣泛的就是數(shù)字簽名技術(shù)，不僅保證了信息安全性，還保障了數(shù)據(jù)的抗抵賴性。加密方法大體上可以分為對稱性加密和非對稱性加密，區(qū)別在于加密和解密是否使用了同一個(gè)密鑰。典型的對稱性加密算法有AES算法、SM4算法等。典型的非對稱性加密算法有RSA算法。防火墻技術(shù)將網(wǎng)絡(luò)劃分為內(nèi)外和外網(wǎng)，基于提前定義好的安全規(guī)則，一定程度上限制內(nèi)、外網(wǎng)之間的交流。目前，常見的防火墻包括代理型防火墻和包過濾型防火墻7，兩者各有優(yōu)勢和特點(diǎn)。代理型防火墻用于OSI的應(yīng)用層中，對應(yīng)

22、用層通信流進(jìn)行監(jiān)視和控制，進(jìn)而達(dá)到確保網(wǎng)絡(luò)安全的目的。包過濾型防火墻用于OSI網(wǎng)絡(luò)層和數(shù)據(jù)傳輸層，其能夠按照相關(guān)標(biāo)志確定是否允許數(shù)據(jù)包通過，如端口號、網(wǎng)絡(luò)通信協(xié)議類型以及目的地址等8。入侵檢測系統(tǒng)（Instruction Dectection System，IDS）既可以用來檢測已知攻擊，也可以用來發(fā)現(xiàn)未知威脅9。它負(fù)責(zé)監(jiān)控與檢測應(yīng)用、系統(tǒng)和用戶的行為，如果發(fā)現(xiàn)某些行為具有安全威脅，如刪除關(guān)鍵文件等，則會(huì)產(chǎn)生警告，幫助安全運(yùn)維人員采取有效措施。針對安全威脅，國內(nèi)外的安全廠商也推出了應(yīng)對各種場景的、種類繁多的安全產(chǎn)品。按照信息安全事件的生命周期，安全過程分為四個(gè)階段，分別是：信息資產(chǎn)的風(fēng)險(xiǎn)分析、

23、安全事件事前預(yù)防、安全事件事中檢測以及安全事件事后響應(yīng)10。這些安全產(chǎn)品都是從這四個(gè)階段入手的，信息安全產(chǎn)品矩陣如圖 1.1所示。圖 1.1 信息安全產(chǎn)品矩陣圖1.3 本文主要工作基于上述課題背景和研究現(xiàn)狀，從自身安全入手，設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)云工作負(fù)載管理和安全感知系統(tǒng)，該系統(tǒng)提供對云工作負(fù)載的集中管理功能，展示云工作負(fù)載的基本信息，讓用戶直觀的了解到云工作負(fù)載的當(dāng)前狀態(tài)；另外也具有對云工作負(fù)載的安全感知能力，包括事件警告、關(guān)鍵文件監(jiān)控及安全基線檢測。系統(tǒng)主要通過對云工作負(fù)載的定期掃描獲取到系統(tǒng)相關(guān)信息（包括日志、系統(tǒng)文件等），再對信息進(jìn)行解析和特特征規(guī)則匹配得到對應(yīng)的事件警告，用戶通過事件警告

24、快速了解系統(tǒng)安全情況。為實(shí)現(xiàn)云工作負(fù)載管理和安全感知系統(tǒng)，本文做了以下工作：（1）結(jié)合用戶角色進(jìn)行分析，確定需求的范圍，再對需求進(jìn)行整理，明確該系統(tǒng)的功能性需求和非功能性需求。（2）根據(jù)上述需求分析，對系統(tǒng)進(jìn)行概要設(shè)計(jì)，包括架構(gòu)設(shè)計(jì)和功能模塊概要設(shè)計(jì)。再根據(jù)系統(tǒng)概要設(shè)計(jì)，對數(shù)據(jù)庫進(jìn)行概念設(shè)計(jì)，并繪制E-R圖，之后進(jìn)一步設(shè)計(jì)數(shù)據(jù)庫表的物理存儲(chǔ)結(jié)構(gòu)。（3）再系統(tǒng)需求分析和系統(tǒng)概要設(shè)計(jì)的基礎(chǔ)上，對系統(tǒng)各個(gè)功能模塊進(jìn)行詳細(xì)設(shè)計(jì)并實(shí)現(xiàn)系統(tǒng)。（4）對系統(tǒng)進(jìn)行測試，包括功能性測試和非功能性測試，保證系統(tǒng)的可用性，為系統(tǒng)上線做準(zhǔn)備。（5）對全文進(jìn)行了總結(jié)和展望，提出了項(xiàng)目特點(diǎn)及不足，并在后續(xù)開發(fā)中不斷完善。3

25、第2章 系統(tǒng)需求分析需求分析是軟件計(jì)劃階段的重要環(huán)節(jié)，可以清晰指出系統(tǒng)必須要實(shí)現(xiàn)并提供哪些功能，從而確定系統(tǒng)功能模塊該如何劃分、任務(wù)該如何分配。此外，系統(tǒng)的非功能性需求也是需求分析的目標(biāo)，比如安全性、可靠性、系統(tǒng)性能等。本章首先從系統(tǒng)整體需求分析入手，明確子系統(tǒng)的劃分，再通過分析用戶角色明確用戶角色分類，整理出各個(gè)用戶角色的需求，再根據(jù)整理結(jié)果對子系統(tǒng)的功能性模塊進(jìn)行劃分，并通過用例圖的方式對各功能模塊需求進(jìn)行詳細(xì)闡述1112，進(jìn)一步明確項(xiàng)目目標(biāo)。最后，分析該系統(tǒng)的非功能性需求。2.1 系統(tǒng)整體需求分析本系統(tǒng)的目標(biāo)是向用戶提供對云工作負(fù)載的統(tǒng)一管理及安全感知能力，面向的是客戶是已經(jīng)擁有一定數(shù)量

26、的云工作負(fù)載，但還缺乏對云工作負(fù)載統(tǒng)一管理或安全感知能力的系統(tǒng)。所以，該系統(tǒng)需要向客戶提供一個(gè)云工作負(fù)載統(tǒng)一管理平臺(tái)。通過該平臺(tái)，客戶就可以把所有對云工作負(fù)載零碎的管理操作都轉(zhuǎn)移到對單一平臺(tái)的管理操作了，極大的減小了客戶的工作量，大大提高了管理的效率。當(dāng)然，該統(tǒng)一管理平臺(tái)不只具備管理功能，還需要提供安全感知的功能，能夠?qū)⒁呀?jīng)發(fā)生的或可能發(fā)生的威脅以合適的形式進(jìn)行展示，讓客戶輕松了解云工作負(fù)載當(dāng)前的安全狀況，安全感知能力由三部分組成：警告管理、文件監(jiān)控、安全基線管理。該統(tǒng)一管理及安全感知平臺(tái)（以下簡稱安全感知平臺(tái)）只負(fù)責(zé)展示和用戶交互，并不負(fù)責(zé)云工作負(fù)載的數(shù)據(jù)采集和處理，所以除了安全感知平臺(tái)以外

27、，該系統(tǒng)還需要提供采集和處理子系統(tǒng)，專門負(fù)責(zé)采集數(shù)據(jù)、處理數(shù)據(jù)、存儲(chǔ)數(shù)據(jù)、接受命令及執(zhí)行命令。綜上，該系統(tǒng)可以分為兩個(gè)相對獨(dú)立的子系統(tǒng)：采集和處理子系統(tǒng)、安全感知平臺(tái)子系統(tǒng)。前者專注于數(shù)據(jù)獲取并執(zhí)行命令，后者專注于數(shù)據(jù)展示和下發(fā)命令。2.2 用戶角色分析根據(jù)產(chǎn)品特點(diǎn)和現(xiàn)實(shí)需求，安全感知平臺(tái)的用戶角色可以分為三大類：系統(tǒng)管理人員、安全運(yùn)維人員以及普通用戶。不同的角色權(quán)限不同，以避免一些可預(yù)見的安全威脅，保證系統(tǒng)運(yùn)行的安全性。2.2.1 普通用戶普通用戶角色是整個(gè)平臺(tái)中擁有權(quán)限最少的用戶角色，不擁有任何修改系統(tǒng)配置、云工作負(fù)載配置的權(quán)限。作為一個(gè)普通用戶，可以登陸到平臺(tái)并瀏覽可視化信息的內(nèi)容，包括

28、資產(chǎn)信息、警告信息、文件監(jiān)控信息及安全基線信息。另外，普通用戶可以根據(jù)自身需要，針對日期、關(guān)鍵字等字段對展示的信息進(jìn)行篩選，以便查看關(guān)鍵信息。最后，普通用戶角色還擁有個(gè)人信息維護(hù)的需求，可根據(jù)需要修改個(gè)人信息、密碼等。2.2.2 安全運(yùn)維人員安全運(yùn)維人員是該平臺(tái)中最核心的用戶角色，主要負(fù)責(zé)安全管理和云工作負(fù)載運(yùn)維的相關(guān)工作。作為一名安全運(yùn)維人員，除擁有普通用戶角色的所有權(quán)限外，還可以管理客戶端和安全基線，變更當(dāng)前運(yùn)行策略。2.2.1 系統(tǒng)管理人員這里的系統(tǒng)管理主要是針對該安全感知平臺(tái)的。系統(tǒng)管理人員除擁有安全運(yùn)維人員所有的權(quán)限外，還擁有系統(tǒng)管理的權(quán)限。2.3 安全感知平臺(tái)功能性需求分析基于以上

29、對各個(gè)用戶角色的需求分析，可以將整個(gè)安全感知平臺(tái)功能劃分為以下幾大功能模塊：登陸模塊、警告管理、文件監(jiān)控管理、安全基線管理、資產(chǎn)管理、客戶端管理、系統(tǒng)管理。有些功能模塊又可以進(jìn)一步劃分為多個(gè)子功能模塊，下文將逐一詳細(xì)介紹。2.3.1 登陸模塊該模塊作為安全校驗(yàn)的第一步，用于驗(yàn)證用戶身份，判斷用戶是否有權(quán)限登陸平臺(tái)，以避免無關(guān)人員對平臺(tái)進(jìn)行操作。由于該平臺(tái)僅面向客戶內(nèi)部使用，所以不提供注冊功能，新用戶只能通過系統(tǒng)管理人員在系統(tǒng)管理模塊中添加。登陸模塊用例圖如圖 2.1所示。圖 2.1 登陸模塊用例圖2.3.2 警告管理所有用戶都可以進(jìn)入該模塊。警告管理用于向用戶展示當(dāng)前系統(tǒng)中所有的警告，包括警告

30、概覽頁和警告詳情，直觀反映了系統(tǒng)的安全狀態(tài)。另外，用戶也可以在當(dāng)前頁面搜索，概覽頁也會(huì)隨著搜索的結(jié)果有所變化。警告管理用例圖如圖 2.2所示。圖 2.2 警告管理用例圖2.3.3 文件監(jiān)控管理所有用戶都可以進(jìn)入該模塊。文件監(jiān)控用于向用戶展示所有云工作負(fù)載中關(guān)鍵文件的總體安全情況，會(huì)以概覽頁和詳情頁的形式呈現(xiàn)。另外，用戶也可以在概覽頁下進(jìn)行搜索。文件監(jiān)控用例圖如圖 2.3所示。圖 2.3 文件監(jiān)控管理用例圖2.3.4 安全基線管理安全基線管理用于反映云工作負(fù)載基于某安全基線配置的檢測結(jié)果，一定程度上反映了云工作負(fù)載的安全狀況。另外用戶也可以搜索，以快速獲取某個(gè)云工作負(fù)載的安全基線檢測結(jié)果。所有用

31、戶都可以訪問安全基線信息，但只有安全運(yùn)維人員和系統(tǒng)管理員有權(quán)限更改安全基線模板配置和下發(fā)檢測任務(wù)。安全基線管理用例圖如圖 2.4所示。圖 2.4 安全基線管理用例圖2.3.5 資產(chǎn)管理所有用戶都可以訪問該模塊。資產(chǎn)即云工作負(fù)載，資產(chǎn)管理可以分為資產(chǎn)概覽、資產(chǎn)詳情和資產(chǎn)搜索。資產(chǎn)詳情又分為硬件信息，用戶及用戶組信息、端口信息，進(jìn)程信息，通用軟件信息，內(nèi)核模塊信息以及用戶操作記錄。資產(chǎn)管理用例圖如圖 2.5所示。圖 2.5資產(chǎn)管理用例圖2.3.6 客戶端管理該模塊只有安全運(yùn)維人員和系統(tǒng)管理員能夠訪問。用戶可以在這個(gè)模塊對客戶端進(jìn)行升級、更改客戶端的運(yùn)行策略以及向客戶端下發(fā)任務(wù)，所以該模塊可以分為版

32、本管理、策略管理、檢測模版管理和快速任務(wù)。登陸模塊用例圖如圖 2.6所示。圖 2.6 客戶端管理用例圖2.3.7 系統(tǒng)管理系統(tǒng)管理模塊主要是為系統(tǒng)管理員提供的，可以分為個(gè)人信息維護(hù)，用戶管理，角色權(quán)限管理，操作日志審計(jì)四大功能。其中只有個(gè)人信息維護(hù)是普通用戶和安全運(yùn)維人員能夠訪問的。用戶管理又可以分為用戶新增、刪除、啟用、停用以及用戶信息管理。操作日志是指所有用戶在安全感知平臺(tái)上的登陸和操作記錄。系統(tǒng)管理用例圖如圖 2.7所示。圖 2.7 系統(tǒng)管理用例圖2.4 采集和處理子系統(tǒng)功能性需求分析該子系統(tǒng)負(fù)責(zé)云工作負(fù)載的數(shù)據(jù)采集和處理，并將處理后的數(shù)據(jù)存儲(chǔ)到數(shù)據(jù)庫。為降低對原先業(yè)務(wù)的影響，該子系統(tǒng)可

33、以拆分為Client端和Manager端，這樣只用在云工作負(fù)載上面部署性能消耗較小的Client端即可。下文將逐一詳細(xì)介紹。2.4.1 Client端Client端只負(fù)責(zé)數(shù)據(jù)采集、數(shù)據(jù)發(fā)送以及執(zhí)行用戶下發(fā)的命令。具體來說，可以分為系統(tǒng)信息采集、文件監(jiān)控、日志收集、安全基線檢測、消息發(fā)送及命令執(zhí)行功能。系統(tǒng)信息采集負(fù)責(zé)云工作負(fù)載的系統(tǒng)相關(guān)信息的采集，包括硬件信息，用戶及用戶組信息、端口信息，進(jìn)程信息，通用軟件信息，內(nèi)核模塊信息以及用戶操作記錄。文件監(jiān)控負(fù)責(zé)監(jiān)控關(guān)鍵文件，當(dāng)發(fā)現(xiàn)文件發(fā)生變化時(shí)產(chǎn)成消息，高出警告。安全基線檢測負(fù)責(zé)從XML中讀取安全檢測點(diǎn)，再依次進(jìn)行檢測并將結(jié)果拼接成規(guī)定的消息格式發(fā)送

34、給Manager端。消息發(fā)送和命令執(zhí)行模塊專門負(fù)責(zé)轉(zhuǎn)發(fā)Client端其他進(jìn)程的消息以及接受Manager端發(fā)送過來的命令消息并執(zhí)行。2.4.2 Manager端Manager端負(fù)責(zé)消息接受、命令下發(fā)、消息處理和數(shù)據(jù)存取。Manager端也需要監(jiān)控自己的工作負(fù)載，所以Manager端的工作負(fù)載也需要安裝Client端。另外，為了提高Client端和Manager端之間通信的安全性，需要對消息進(jìn)行加密，所以需要一個(gè)注冊功能來幫忙實(shí)現(xiàn)key的分發(fā)了，只有注冊過的Client端才能跟Manager端通信，否則接受到的數(shù)據(jù)會(huì)被直接拋棄。2.5 系統(tǒng)非功能性需求分析非功能性需求分析也是系統(tǒng)需求分析的重要組

35、成部分，它能夠保證為用戶提供更好的使用體驗(yàn)13，也需要開發(fā)人員重點(diǎn)關(guān)注。就該云工作負(fù)載管理和安全感知系統(tǒng)而言，由于特殊的功能特點(diǎn)，對系統(tǒng)性非功能性需求的要求也很高。本文接下來從一下幾個(gè)方面詳細(xì)闡述：正確性、健壯性、安全性、易用性、兼容性。正確性：系統(tǒng)子系統(tǒng)能夠正常運(yùn)行，各個(gè)子系統(tǒng)的功能模塊能夠正常提供服務(wù)，為用戶展示正確的信息，提供正常的服務(wù)。夠在99.9%情況下，提供7*24小時(shí)的不間斷服務(wù)。健壯性：系統(tǒng)能夠分辨不合法的輸入及不合法的消息格式并進(jìn)行正確處理，能夠正確打印日志提供相關(guān)信息，擁有一定的容錯(cuò)能力，在遇到異常情況時(shí)還能夠正常運(yùn)行，而不是直接導(dǎo)致系統(tǒng)的崩潰。安全性：安全性是本系統(tǒng)必須提

36、供的。由于整個(gè)系統(tǒng)需要在每個(gè)云工作負(fù)載上面部署Client端，客戶端和服務(wù)端之間通信安全是首先需要考慮的，就需要一定的安全手段來保障消息安全。平臺(tái)的訪問也需要經(jīng)過用戶名、密碼的認(rèn)證，密碼需要以密文的形式存儲(chǔ)。對用戶的權(quán)限加以限制，避免用戶的非法操作。易用性：安全感知平臺(tái)子系統(tǒng)基于B/S架構(gòu)，用戶只需要通過瀏覽器就可以訪問系統(tǒng)。此外，開發(fā)人員會(huì)提供用戶操作必要的幫助，比如用戶手冊。對于部署在云工作負(fù)載上部署的Client端和Manager端，都可以通過平臺(tái)進(jìn)行統(tǒng)一管理、一鍵升級，大大提高了可操作性。兼容性：安全感知平臺(tái)子系統(tǒng)要能夠兼容多種環(huán)境，比如谷歌瀏覽器、火狐瀏覽器以及IE9.0以上版本等主

37、流瀏覽器。采集和處理子系統(tǒng)要能夠兼容CentOS7以上的版本。2.6 本章小結(jié)本章主要對系統(tǒng)總體進(jìn)行了分析，將系統(tǒng)分為兩大子系統(tǒng)：安全感知平臺(tái)子系統(tǒng)、采集和處理子系統(tǒng)。再從用戶角色分析入手，詳細(xì)闡述了用戶角色的需求。然后對子系統(tǒng)各功能模塊的需求進(jìn)行詳細(xì)分析，最后對系統(tǒng)非功能性需求進(jìn)行了具體闡述。為后續(xù)系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)工作奠定了基礎(chǔ)。11第3章 系統(tǒng)概要設(shè)計(jì)系統(tǒng)設(shè)計(jì)作為軟件工程過程中的一個(gè)重要環(huán)節(jié)，定義了系統(tǒng)要素之間的關(guān)系。系統(tǒng)要素包括：系統(tǒng)架構(gòu)、模塊、組件以及數(shù)據(jù)在各個(gè)組件之間的傳輸方式等。在正式進(jìn)入系統(tǒng)開發(fā)之前，可以通過系統(tǒng)的概要設(shè)計(jì)充分論證系統(tǒng)的組件功能和組件之間聯(lián)系，有助于開發(fā)人員工作的分

38、配和推進(jìn)。此外，系統(tǒng)設(shè)計(jì)也能夠在一定程度上避免因邊界認(rèn)識不清晰等造成的工程延期，甚至工程失敗。本章將根據(jù)上一章需求分析的結(jié)果，從系統(tǒng)總體設(shè)計(jì)出發(fā)，再以從底至頂?shù)捻樞驅(qū)Σ杉吞幚碜酉到y(tǒng)及安全感知平臺(tái)子系統(tǒng)進(jìn)行概要設(shè)計(jì)，描述各個(gè)功能模塊的主要設(shè)計(jì)思路和模塊間的關(guān)聯(lián)等內(nèi)容。3.1 系統(tǒng)總體設(shè)計(jì)由上述需求分析可知，本系統(tǒng)可以分為兩大子系統(tǒng)：采集和處理子系統(tǒng)、安全感知平臺(tái)子系統(tǒng)。采集和處理子系統(tǒng)又可以分為Client端和Manager端，Client端部署在需要管理的云工作負(fù)載上，負(fù)責(zé)采集數(shù)據(jù)、收集日志、校驗(yàn)文件以及執(zhí)行安全基線檢測，再把結(jié)果轉(zhuǎn)發(fā)給Manager端，由Manager負(fù)責(zé)解析、處理消息，并

39、處理完的消息存儲(chǔ)到MySQL數(shù)據(jù)庫或ElasticSearch搜索引擎。安全感知平臺(tái)子系統(tǒng)負(fù)責(zé)從MySQL數(shù)據(jù)庫和ElasticSearch中讀取數(shù)據(jù)，并以合理的方式展示給用戶，同時(shí)接受用戶的操作命令，并轉(zhuǎn)發(fā)給Manager端，再由Manager端轉(zhuǎn)發(fā)給對應(yīng)Client端來執(zhí)行。系統(tǒng)總體架構(gòu)設(shè)計(jì)如圖 3.1所示。圖 3.1 系統(tǒng)總體架構(gòu)設(shè)計(jì)圖3.2 采集和處理子系統(tǒng)概要設(shè)計(jì)采集和處理子系統(tǒng)是本系統(tǒng)的基礎(chǔ)，所有展示的數(shù)據(jù)都是該子系統(tǒng)處理后的結(jié)果?？紤]到該子系統(tǒng)跟系統(tǒng)的交互比較頻繁，而且對性能要求比較高，采用C語言作為開發(fā)語言進(jìn)行設(shè)計(jì)開發(fā)。同時(shí)為了保證健壯性和并發(fā)性，該子系統(tǒng)將會(huì)采取每個(gè)功能模塊單

40、獨(dú)一個(gè)進(jìn)程的設(shè)計(jì)，總共可以分為系統(tǒng)信息采集、文件監(jiān)控、日志收集、安全基線檢測、消息發(fā)送和命令接受、注冊、消息接受和命令下發(fā)、消息處理及數(shù)據(jù)存取九大模塊。本機(jī)進(jìn)程之間通信使用域套接字（Unix Domain Socket，以下簡稱UDS），Client端和Manager端之間通信使用網(wǎng)絡(luò)套接字（Socket），并通過SM4算法保證通信安全。SM4算法是我國自主設(shè)計(jì)的對稱性加密算法，具有加解密速度快，使用簡單，安全性高等特點(diǎn)14。SM4該子系統(tǒng)架構(gòu)圖如圖 3.2所示。圖 3.2 采集和處理子系統(tǒng)架構(gòu)圖3.2.1 系統(tǒng)信息采集該功能模塊用于周期性采集系統(tǒng)信息。根據(jù)需求分析可知，需要收集的系統(tǒng)信息包括

41、硬件信息，用戶及用戶組信息、端口信息，進(jìn)程信息，通用軟件信息，內(nèi)核模塊信息以及用戶操作記錄。進(jìn)程通過讀取系統(tǒng)文件等方式采集到系統(tǒng)信息后，通過UDS交給消息發(fā)送模塊，再由消息發(fā)送模塊轉(zhuǎn)發(fā)給Manager端處理。同時(shí)，也給用戶提供了簡單易懂的配置選項(xiàng)，用戶可以通過修改配置文件來決定信息采集是否開啟，以及信息采集的周期大小。3.2.2 文件監(jiān)控文件監(jiān)控模塊用于周期性監(jiān)控關(guān)鍵文件的屬性和內(nèi)容，一旦發(fā)現(xiàn)被監(jiān)控的文件屬性或內(nèi)容發(fā)生變化，就會(huì)產(chǎn)生文件變更的消息，并轉(zhuǎn)發(fā)給消息發(fā)送模塊。監(jiān)控的文件屬性有：文件名、文件權(quán)限、文件擁有者、文件所屬組、文件大小，最后一次修改日期，以及文件內(nèi)容摘要。文件內(nèi)容摘要采用SH

42、A256摘要算法產(chǎn)生。跟信息采集一樣，也向用戶提供了可配置選項(xiàng)：用戶可以通過修改配置項(xiàng)來增加或刪除需要監(jiān)控的文件或文件夾；如果不想監(jiān)控某個(gè)文件或文件夾，也可以配置成忽略；對于敏感文件也可以配置成只監(jiān)控文件是否存在，而不去比對文件內(nèi)容；文件監(jiān)控的周期大小也可以自己設(shè)定。每一輪文件監(jiān)控都需要跟上一次的掃描結(jié)果進(jìn)行比對，所以在運(yùn)行中需要記錄上一次的掃描結(jié)果。本模塊通過Hash表來記錄每個(gè)文件的掃描結(jié)果，key為文件名，value為文件node，文件監(jiān)控操作就轉(zhuǎn)化為對Hash表的操作了。3.2.3 日志收集日志收集模塊負(fù)責(zé)持續(xù)不斷地根據(jù)日志類型采集特定日志文件，然后轉(zhuǎn)發(fā)給消息發(fā)送模塊。每一條日志消息都

43、可以理解為一個(gè)事件，該模塊在采集過程中會(huì)在消息頭添加日志類型，拼接被拆分多行的日志等，組織成Manager能理解的格式。本模塊支持多種日志類型的采集，包括系統(tǒng)日志和應(yīng)用日志，用戶可以根據(jù)需要在配置文件中指定收集的日志文件路徑和日志類型。3.2.4 安全基線檢測安全基線檢測可以分為系統(tǒng)安全基線檢測和應(yīng)用安全基線檢測。該功能模塊周期性執(zhí)行系統(tǒng)安全基線檢測，并根據(jù)用戶需要執(zhí)行應(yīng)用安全基線檢測。由于應(yīng)用安全基線檢測可能需要用戶提供賬號和密碼（比如MySQL，部分檢測點(diǎn)需要登陸到MySQL才能獲取檢測值），所以為了安全性考慮，無法保障其周期性檢測。另外，用戶可以自定義系統(tǒng)安全基線檢測的周期大小，以及更改

44、檢測模版，實(shí)現(xiàn)定制化檢測。3.2.5 消息發(fā)送和命令接受該功能模塊負(fù)責(zé)轉(zhuǎn)發(fā)其他進(jìn)程的消息給Manager端，同時(shí)也接受Manager端的命令并執(zhí)行命令。這樣可以讓其他功能模塊只關(guān)注于業(yè)務(wù)邏輯的實(shí)現(xiàn)，而不用考慮消息的發(fā)送，降低各模塊之間的耦合，同時(shí)保證只有一個(gè)進(jìn)程跟外界通信，提高了Client端的整體安全性，并大大減輕Manager端的連接壓力，提高服務(wù)能力。另外，該功能模塊還負(fù)責(zé)消息發(fā)送前的壓縮、加密及消息接受后的解密、解壓，提高通信的性能和安全性。3.2.6 注冊注冊模塊負(fù)責(zé)Client端到Manager端的注冊請求。Client端在注冊時(shí)通過密碼驗(yàn)證客戶端的合法性，通過驗(yàn)證后Client發(fā)

45、送合法的注冊請求來完成注冊，之后該Client會(huì)接受到專有key，用于消息的加解密。3.2.7 消息接受和命令下發(fā)該功能模塊負(fù)責(zé)對接消息發(fā)送和命令接受模塊，Client端和Manager端之間的交互就是基于這兩個(gè)模塊之間的通信。Manager端使用Epoll機(jī)制來監(jiān)聽所有連接。Epoll是Linux下多路復(fù)用I/O的一種實(shí)現(xiàn)，極大提高了服務(wù)器資源利用率和服務(wù)能力15。同時(shí)，該模塊在下發(fā)命令前會(huì)對消息進(jìn)行壓縮、加密，在接受消息后會(huì)對其進(jìn)行解密、解壓，提高通信的性能和安全性。3.2.8 消息處理該模塊用于處理Client端發(fā)送過來的事件消息，執(zhí)行對應(yīng)的處理邏輯。由于涉及到的消息類型眾多，可以先將消

46、息進(jìn)行分發(fā)，交給對應(yīng)的處理邏輯進(jìn)行處理，處理完之后再根據(jù)需要交給警告寫入線程處理或數(shù)據(jù)存取模塊處理。因此該模塊分為以下幾種處理邏輯：消息分發(fā)處理，系統(tǒng)信息處理，文件監(jiān)控處理，事件解析處理，事件特征匹配處理及警告寫入處理。對于該功能模塊而言，不同處理邏輯可以使用不同線程實(shí)現(xiàn)，各線程之間通過線程安全的消息隊(duì)列進(jìn)行通信。用戶可以根據(jù)需要自定義特征規(guī)則及規(guī)則等級，讓系統(tǒng)產(chǎn)生更符合用需求的警告信息。3.2.9 數(shù)據(jù)存取該模塊負(fù)責(zé)接受和處理Manager端其他模塊對數(shù)據(jù)庫的操作請求。因?yàn)槠渌M(jìn)程在請求數(shù)據(jù)庫操作的同時(shí)也希望獲取結(jié)果數(shù)據(jù)，所以這里可以采用基于SOCK_STREAM協(xié)議的UDS通信方式，它可以

47、提供有序可靠的雙向連接，便于其他進(jìn)程接收數(shù)據(jù)庫操作結(jié)果。同時(shí)，為了減少連接資源的消耗，采用Epoll機(jī)制來監(jiān)聽所有的UDS連接，并使用連接池維護(hù)與MySQL的連接。此外，用戶也可以通過配置文件來配置該模塊的工作線程數(shù)和數(shù)據(jù)庫連接池大小。3.3 安全感知平臺(tái)概要設(shè)計(jì)安全感知平臺(tái)采用的是標(biāo)準(zhǔn)的B/S（Browser/Server）架構(gòu)設(shè)計(jì)模式。采用這種設(shè)計(jì)模式有很多優(yōu)點(diǎn)。對于開發(fā)者來說，采用B/S有部署簡單、不依賴特殊環(huán)境、跨平臺(tái)等優(yōu)點(diǎn)16，是當(dāng)前開發(fā)的主流選擇。對于使用者來說，只需通過一個(gè)瀏覽器就可以快速訪問平臺(tái)的資源，而不再需要安裝客戶端軟件甚至其他依賴的程序，大大提高了用戶的可用性；而且使用

48、者也不用考慮客戶端的更新問題。該平臺(tái)選用Java作為后端開發(fā)語言，使用SpringBoot+MyBatis框架進(jìn)行開發(fā)，采用表現(xiàn)層、業(yè)務(wù)層和持久層組成的三層架構(gòu)模式。SpringBoot是一個(gè)用以簡化Spring 開發(fā)的框架，采用“約定大于配置”的原則，整合了很多優(yōu)秀的框架，能快速生成一個(gè)企業(yè)級的Spring應(yīng)用項(xiàng)目1718。MyBatis 封裝了系統(tǒng)與數(shù)據(jù)庫的連接、校驗(yàn)、操作實(shí)現(xiàn)等底層代碼的實(shí)現(xiàn), 使得用戶可以使用XML配置或者 MyBatis 注解完成對MySQL的基本操作1920。前端則選用React框架簡化開發(fā)，實(shí)現(xiàn)樣式統(tǒng)一、界面優(yōu)美的頁面布局。底層存儲(chǔ)采用了MySQL，同時(shí)還部署了E

49、lasticSearch用于警告存儲(chǔ)和搜索服務(wù)。ElasticSearch 是一個(gè)分布式、高擴(kuò)展、高實(shí)時(shí)的搜索與數(shù)據(jù)分析引擎，它能很方便的使大量數(shù)據(jù)具有搜索、分析和探索的能力21。平臺(tái)整體設(shè)計(jì)如圖 3.3所示：圖 3.3 安全感知平臺(tái)架構(gòu)設(shè)計(jì)（1）表現(xiàn)層表現(xiàn)層主要功能是接受用戶請求，并根據(jù)用戶請求調(diào)用合適的服務(wù)層接口，等業(yè)務(wù)層的處理邏輯完成后再將最終的結(jié)果返回，交由瀏覽器中展示給用戶。表現(xiàn)層通常采用模型視圖控制器（MVC）模式2223進(jìn)行設(shè)計(jì)。采用這種模式設(shè)計(jì)的好處有以下幾點(diǎn)：可以讓這三者各司其職，互不干擾，這樣如果某一層發(fā)生變化，就只需要修改對應(yīng)層中的代碼而不會(huì)影響到其他層了；有利于開發(fā)中的

50、分工，實(shí)現(xiàn)前后端分離，大大提高開發(fā)效率；有利于組件的重用。（2）服務(wù)層服務(wù)層主要功能是提供Restful接口供表現(xiàn)層調(diào)用。服務(wù)層又可以根據(jù)需要分為控制層、業(yè)務(wù)層和數(shù)據(jù)訪問層?？刂茖樱–ontroller）的職能是負(fù)責(zé)請求轉(zhuǎn)發(fā)、接受表現(xiàn)層的數(shù)據(jù)、調(diào)用業(yè)務(wù)層的方法，并最終將結(jié)果返回給表現(xiàn)層；業(yè)務(wù)層（Service）是根據(jù)系統(tǒng)的實(shí)際業(yè)務(wù)需求進(jìn)行邏輯代碼的編寫，有些業(yè)務(wù)邏輯需要通過與數(shù)據(jù)庫交互的，則業(yè)務(wù)邏輯層需要調(diào)用數(shù)據(jù)訪問層的相關(guān)方法實(shí)現(xiàn)與數(shù)據(jù)庫的交互，對于一些不需要與數(shù)據(jù)庫進(jìn)行交互的，則直接編寫業(yè)務(wù)代碼，將執(zhí)行結(jié)果反饋給控制層即可；數(shù)據(jù)訪問層（Dao）只負(fù)責(zé)與數(shù)據(jù)庫的數(shù)據(jù)交互，進(jìn)行數(shù)據(jù)存取操作。（

51、3）持久層持久層主要是指數(shù)據(jù)的持久化存儲(chǔ)，一般采用數(shù)據(jù)庫來存儲(chǔ)，本平臺(tái)采用了MySQL作為持久層的實(shí)現(xiàn)。ES雖然也可以用于數(shù)據(jù)的持久化存儲(chǔ)，但跟數(shù)據(jù)庫的區(qū)別是，ES對不會(huì)再修改的數(shù)據(jù)更友好，更適用于搜索，所以特別適合日志的存儲(chǔ)和搜索；而MySQL數(shù)據(jù)的最大優(yōu)點(diǎn)是支持事務(wù)，具備ACID四大特征：原子性、一致性、隔離性和持久性?；谏弦徽碌男枨蠓治?，安全感知平臺(tái)可以分為登錄模塊、警告管理、文件監(jiān)控管理、安全基線管理、資產(chǎn)管理、客戶端管理、系統(tǒng)管理幾大模塊，以下依次介紹各功能模塊的設(shè)計(jì)。3.3.1 登陸模塊該模塊就是提供了最基本的賬號密碼校驗(yàn)功能，用于校驗(yàn)當(dāng)前用戶是否有資格登陸系統(tǒng)，以及根據(jù)當(dāng)前登陸

52、的用戶角色展示相應(yīng)的菜單欄。該模塊結(jié)合Shiro框架實(shí)現(xiàn)。Shiro 是 apache 旗下一個(gè)開源安全框架，它將軟件系統(tǒng)的安全認(rèn)證相關(guān)的功能抽取出來，實(shí)現(xiàn)用戶身份認(rèn)證，權(quán)限授權(quán)、加密、會(huì)話管理等功能，組成了一個(gè)通用的安全認(rèn)證框架24。3.3.2 警告管理該模塊負(fù)責(zé)從ES獲取警告信息并向用戶展示，警告的產(chǎn)生是由采集和處理子系統(tǒng)負(fù)責(zé)。該模塊會(huì)從多角度多方位展示當(dāng)前的安全警告情形，展示的可視化信息包括：警告總數(shù)、警告等級分布、警告隨時(shí)間分布、警告類型Top5和警告來源Top5。用戶點(diǎn)擊相應(yīng)的圖表就可以跳轉(zhuǎn)到警告詳情頁。如果用戶登陸后首次打開警告管理，這些統(tǒng)計(jì)會(huì)基于某個(gè)默認(rèn)的時(shí)間區(qū)間（比如說當(dāng)天）進(jìn)

53、行統(tǒng)計(jì)計(jì)算。警告管理也要提供搜索功能，包括關(guān)鍵字和日期區(qū)間搜索。搜索后，這些可視化信息也會(huì)隨著搜索條件變化。3.3.3 文件監(jiān)控管理該模塊負(fù)責(zé)展示文件監(jiān)控行為的結(jié)果。跟警告管理類似，該模塊會(huì)從多個(gè)角度展示當(dāng)前關(guān)鍵文件監(jiān)控的結(jié)果，包括文件操作行為次數(shù)隨時(shí)間的變化，文件操作行為來源Top5，用戶操作行為次數(shù)Top5以及文件操作類型統(tǒng)計(jì)。同時(shí)也支持向下鉆取文件監(jiān)控詳情信息的功能和搜索功能。3.3.4 安全基線管理該模塊負(fù)責(zé)以可視化的形式展示安全基線檢測結(jié)果，可以分為檢測概覽頁，檢測命令下發(fā)和更改檢測模板三個(gè)子功能模塊。檢測概覽頁展示上一次檢測的結(jié)果，包括檢測通過率及每一項(xiàng)檢測點(diǎn)的檢測結(jié)果，比如檢測項(xiàng)

54、名、結(jié)果描述、是否通過等。檢測命令下發(fā)向用戶提供立即執(zhí)行安全基線檢測的接口，尤其是對于需要提供賬號密碼而無法保障周期性檢測的基線檢查類型，就需要用戶手動(dòng)觸發(fā)檢測。檢測模版即當(dāng)前檢測項(xiàng)的總和，用戶可以根據(jù)需要更改檢測模版或模版中的預(yù)期結(jié)果。3.3.5 資產(chǎn)管理資產(chǎn)管理其實(shí)就是對云工作負(fù)載的集中管理，用于向用戶展示所有資產(chǎn)信息，信息類型包括包括硬件信息，用戶及用戶組信息、端口信息，進(jìn)程信息，通用軟件信息，內(nèi)核模塊信息以及用戶操作記錄。資產(chǎn)管理可以分為資產(chǎn)清點(diǎn)和系統(tǒng)信息詳情頁。資產(chǎn)清點(diǎn)展示當(dāng)前資產(chǎn)的統(tǒng)計(jì)信息，比如資產(chǎn)總數(shù)，資產(chǎn)操作系統(tǒng)分布，以及資產(chǎn)列表，用于展示所有資產(chǎn)的基本信息。系統(tǒng)信息詳情頁用于

55、展示以上各類系統(tǒng)信息詳情，以列表的形式展示。3.3.6 客戶端管理客戶端管理就是對部署在云工作負(fù)載上Client端的集中管理，Manager端本身也會(huì)采集自己所在云工作負(fù)載的數(shù)據(jù)，這個(gè)時(shí)候也可以理解為一個(gè)客戶端。客戶端管理可以分為版本管理，策略管理，快速任務(wù)三大子功能模塊。該模塊只用給Manager端命令下發(fā)線程發(fā)送命令消息，然后等待命令執(zhí)行結(jié)果，命令的具體執(zhí)行由Manager端下發(fā)給Clent端完成。版本管理用于查看客戶端的版本和升級客戶端。用戶只需要把對應(yīng)的客戶端升級包放到客戶端能訪問到的網(wǎng)絡(luò)地址，再提供相應(yīng)的版本號，就可以對客戶端下發(fā)一鍵升級的命令。客戶端升級完成后就能在版本管理頁面看到版本的變化。策略管理是平臺(tái)提供給用戶的對客戶端配置進(jìn)行更改的一個(gè)接口。用戶可以根據(jù)需要，對客戶端的配置進(jìn)行定制化的配置，比如更改某個(gè)信息采集的開關(guān)，更改信息快照收集的周期，更改文件監(jiān)控的目錄以及不監(jiān)控的目錄等?？焖偃蝿?wù)展示了用戶可能對客戶端的常見操作。用戶只需要選擇對應(yīng)客戶端編號，再選擇想要執(zhí)行的快速任務(wù)，就能非常方便的對客戶端進(jìn)行操作管理。3.3.