本发明专利技术提供一种基于普通告警关联分析智能告警的系统与方法,包括数据采集模块、告警存储模块、关联分析模块、中间存储器、智能告警模块;通过配置事件匹配的条件对已有大数据进行过滤,将符合条件的数据存储到中间存储器,通过分布式任务的方式定期将缓存的数据进行二次筛选,匹配满足用户设置的条件,如果满足条件则根据用户配置的告警数据发送告警信息。本发明专利技术适用于大数据的清洗和分析,深度挖掘已存在数据的价值,实现高级告警,对于用户精准定位和处理问题、根据已知情形对未来做出预防响应,防患于未然,具有很高的实用性。具有很高的实用性。具有很高的实用性。
【技术实现步骤摘要】
一种基于普通告警关联分析智能告警的系统与方法
[0001]本专利技术涉及网络技术安全领域,尤其涉及一种基于普通告警关联分析智能告警的系统与方法,更具体地说,是涉及到日志审计、流量监控等事件关联分析的方法和系统。
技术介绍
[0002]工业互联网是互联网和新一代信息技术与工业系统全方位深度融合所形成的产业和应用生态,是工业智能化发展的关键综合信息基础设施,其自身的安全可靠是确保其在各生产领域能够落地实施的前提,更是产业安全和国家安全的重要基础和保障。
[0003]工业互联网的关键是工业生产虚拟化并上云上平台,由此在数字化的基础上实现智能制造。在这个过程中就涉及到数据安全和网络安全的问题。目前实现安全防御的措施主要是监测审计和入侵检测两种手段:用户网络包含大量的信息资产,包括各种网络设备、安全设备、主机、应用及数据库等,每种设备类型的日志格式都不相同,即使是记录同一事件,也都有各自的日志规格。而每一种日志产生的数据量是相当庞大的,例如一个流量检测的系统60秒内可以产生五千条以上的流量告警信息;一个标准的入侵检测系统每天可能产生超过千万数量的事件日志,巨量的数据给运维审计等带来非常大的压力,也为业务顺畅运行的挑战。
技术实现思路
[0004]本专利技术的目的在于提供一种基于普通告警关联分析智能告警的方法与系统,能够解决上述提到的至少一个技术问题。
[0005]本专利技术提供一种基于普通告警关联分析智能告警的系统,其特征在于,包括数据采集模块、告警存储模块、关联分析模块、中间存储器、智能告警模块:
[0006]所述数据采集模块,用于监控系统运行,采集告警日志数据;
[0007]所述告警存储模块,用于存储所述告警日志数据;
[0008]所述关联分析模块,用于定义关联分析策略,并存储到智能分析器,并根据所述关联分析策略对所述告警存储模块中的所述告警日志数据进行关联分析,产生符合预设条件的告警日志数据;
[0009]所述中间存储器,用于存储符合预设条件的告警日志数据;
[0010]所述智能告警模块,用于对所述中间存储器中的所述符合预设条件的告警日志数据根据用户设置的智能告警策略进行多维度分析,发送智能告警信息。
[0011]进一步的,所述数据采集模块还包括,入侵检测规则配置模块和/或监测审计规则配置模块,所述入侵检测规则配置模块用于配置入侵检测规则,所述监测审计规则配置模块用于配置监测审计规则。
[0012]进一步的,所述告警存储模块包括消息队列以及分布式存储系统,所述消息队列用于接收告警日志数据,避免数据量过大造成系统宕机;所述分布式存储系统为基于全文索引的分布式存储系统,能够提高检索的效率和实时性。
[0013]进一步的,所述定义关联分析策略包括,设置策略名称和描述信息,定义匹配事件、触发规则、事件关系;匹配事件包括事件字段、目标值以及字段和目标值之间的逻辑关系;所述逻辑关系包括:“=”,“!=”,“>”,“<”,事件字段和目标值支持多表达式嵌套,多个表达式之间的条件组合有“与”“或”“非”。
[0014]进一步的,所述智能告警策略包括是否输出告警记录、允许在多长时间内产生告警的次数、是否需要自定义字段,如果需要自定义告警字段,定义告警字段和字段值。
[0015]本专利技术还提供一种基于普通告警关联分析智能告警的方法,其特征在于,包括以下步骤:
[0016]监控系统运行,采集告警日志数据;
[0017]存储所述告警日志数据;
[0018]定义关联分析策略,并存储到智能分析器,并根据所述关联分析策略对所述告警存储模块中的所述告警日志数据进行关联分析,产生符合预设条件的告警日志数据;
[0019]存储符合预设条件的告警日志数据;
[0020]对所述符合预设条件的告警日志数据根据用户设置的智能告警策略进行多维度分析,发送智能告警信息。
[0021]进一步的,所述监控系统运行,采集告警日志数据包括,配置入侵检测规则和/或监测审计规则,监控系统持续运行,当监控到的流量符合所述配置的规则或检测到疑似入侵行为是,产生告警日志数据。
[0022]进一步的,当有告警日志数据产生时,首先记录到消息队列中,避免数据量过大造成系统宕机;分布式存储系统实时消费所述消息队列中的所述告警日志数据,将所述消息队列中的所述告警日志数据进行合并、过滤、解析,经过此过程产生系统预定义格式的告警数据存入所述分布式存储系统;所述分布式存储系统为基于全文索引的分布式存储系统,能够提高检索的效率和实时性。
[0023]进一步的,所述定义关联分析策略包括,设置策略名称和描述信息,定义匹配事件、触发规则、事件关系;匹配事件包括事件字段、目标值以及字段和目标值之间的逻辑关系;所述逻辑关系包括:“=”,“!=”,“>”,“<”,事件字段和目标值支持多表达式嵌套,多个表达式之间的条件组合有“与”“或”“非”。
[0024]进一步的,所述智能告警策略包括是否输出告警记录、允许在多长时间内产生告警的次数、是否需要自定义字段,如果需要自定义告警字段,定义告警字段和字段值。
[0025]因此,本专利技术基于普通告警数据通过多维度关联分析,在此基础上进行智能告警的技术,适用于各种需要对告警数据进行清洗和二次分析的场景,比如工业互联网、大数据、物联网等。
[0026]本专利技术实施的上述方案与现有技术相比,至少具有以下有益效果:通过配置事件匹配的条件对已有大数据进行过滤,将符合条件的数据存储到中间存储器,通过分布式任务的方式定期将缓存的数据进行二次筛选,匹配满足用户设置的条件,如果满足条件则根据用户配置的告警数据发送告警信息。适用于大数据的清洗和分析,深度挖掘已存在数据的价值,实现高级告警,对于用户精准定位和处理问题、根据已知情形对未来做出预防响应,防患于未然,具有很高的实用性。
附图说明
[0027]此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本专利技术的实施例,并与说明书一起用于解释本专利技术的原理。显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
[0028]图1示出了本专利技术基于普通告警关联分析智能告警的系统实施例的示意图;
[0029]图2示出了本专利技术一种基于普通告警关联分析智能告警的方法的实施例流程图;
[0030]图3示出了本专利技术采集告警日志数据步骤的具体流程图;
[0031]图4示出了本专利技术定义关联分析策略步骤的具体流程图。
具体实施方式
[0032]为了使本专利技术的目的、技术方案和优点更加清楚,下面将结合附图对本专利技术作进一步地详细描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本专利技术保护的范围本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于普通告警关联分析智能告警的系统,其特征在于,包括数据采集模块、告警存储模块、关联分析模块、中间存储器、智能告警模块:所述数据采集模块,用于监控系统运行,采集告警日志数据;所述告警存储模块,用于存储所述告警日志数据;所述关联分析模块,用于定义关联分析策略,并存储到智能分析器,并根据所述关联分析策略对所述告警存储模块中的所述告警日志数据进行关联分析,产生符合预设条件的告警日志数据;所述中间存储器,用于存储符合预设条件的告警日志数据;所述智能告警模块,用于对所述中间存储器中的所述符合预设条件的告警日志数据根据用户设置的智能告警策略进行多维度分析,发送智能告警信息。2.如权利要求1所述的基于普通告警关联分析智能告警的系统,其特征在于:所述数据采集模块还包括,入侵检测规则配置模块和/或监测审计规则配置模块,所述入侵检测规则配置模块用于配置入侵检测规则,所述监测审计规则配置模块用于配置监测审计规则。3.如权利要求1所述的基于普通告警关联分析智能告警的系统,其特征在于:所述告警存储模块包括消息队列以及分布式存储系统,所述消息队列用于接收告警日志数据,避免数据量过大造成系统宕机;所述分布式存储系统为基于全文索引的分布式存储系统,能够提高检索的效率和实时性。4.如权利要求1-3任一项所述的基于普通告警关联分析智能告警的系统,其特征在于:所述定义关联分析策略包括,设置策略名称和描述信息,定义匹配事件、触发规则、事件关系;匹配事件包括事件字段、目标值以及字段和目标值之间的逻辑关系;所述逻辑关系包括:“=”,“!=”,“>”,“<”,事件字段和目标值支持多表达式嵌套,多个表达式之间的条件组合有“与”“或”“非”。5.如权利要求1-3任一项所述的基于普通告警关联分析智能告警的系统,其特征在于:所述智能告警策略包括是否输出告警记录、允许在多长时间内产生告警的次数、是否需要自定义字段,如果需要自定义告警字段,定义告警字段和字段值。...
【专利技术属性】
技术研发人员:夏春宇,苗维杰,贺本彪,
申请(专利权)人:杭州立思辰安科科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。