一种客户端离线原因判别方法和集群式安全管理系统技术方案

本申请公开了一种客户端离线原因判别方法和集群式安全管理系统，该方法包括：判断是否在心跳时间周期内接收到心跳信息；如果否，判定客户端离线，并将离线原因初步判定为网络故障或强制关机；监控进程循环读取心跳时间文件，并判断心跳时间文件记录的时刻与当前时刻之差是否大于一次心跳周期；如果是，判定未收到心跳成功回复；监控进程搜集主进程信息并发送至管理平台；根据主进程信息更新客户端离线原因。集群式安全管理系统包括管理平台和多个客户端，管理平台包括数据库、通讯组件、Web服务器以及主程序模块，客户端包括主进程模块和监控进程模块。通过本申请能够提高客户端离线原因的排查效率，提高管理平台和客户端之间的通信稳定性。

A Client Offline Reason Discrimination Method and Cluster Security Management System

【技术实现步骤摘要】
一种客户端离线原因判别方法和集群式安全管理系统
本申请涉及安全管理
，特别是涉及一种客户端离线原因判别方法和集群式安全管理系统。
技术介绍
在安全管理系统中，信息安全越来越引起人们的重视。传统的安全软件一般安装在单台资源上，例如单台计算机、服务器或智能终端上，在单台计算机上配置安全策略并查看执行情况。随着大数据和云计算的发展，安全软件逐渐向集群化方向发展，集群化的安全软件主要包括管理平台和客户端，管理平台用于管理客户端，客户端用于负责具体安全策略的执行和策略执行结果的反馈。在集群化的安全软件中，客户端能否正常运作并连接到管理平台上，对于系统的稳定运行是非常重要的。在一般的应用场景下，管理平台和客户端之间的网络是可靠的，但是对于某些特定的应用场景，如距离较远的分布式终端，客户端与管理平台之间的通讯网络有时候是是不可靠的。当通讯网络不可靠时，会出现客户端离线，判断客户端的离线原因，进而根据离线原因继续处理，是个重要的问题。目前的集群化安全软件中，管理平台发现客户端离线后，就暂停对客户端的管理，在客户端进行故障排查，直到故障处理后重新启动管理平台对客户端的管理。然而，目前对客户端离线原因的排查方法中，由于需要中断管理平台和客户端之间的通信，进行线下排查，排查效率低，影响安全软件的正常运行，不利于对整个系统的安全保护。
技术实现思路
本申请提供了一种客户端离线原因判别方法和集群式安全管理系统，以解决现有技术中对客户端离线原因的排查效率低、影响安全软件正常运行以及不利于整个系统的安全保护的问题。为了解决上述技术问题，本申请实施例公开了如下技术方案：一种客户端离线原因判别方法，应用于集群式安全管理系统中，所述集群式安全管理系统中包括管理平台和多个客户端，所述客户端安装于需要进行安全保护的计算机上，所述管理平台安装于一台独立的计算机上，所述管理平台与客户端之间通过消息总线连接，所述客户端中设置有主进程和监控进程，所述方法包括：判断管理平台是否在第一周期内接收到客户端的心跳信息，所述第一周期为一次正常心跳周期；如果否，判定客户端离线，并将客户端离线原因初步判定为网络故障或强制关机；监控进程循环读取存储于主进程中的心跳时间文件，并判断所述心跳时间文件中记录的时刻与当前时刻之差是否大于第一周期，所述心跳时间文件用于记录管理平台回复客户端心跳成功的时刻；如果是，判定客户端未收到管理平台的心跳成功回复；监控进程每隔第二周期搜集主进程信息，并将所述主进程信息发送至管理平台，所述第二周期为监控进程对主进程进行相邻两次监控的时间间隔，所述主进程信息包括：主进程所占用的CPU大小、主进程内存大小、主进程的线程数、主进程的句柄数，以及主进程软件目录下是否有dump文件且所述dump文件的产生时刻在所述心跳时间文件中记录的时刻之后；根据所述主进程信息更新客户端离线原因。可选地，判断管理平台是否在第一周期内接收到客户端的心跳信息之前，所述方法还包括：客户端通过消息总线向管理平台发送心跳消息；管理平台通过消息总线接收到所述心跳消息时，向客户端返回一心跳成功回复；客户端通过消息总线接收到所述心跳成功回复时，将心跳成功回复的时刻写入心跳时间文件。可选地，监控进程将所述主进程信息发送至管理平台的方法，具体为：监控进程通过消息总线将所述主进程信息以特定格式发送至管理平台，所述特定格式包括：消息队列名称或命令字。可选地，所述根据所述主进程信息更新客户端离线原因，包括：判断主进程是否在运行；如果主进程停止运行，判断是否有dump文件产生；如果有dump文件，将离线原因更新为软件崩溃；如果没有dump文件，将离线原因更新为其他原因关闭；如果主进程在运行，判断所述主进程信息中的参数是否在正常参数范围内；如果是，将离线原因更新为其他原因；如果否，将离线原因更新为软件异常。可选地，所述方法还包括：当客户端系统主动关机时，客户端通过消息总线向管理平台发送第一消息，所述第一消息中包括：系统关闭或重启；当客户端通过管理工具手动停止客户端主程序时，客户端通过消息总线向管理平台发送第二消息，所述第二消息中包括：软件手动关闭。可选地，根据所述主进程信息更新客户端离线原因之前，所述方法还包括：判断管理平台是否收到客户端所发送的第一消息；如果是，将离线原因更新为系统关闭或重启；如果否，判断管理平台是否收到客户端所发送的第二消息；如果管理平台收到客户端所发送的第二消息，将离线原因更新为软件手动关闭。一种集群式安全管理系统，所述集群式安全管理系统中包括管理平台和多个客户端，所述客户端安装于需要进行安全保护的计算机上，所述管理平台安装于一台独立的计算机上，所述管理平台与客户端之间通过消息总线连接，所述管理平台包括：数据库、通讯组件、Web服务器以及主程序模块，所述客户端中包括主进程模块和监控进程模块；所述主程序模块，用于判断管理平台是否在第一周期内接收到客户端的心跳信息，以及，当管理平台没有在第一周期内接收到客户端的心跳信息时，判定客户端离线，并将客户端离线原因初步判定为网络故障或强制关机，所述第一周期为一次正常心跳周期；所述主进程模块，用于运行客户端所有业务功能或逻辑；所述监控进程模块，用于循环读取存储于主进程模块中的心跳时间文件，并判断所述心跳时间文件中记录的时刻与当前时刻之差是否大于第一周期，以及，当所述心跳时间文件中记录的时刻与当前时刻之差大于第一周期时，判定客户端未收到管理平台的心跳成功回复，所述心跳时间文件用于记录管理平台回复客户端心跳成功的时刻；所述监控进程模块还用于，每隔第二周期搜集主进程模块的主进程信息，并将所述主进程信息发送至管理平台，所述第二周期为监控进程模块对主进程模块连续进行两次监控的时间间隔；所述主程序模块还用于，根据所述主进程信息更新客户端离线原因。可选地，所述主程序模块包括：判断单元，用于判断管理平台是否在第一周期内接收到客户端的心跳信息；离线原因初步判定单元，用于当管理平台没有在第一周期内接收到客户端的心跳信息时，判定客户端离线，并将客户端离线原因初步判定为网络故障或强制关机；离线原因更新单元，用于根据所述主进程信息更新客户端离线原因。可选地，所述离线原因更新单元包括：第一判断子单元，用于判断主进程是否正在进行；第二判断子单元，用于当主进程停止运行时，判断是否有dump文件产生；第三判断子单元，用于当主进程在运行时，判断所述主进程信息中的参数是否在正常参数范围内；更新子单元，用于当第二判断子单元判定有dump文件时，将离线原因更新为软件崩溃，当第二判断子单元判定没有dump文件时，将离线原因更新为其他原因关闭，当第三判断子单元判定所述主进程信息中的参数在正常参数范围内时，将离线原因更新为其他原因，以及，当第三判断子单元判定所述主进程信息中的参数不在正常参数范围内时，将离线原因更新为软件异常。可选地，所述客户端中还包括：第一消息发送模块，用于当客户端系统主动关机时，通过消息总线向管理平台发送第一消息，所述第一消息中包括：系统关闭或重启；第二消息发送模块，用于当客户端通过管理工具手动停止客户端主程序时，通过消息总线向管理平台发送第二消息，所述第二消息中包括：软件手动关闭。本申请的实施例提供的技术方案可以包括以下有益效果：本申请提供一种客本文档来自技高网...

【技术保护点】
1.一种客户端离线原因判别方法，应用于集群式安全管理系统中，所述集群式安全管理系统中包括管理平台和多个客户端，所述客户端安装于需要进行安全保护的计算机上，所述管理平台安装于一台独立的计算机上，其特征在于，所述管理平台与客户端之间通过消息总线连接，所述客户端中设置有主进程和监控进程，所述方法包括：判断管理平台是否在第一周期内接收到客户端的心跳信息，所述第一周期为一次正常心跳周期；如果否，判定客户端离线，并将客户端离线原因初步判定为网络故障或强制关机；监控进程循环读取存储于主进程中的心跳时间文件，并判断所述心跳时间文件中记录的时刻与当前时刻之差是否大于第一周期，所述心跳时间文件用于记录管理平台回复客户端心跳成功的时刻；如果是，判定客户端未收到管理平台的心跳成功回复；监控进程每隔第二周期搜集主进程信息，并将所述主进程信息发送至管理平台，所述第二周期为监控进程对主进程进行相邻两次监控的时间间隔，所述主进程信息包括：主进程所占用的CPU大小、主进程内存大小、主进程的线程数、主进程的句柄数，以及主进程软件目录下是否有dump文件且所述dump文件的产生时刻在所述心跳时间文件中记录的时刻之后；根据所述主进程信息更新客户端离线原因。...

【技术特征摘要】
1.一种客户端离线原因判别方法，应用于集群式安全管理系统中，所述集群式安全管理系统中包括管理平台和多个客户端，所述客户端安装于需要进行安全保护的计算机上，所述管理平台安装于一台独立的计算机上，其特征在于，所述管理平台与客户端之间通过消息总线连接，所述客户端中设置有主进程和监控进程，所述方法包括：判断管理平台是否在第一周期内接收到客户端的心跳信息，所述第一周期为一次正常心跳周期；如果否，判定客户端离线，并将客户端离线原因初步判定为网络故障或强制关机；监控进程循环读取存储于主进程中的心跳时间文件，并判断所述心跳时间文件中记录的时刻与当前时刻之差是否大于第一周期，所述心跳时间文件用于记录管理平台回复客户端心跳成功的时刻；如果是，判定客户端未收到管理平台的心跳成功回复；监控进程每隔第二周期搜集主进程信息，并将所述主进程信息发送至管理平台，所述第二周期为监控进程对主进程进行相邻两次监控的时间间隔，所述主进程信息包括：主进程所占用的CPU大小、主进程内存大小、主进程的线程数、主进程的句柄数，以及主进程软件目录下是否有dump文件且所述dump文件的产生时刻在所述心跳时间文件中记录的时刻之后；根据所述主进程信息更新客户端离线原因。2.根据权利要求1所述的一种客户端离线原因判别方法，其特征在于，判断管理平台是否在第一周期内接收到客户端的心跳信息之前，所述方法还包括：客户端通过消息总线向管理平台发送心跳消息；管理平台通过消息总线接收到所述心跳消息时，向客户端返回一心跳成功回复；客户端通过消息总线接收到所述心跳成功回复时，将心跳成功回复的时刻写入心跳时间文件。3.根据权利要求1所述的一种客户端离线原因判别方法，其特征在于，监控进程将所述主进程信息发送至管理平台的方法，具体为：监控进程通过消息总线将所述主进程信息以特定格式发送至管理平台，所述特定格式包括：消息队列名称或命令字。4.根据权利要求1-3中任一所述的一种客户端离线原因判别方法，其特征在于，所述根据所述主进程信息更新客户端离线原因，包括：判断主进程是否在运行；如果主进程停止运行，判断是否有dump文件产生；如果有dump文件，将离线原因更新为软件崩溃；如果没有dump文件，将离线原因更新为其他原因关闭；如果主进程在运行，判断所述主进程信息中的参数是否在正常参数范围内；如果是，将离线原因更新为其他原因；如果否，将离线原因更新为软件异常。5.根据权利要求1所述的一种客户端离线原因判别方法，其特征在于，所述方法还包括：当客户端系统主动关机时，客户端通过消息总线向管理平台发送第一消息，所述第一消息中包括：系统关闭或重启；当客户端通过管理工具手动停止客户端主程序时，客户端通过消息总线向管理平台发送第二消息，所述第二消息中包括：软件手动关闭。6.根据权利要求5所述的一种客户端离线原因判别方法，其特征在于，根据所述主进程信息更新客户端离线原因之前，所述方法还包括：判断管理平台是否收到客户端所发送的第一消息；如果是，将离线原因更新为系统关闭或重启；如果否，判断管理平台是否收到...

【专利技术属性】
技术研发人员：徐冠群，
申请(专利权)人：郑州云海信息技术有限公司，
类型：发明
国别省市：河南,41