一种IT资产风险态势感知展示方法

摘要

本发明提供了一种IT资产风险态势感知展示方法，包括如下步骤：S1：搭建资产模型；S2：导出obj格式文件，生成drc文件；S3：将步骤S2中生成的drc文件作为静态文件发布，设置渲染条件，选择加载器，将静态文件发布的地址传入加载器中进行初步渲染；S4：输入IT资产防护信息，绑定资产信息；S5：后端开始监控记录攻击数据；S6：后端将记录的攻击数据实时传输至前端页面，前端页面接收到攻击数据后，根据绑定的信息，查询目标节点所在的单体模型，然后绘画出受攻击的单元节点，再绘制出攻击路线，进行实时更新渲染，实时生动的展示潜藏发生的攻击行为，能够将抽象的虚拟网络攻击充分实物生动化，直观展示资产风险现状。

说明书

技术领域

本发明涉及网络攻防资产风险分析可视化领域，尤其涉及一种IT资产风险态势感知展示方法。

背景技术

安全感知是安全防御体系的核心，面对黑客的隐蔽攻击和渗透测试，是否能够第一时间识别和发现，是衡量安全体系优劣的根本。因此在安全领域可视化技术已在一定范围内进行使用。但目前，网络攻击可视化的展示集中在国家省市级别间的攻击展示，对于企业内部IT资产风险展示的使用较少。网络攻击发生后，仅依靠安全运维人员利用技术指令层层排查，逐步定位受攻击资产。这样的手段不仅效率低，拖慢企业风险处置速度，带来资产进一步被入侵受损的伤害，还会因为缺少资产风险全景展示的可视化手段，带来不利于提高管理层人员对IT资产风险重视程度的隐患。

专利文献CN105703923A公开了网络资产信息的展示方法及装置，其中，该方法包括：获取指定网络内的资产信息，其中，资产信息至少包括：指定网络内的资产、资产的资产类型、资产的资产性能；根据资产类型对资产信息进行自动布局，生成拓扑结构；在拓扑结构上绘制资产信息的展示方式并展示资产信息。专利文献CN110796357A提供了一种资产组展示的方法及装置。其以几何图形的形式绘制并展示资产组，通过几何图形的面积展示资产组所包含的资产的数量，通过几何图形之间的重合面积来展示资产组之间的关联关系(如从属关系，并列关系等)。从而，在该专利文献的IT资产管理系统中，维护人员只需配置资产组的IP地址集合，系统就能自动计算并以图形化的形式展示资产组之间的关联，简化了创建资产组的流程，无需人为维护组织架构；即上述专利文献中均仅仅进行了资产展示，但是并不能展示潜藏发生的网络攻击行为。鉴于此，有必要设计并实现一种IT资产风险态势感知展示方法，更好向企事业单位安全运维和管理人员展示潜藏发生的网络攻击行为，提高风险处置速度，更好保护内部IT资产。

发明内容

为解决现有技术中存在的技术问题，本发明提供了一种IT资产风险态势感知展示方法，可实现对于IT资产中存在的网络攻击可视化展示，具体地，将it资产地图数据信息进行数据抽取，利用3D建模算法进行计算，绘制资产模型。通过后端监听、记录、上传攻击数据，包括资产节点信息、攻击行为和攻击路径等信息，实时渲染和展示IT资产的攻击风险现状。实现过程利用Draco压缩算法，对模型高倍率压缩，使用基于Webgl技术3D库three.js快速加载攻击路径模型。用Websocket协议传回前端，触发绘画事件，快速将资产安全现状绘制出来。

本发明提供了一种IT资产风险态势感知展示方法，包括如下步骤：

S1：根据输入资产模型建立的基础信息，搭建资产模型；

S2：导出obj格式文件，使用Draco算法进行高压缩率压缩，将导出的obj格式文件生成drc文件；

S3：将步骤S2中生成的drc文件作为静态文件发布，设置渲染基本条件，选择加载器dracoLoader，将静态文件发布的地址传入加载器中进行初步渲染；

S4：输入IT资产防护信息，并将资产ID和资产模型ID进行绑定，唯一对应；

S5：监控资产是否受攻击，若发生攻击，后端开始监控记录攻击数据；

S6：后端将记录的攻击数据实时传输至前端页面，前端页面接收到攻击数据后，根据绑定的信息，查询目标节点所在的单体模型，然后绘画出受攻击的单元节点，再绘制出攻击路线，进行实时更新渲染。

优选地，步骤D2中通过cmake将开源的Draco算法编译好，然后输入压缩导入文件、压缩等级、压缩导出文件等参数便可以生成drc文件。

优选地，步骤S5中具体为：在资产上安装幻云节点，然后绑定蜜罐，如果外部攻击开始，节点将攻击数据转发到蜜罐中，并在后端的数据库中记录攻击数据，然后在缓冲队列中写入攻击行为数据和更新触发字段。

优选地，步骤S6中根据绑定的信息，查询目标节点所在的单体模型具体为：前端页面遍历所有的资产模型ID，采用ID数组请求后端接口，后端接口收到请求后，逐个查询缓存队列中是否有更新触发字段，如果有更新触发字段，根据资产模型ID绑定的资产ID去查找攻击数据，然后打包返回给前端页面，前端根据返回的数据，重新绘制受攻击的单元节点和攻击路线。

优选地，步骤S6中通过精灵sprite绘画出受攻击的单元节点，再通过LineCurve绘制出攻击路线。

优选地，步骤S6中通过精灵sprite绘画出受攻击的单元节点，再通过LineCurve绘制出攻击路线具体为：先绘制箭头和曲线表示一次攻击行为，然后导出成标准图片格式；在前端页面接收到攻击数据后，先创建一个Sprite，然后纹理用导出的标准图片贴图，根据攻击点和资产调整精灵Sprite大小，将箭头段指向资产，将曲线末端指向攻击来源，最后加入场景，渲染；然后受影响的攻击路线，则使用LineCurve添加红色警示颜色，重新渲染。

优选地，步骤S5中攻击数据采用三元组形式记录，三元组形式为{(Attack_IP)-(Attack_Type)-(Dest_IP)}，其中，Attack_IP为攻击来源IP，Dest_IP为攻击目标IP和Attack_Type为攻击行为。

优选地，步骤S6中后端将记录的攻击数据通过socket实时传输至前端页面。

优选地，步骤S3中渲染基本条件为场景Scene、渲染器Render、灯光Light、相机Camera和控制器Controls。

优选地，本发明提供的基础信息包括企业所有的IT资产、服务器、个人PC等所有计算资源。对于每一个IT资产，需要记录资产IP地址，开放端口，资产ID，资产计算能力(cpu数、内存大小等)，资产重要级别(内部定义)等基础信息；

步骤S1中搭建资产模型的方法为：针对企业的联网的所有计算资源，选择在c4d或者3dmax等建模软件上，绘制三维资产模型，单个三维资产模型代表一台IT资产，将所有资产模型拼接放入一个大平台模型中，代表该企业的所有资产模型，然后根据拓扑结构在资产模型间绘制连接线，映射其连接关系。

优选地，高压缩率压缩中压缩度compress-level范围为1-10，参数-cl为3。

与现有技术相对比，本发明的有益效果如下：

(1)本发明提供的IT资产风险态势感知展示方法能够快速加载和渲染出内部IT资产和安全防护设备的模型，可以实时生动的展示潜藏发生的攻击行为，能够将抽象的虚拟网络攻击充分实物生动化，直观展示资产风险现状。

附图说明

图1是本发明提供的IT资产风险态势感知展示方法实现流程图；

图2为本发明提供的资产模型渲染流程；

图3为前后端攻击数据处理流程图。

具体实施方式

下面结合附图，对本发明的具体实施方式作详细的说明。

如图1-3所示，本实例是一种IT资产风险态势感知展示方法，其处理流程如图1所示，具体实施步骤如下：

S1：根据输入资产模型建立的基础信息，搭建资产模型；具体地，首先根据基础信息通过三维绘图软件如3dMax或者c4d等绘制模型，LOD需要到能够辨别大致服务器设备外型轮廓即可。单元节点可以减缩为一个圆球体作为示意。

其中，本发明提供的基础信息包括企业所有的IT资产、服务器、个人PC等所有计算资源。对于每一个IT资产，需要记录资产IP地址，开放端口，资产ID，资产计算能力(cpu数、内存大小等)，资产重要级别(内部定义)等基础信息；

步骤S1中搭建资产模型的方法为：针对企业的联网的所有计算资源，选择在c4d或者3dmax等建模软件上，绘制三维资产模型，单个三维资产模型代表一台IT资产，将所有资产模型拼接放入一个大平台模型中，代表该企业的所有资产模型，然后根据拓扑结构在资产模型间绘制连接线，映射其连接关系。

S2：导出obj格式文件，使用Draco算法进行高压缩率压缩，将导出的obj格式文件生成drc文件；具体地，将导出来的资产模型进行Draco压缩，可以选择压缩度compress-level为3，设置参数-cl为3进行压缩。压缩度可选范围1-10，数值越小压缩越好，但是面片信息就会丢失更严重，所以要做综合选择。具体地，步骤S2中通过cmake将开源的Draco算法编译好，然后输入压缩导入文件、压缩等级、压缩导出文件等参数便可以生成drc文件。

S3：将步骤S2中生成的drc文件作为静态文件发布，设置渲染基本条件，选择加载器dracoLoader，将静态文件发布的地址传入加载器中进行初步渲染；具体地，使用three.js作为基本渲染库。首先设置好场景Scene、渲染器Render、灯光Light、相机Camera和控制器Controls。然后加载器选择dracoLoader，将发布的地址传入加载器中进行渲染。然后再添加材质或者贴图。最后渲染出整个大模型。

S4：输入IT资产防护信息，并将资产ID和资产模型ID进行绑定，唯一对应；

S5：监控资产是否受攻击，若发生攻击，后端开始监控记录攻击数据，其中攻击数据可以采取三元组形式记录，Attack_IP攻击来源IP，Dest_IP攻击目标IP和Attack_Type攻击行为，

{(Attack_IP)-(Attack_Type)-(Dest_IP)}。一次攻击为一组数据；

具体地，步骤S5在资产上安装幻云节点，然后绑定蜜罐，如果外部攻击开始，节点将攻击数据转发到蜜罐中，并在后端的数据库中记录攻击数据，然后在缓冲队列中写入攻击行为数据和更新触发字段。

S6：后端将记录的攻击数据通过socket实时传输至前端页面，前端页面和后端保持长连接，后端可以一直在记录攻击行为和数据。当一次攻击行为发生时，后端发送一组三元组数据{(Attack_IP)-(Attack_Type)-(Dest_IP)}。前端页面接受到数据后，根据绑定的节点信息，查询到目标节点所在的单体模型，然后通过精灵sprite绘画出受攻击的单元节点，然后通过LineCurve绘制出攻击路线，实时渲染。

Threejs里的精灵Sprite是一种包含在三维场景里的二维图像或者动画。当其绘制在三维场景中，无论场景怎么变化，其方向始终是朝向相机的。可以先在其他绘画软件绘制箭头和曲线表示一次攻击行为，然后导出成标准图片格式。在前端接收到攻击数据后，先创建一个Sprite，然后纹理用导出的标准图片贴图，根据攻击点和资产调整精灵Sprite大小，将箭头段指向资产，将曲线末端指向攻击来源，最后加入场景，渲染。然后内部的受影响的攻击路线，则使用LineCurve添加红色警示颜色，重新渲染。

具体地，步骤S6中根据绑定的信息，查询目标节点所在的单体模型具体为：前端页面遍历所有的资产模型ID，采用ID数组请求后端接口，后端接口收到请求后，逐个查询缓存队列中是否有更新触发字段，如果有更新触发字段，根据资产模型ID绑定的资产ID去查找攻击数据，然后打包返回给前端页面，前端根据返回的数据，重新绘制受攻击的单元节点和攻击路线。以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均包含在本发明的保护范围之内。