CN109951345A - 一种告警处理方法及装置 - Google Patents
一种告警处理方法及装置 Download PDFInfo
- Publication number
- CN109951345A CN109951345A CN201910303412.5A CN201910303412A CN109951345A CN 109951345 A CN109951345 A CN 109951345A CN 201910303412 A CN201910303412 A CN 201910303412A CN 109951345 A CN109951345 A CN 109951345A
- Authority
- CN
- China
- Prior art keywords
- alarm
- message
- network equipment
- details
- target alarms
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了一种告警处理方法及装置,涉及网络通信技术领域,所述方法应用于告警服务器,所述方法包括:接收网络设备发送的目标告警消息,所述目标告警消息携带有所述网络设备的标识和目标告警详细信息,在预先存储的告警详细信息和处理策略的对应关系中,查询所述目标告警详细信息对应的第一处理策略,若查询到所述目标告警详细信息对应的第一处理策略,则根据所述网络设备的标识,向所述网络设备发送第一告警响应消息,所述第一告警响应消息携带有所述第一处理策略,以使所述网络设备执行所述第一处理策略。采用本申请可以提高处理告警的效率。
Description
技术领域
本申请涉及网络通信技术领域,特别是涉及一种告警处理方法及装置。
背景技术
随着互联网技术的发展,互联网中的网络设备越来越多。网络设备在使用过程中可能会发生告警事件(比如受到攻击或受到威胁),导致无法正常运行。
目前,人们通常会在网络系统中设置管理设备,通过管理设备来监测和处理网络设备的故障。具体的实现过程为:当网络设备检测到告警事件时,网络设备会向管理设备发送告警消息。管理设备接收到告警消息后,会输出该告警消息对应的告警提示信息(如,通过声音、邮件或短信等方式向管理人员发出告警提示信息),以使管理人员获知该网络设备发生故障,管理人员在收到通知后,可以通过管理设备向网络设备下发相应的处理策略,以使得网络设备执行该处理策略,解决告警问题。
基于上述方案,管理人员需要针对每个告警消息分别下发处理策略,导致处理告警的效率较低。
发明内容
本申请实施例的目的在于提供一种告警处理方法及装置,以提高处理告警的效率。具体技术方案如下:
第一方面,提供了一种告警处理方法,所述方法应用于告警服务器,所述方法包括:
接收网络设备发送的目标告警消息,所述目标告警消息携带有所述网络设备的标识和目标告警详细信息;
在预先存储的告警详细信息和处理策略的对应关系中,查询所述目标告警详细信息对应的第一处理策略;
若查询到所述目标告警详细信息对应的第一处理策略,则根据所述网络设备的标识,向所述网络设备发送第一告警响应消息,所述第一告警响应消息携带有所述第一处理策略,以使所述网络设备执行所述第一处理策略。
可选的,所述方法还包括:
若未查询到所述目标告警详细信息对应的第一处理策略,则将所述目标告警消息发送给预设的管理设备,以使所述管理设备输出所述目标告警消息对应的告警提示信息,并接收管理人员根据所述告警提示信息输入的第二处理策略;
接收所述管理设备发送的第二告警响应消息,所述第二告警响应消息携带有所述第二处理策略和所述网络设备的标识;
根据所述网络设备的标识,将所述第二告警响应消息发送给所述网络设备。
可选的,所述方法还包括:
获取所述第二告警响应消息携带的所述第二处理策略;
将所述目标告警详细信息和所述第二处理策略存储至所述告警详细信息和处理策略的对应关系中,以建立所述第二处理策略和所述目标告警详细信息之间的对应关系。
可选的,告警消息携带有预设的告警标识,所述方法还包括:
在确定所述网络设备发送的消息携带有预设的告警标识时,确定该消息为目标告警消息,并执行所述在预先存储的告警详细信息和处理策略的对应关系中,查询所述目标告警详细信息对应的第一处理策略的步骤。
可选的,所述目标告警消息包括消息头部字段和消息内容字段,该消息头部字段携带有所述网络设备的标识和告警标识;该消息内容字段携带有所述目标告警详细信息;
告警响应消息包括消息头部字段和消息内容字段,该消息头部字段携带有所述网络设备的标识和告警标识;该内容字段携带有所述第一处理策略/第二处理策略。
第二方面,提供了一种告警处理装置,所述装置应用于告警服务器,所述装置包括接收模块、查询模块和发送模块:
所述接收模块,用于接收网络设备发送的目标告警消息,所述目标告警消息携带有所述网络设备的标识和目标告警详细信息;
所述查询模块,用于在预先存储的告警详细信息和处理策略的对应关系中,查询所述目标告警详细信息对应的第一处理策略;
所述发送模块,用于在查询到所述目标告警详细信息对应的第一处理策略时,根据所述网络设备的标识,向所述网络设备发送第一告警响应消息,所述第一告警响应消息携带有所述第一处理策略,以使所述网络设备执行所述第一处理策略。
可选的,所述发送模块,还用于在未查询到所述目标告警详细信息对应的第一处理策略时,将所述目标告警消息发送给预设的管理设备,以使所述管理设备输出所述目标告警消息对应的告警提示信息,并接收管理人员根据所述告警提示信息输入的第二处理策略;
所述接收模块,还用于接收所述管理设备发送的第二告警响应消息,所述第二告警响应消息携带有所述第二处理策略和所述网络设备的标识;
所述发送模块,还用于根据所述网络设备的标识,将所述第二告警响应消息发送给所述网络设备。
可选的,所述装置还包括获取模块和存储模块:
所述获取模块,用于获取所述第二告警响应消息携带的所述第二处理策略;
所述存储模块,用于将所述目标告警详细信息和所述第二处理策略存储至所述告警详细信息和处理策略的对应关系中,以建立所述第二处理策略和所述目标告警详细信息之间的对应关系。
可选的,告警消息携带有预设的告警标识;所述装置还包括确定模块;
所述确定模块,用于在确定所述网络设备发送的消息携带有预设的告警标识时,确定该消息为目标告警消息,并触发所述查询模块执行所述在预先存储的告警详细信息和处理策略的对应关系中,查询所述目标告警详细信息对应的第一处理策略的步骤。
可选的,所述目标告警消息包括消息头部字段和消息内容字段,该消息头部字段携带有所述网络设备的标识和告警标识;该消息内容字段携带有所述目标告警详细信息;
告警响应消息包括消息头部字段和消息内容字段,该消息头部字段携带有所述网络设备的标识和告警标识;该内容字段携带有所述第一处理策略/第二处理策略。
第三方面,提供了一种告警服务器,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现第一方面所述的方法步骤。
第四方面,提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现第一方面所述的方法步骤。
第五方面,提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面所述的方法。
本申请实施例提供的一种告警处理方法及装置,可以应用于告警服务器。告警服务器可以接收网络设备发送的目标告警消息,目标告警消息携带有网络设备的标识和目标告警详细信息。告警服务器可以在预先存储的告警详细信息和处理策略的对应关系中,查询目标告警详细信息对应的第一处理策略,若查询到目标告警详细信息对应的第一处理策略,则根据网络设备的标识,向网络设备发送第一告警响应消息,第一告警响应消息携带有第一处理策略,以使网络设备执行第一处理策略。这样,当网络设备发生告警时,告警服务器可以自动对目标告警消息进行处理,无需技术人员手动下发处理策略,提高了处理告警的效率。
当然,实施本申请的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种网络系统的示意图;
图2为本申请实施例提供的一种告警处理方法的流程图;
图3为本申请实施例提供的一种告警处理方法的流程图;
图4为本申请实施例提供的一种告警处理方法示例的流程图;
图5为本申请实施例提供的一种告警处理装置的结构示意图;
图6为本申请实施例提供的一种告警处理装置的结构示意图;
图7为本申请实施例提供的一种告警处理装置的结构示意图;
图8为本申请实施例提供的一种告警服务器的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供了一种告警处理方法,该方法可以由告警服务器执行。如图1所示,为本申请实施例提供的一种网络系统的示意图。该网络系统包括网络设备、告警服务器和管理设备,告警服务器可以分别与网络设备和管理设备进行通信。其中,网络设备可以是具有远程通信功能的设备。告警服务器中可以预先存储告警详细信息和处理策略的对应关系。网络设备在检测到自身发生告警事件时,生成目标告警消息,并将目标告警消息发送给告警服务器,目标告警消息至少携带有网络设备的标识和目标告警详细信息。告警服务器可以在预先存储的告警详细信息和处理策略的对应关系中,查询目标告警详细信息对应的第一处理策略,若查询到目标告警详细信息对应的第一处理策略,则根据网络设备的标识,向网络设备发送第一告警响应消息,第一告警响应消息携带有第一处理策略,以使网络设备执行第一处理策略。这样,当网络设备发生告警时,告警服务器可以自动对目标告警消息进行处理,无需管理人员手动下发处理策略,提高了处理告警的效率。
本申请实施例提供了一种告警处理方法的处理过程,如图2所示,具体包括以下步骤。
步骤201,接收网络设备发送的目标告警消息。
其中,目标告警消息至少携带有网络设备的标识和目标告警详细信息。
本申请实施例中,网络设备在运行的过程中,可以通过预设的检测策略,检测自身的运行情况,以确定是否发生告警事件(比如受到攻击或自身发生故障)。当网络设备检测到告警事件时,网络设备生成目标告警信息,然后向告警服务器发送该目标告警消息。目标告警消息可以携带有该网络设备的标识和该目标告警详细信息。其中,网络设备的标识可以是网络设备的互联网协议地址(英文:Internet Protocol Address,简称:IP)地址和/或媒体访问控制(英文:Media Access Control,简称:MAC)地址等;目标告警详细信息可以包括告警类型,还可以包括告警级别、告警时间和告警内容等。告警类型可以为本次告警事件的类型,比如攻击类型、威胁类型等。攻击类型可以具体为暴力破解攻击、分布式拒绝服务(英文:Distributed Denial of Service,简称:DDoS)攻击或恶意软件攻击等,威胁类型具体可以为非法授权访问、恶意文件威胁等;告警级别可以本次告警事件的危害类型,比如高危、中危、低危;告警内容可以是检测到的告警事件的具体信息,例如,告警内容可以包括:该网络设备受到的攻击类型为暴力破解攻击、受到攻击的时间为T1。又如,告警内容可以包括:该网络设备受到的威胁类型为恶意文件威胁,恶意文件的标识为M,存储路径为C:\Intel等。现有的用于生成告警详细信息的策略均可以应用于本申请中,本申请实施例不做限定。
告警服务器接收到目标告警消息后,可以对目标告警消息进行解析,获取目标告警消息携带的网络设备的标识和目标告警详细信息,以便执行后续处理。
可选的,网络设备可以通过预设的通信协议,向告警服务器发送目标告警消息,例如,目标告警消息可以为超文本传输协议(英文:HyperText Transfer Protocol,简称:HTTP)消息或超文本传输安全协议(英文:Hypertext Transfer Protocol Secure,简称:HTTPS)消息等。本申请实施例中,对目标告警消息中的用于承载数据的字段(可称为数据字段)进行了分段处理,具体的,将该字段分为了消息头部字段(为了便于区分,可称为第一消息头部字段)和消息内容字段(为了便于区分,可称为第一消息内容字段)。
其中,第一消息头部字段至少携带有网络设备的标识和告警标识,其中,告警标识为预设的标识,用于表示该消息为告警消息;第一消息内容字段至少携带有目标告警详细信息。
本申请实施例中,第一消息头部字段还可以携带有告警消息标识。其中,告警消息标识用于唯一标识该目标告警消息,例如,告警消息标识可以为生成该目标告警消息时的时间戳,比如1535455848000。又如,网络设备检测到告警事件后,可以生成该告警事件的事件标识,该网络设备的标识和事件标识构成告警消息标识。第一消息头部字段中包含的各信息的用途后续会进行详细说明。
如表一所示,为本申请实施例提供的一种告警消息的数据字段的结构示例。
表一
基于表一所示的告警消息的数据字段的结构示例,当网络设备检测到告警事件时,网络设备可以生成告警消息标识,根据预设的告警标识、本设备的标识和该告警消息标识构成第一消息头部字段。同时,网络设备还可以确定该告警事件的告警类型、告警级别、告警时间和告警内容,根据告警类型、告警级别、告警时间和告警内容构成第一消息内容字段,进而根据第一消息头部字段和第一消息头部字段封装目标告警消息,然后将该目标告警消息发送给告警服务器。
告警服务器收到网络设备发送的目标告警消息后,可以解析该目标告警消息,获取网络设备的标识、告警消息标识、告警类型、告警级别、告警时间和告警内容,并将这些信息存储到数据库中。另外,告警服务器还可以通过预设的显示设备显示该告警消息的内容(即网络设备的标识、告警消息标识、告警类型、告警级别、告警时间和告警内容等)。具体的,告警服务器中可以安装有告警状态监控软件,告警状态监控软件可以用于监测网络设备发送的告警消息,并对告警消息进行解析,得到上述信息,告警服务器可以通过显示界面显示告警状态监控软件解析出的信息。
可选的,如表一所示,告警消息中还可以携带有预设的告警标识,告警服务器在接收到网络设备发送的消息之后,可以先判断接收到的消息中是否携带有预设的告警标识,若该消息携带有预设的告警标识,则确定该消息为目标告警消息,并执行步骤202。
本申请实施例中,告警服务器中可以存储有预设的告警标识,该告警标识用于表示该消息为告警消息。告警服务器接收到网络设备发送的消息后,可以解析该消息。若该消息携带有告警标识,则说明该消息为目标告警消息,告警服务器可以执行步骤202。若该消息未携带有告警标识,则说明该消息不是目标告警消息,告警服务器可以不进行处理。这样,告警服务器通过告警标识,可以快速的识别出目标告警消息,提高了告警服务器的响应速度,并且可以降低告警服务器的误判率。
步骤202,在预先存储的告警详细信息和处理策略的对应关系中,查询目标告警详细信息对应的第一处理策略。
本申请实施例中,告警服务器中可以预先存储有告警详细信息和处理策略的对应关系,该对应关系可以由管理人员进行设置和更新。告警服务器获取到目标告警详细信息后,可以在该对应关系中,查询目标告警详细信息对应的处理策略(即第一处理策略)。可选的,参照表一,该对应关系可以为告警类型和处理策略的对应关系。例如,可以设置所有攻击类型对应的处理策略为策略A,设置所有威胁类型的对应的处理策略为策略B。或者,也可以设置暴力破解攻击对应的处理策略为策略A1,DDoS攻击对应的处理策略为策略A2,恶意软件攻击对应的处理策略为策略A3;非法授权访问对应的处理策略为策略B1,恶意文件威胁对应的处理策略为策略B2。该对应关系也可以为告警类型、告警级别、告警内容和处理策略的四者对应关系,本申请实施例不做限定。
步骤203,若查询到目标告警详细信息对应的第一处理策略,则根据网络设备的标识,向网络设备发送第一告警响应消息。
其中,第一告警响应消息携带有第一处理策略,以使网络设备执行第一处理策略。
本申请实施例中,若告警服务器查询到目标告警详细信息对应的第一处理策略,则告警服务器可以根据网络设备的标识,向网络设备发送第一告警响应消息。网络设备接收到第一告警响应消息后,可以执行第一告警响应消息中的第一处理策略,以处理告警事件,使网络设备能够正常运行。
可选的,与告警消息类似,本申请实施例中还对告警响应消息中的用于承载数据的字段(可称为数据字段)进行了分段处理。以第一告警响应消息为例,第一告警响应消息的数据字段分为了消息头部字段(为了便于与告警消息区分,可称为第二消息头部字段)和消息内容字段(为了便于与告警消息区分,可称为第二消息内容字段)。其中,第二消息头部字段携带有网络设备的标识和告警标识;第二消息内容字段携带有处理策略。
本申请实施例中,第二消息头部字段的内容与第一消息头部字段的内容相同,不再赘述;第二消息内容字段除了可以存储处理策略以外,还可以存储处理策略的反馈时间。该反馈时间可以是查询到第一处理策略的时间。
如表二所示,为本申请实施例提供的一种告警响应消息的数据字段的结构示例。
表二
基于表二所示的告警响应消息,告警服务器可以从接收到的目标告警消息中,提取第一消息头部字段,作为告警响应消息的第二消息头部字段。然后,告警服务器可以确定处理策略的反馈时间,将处理策略的反馈时间和确定出的第一处理策略构成告警响应消息的第二消息内容字段,进而根据第二消息头部字段和第二消息头部字段封装第一告警响应消息,然后将第一告警响应消息发送给网络设备。
本申请实施例中,由于目标告警消息的第一消息头部字段包含告警标识、网络设备的标识和告警消息标识,告警服务器可以通过告警标识,快速的识别出目标告警消息,提高了告警服务器的响应速度,并且可以降低告警服务器的误判率。并且,可以通过网络设备的标识确定是哪个网络设备发生告警,从而可以精准地下发策略。相应的,由于第一告警响应消息的第二消息头部字段包含告警标识、网络设备的标识和告警消息标识,网络设备也可以通过告警标识,快速的识别出告警响应消息,提高了处理告警的速度,并且可以降低网络设备的误判率。并且,可以通过告警消息标识确定是针对哪个告警事件的处理策略。
可选的,若未查询到目标告警详细信息对应的第一处理策略,则告警服务器可以将目标告警消息发送给预设的管理设备,以使管理设备输出目标告警消息对应的告警提示信息,并接收管理人员根据告警提示信息输入的第二处理策略。告警服务器可以接收管理设备发送的第二告警响应消息,根据网络设备的标识,将第二告警响应消息发送给网络设备。
其中,第二告警响应消息携带有第二处理策略和网络设备的标识。具体的,第二告警响应消息包括消息头部字段(为了便于与第一告警响应消息区分,可称为第三消息头部字段)和消息内容字段(为了便于与第一告警响应消息区分,可称为第三消息内容字段)。第三消息头部字段携带有网络设备的标识和告警标识;第三消息内容字段携带有管理人员输入的第二处理策略。第二告警响应消息的格式与第一告警响应消息的格式相同,此处不再赘述。
本申请实施例中,若告警服务器未查询到目标告警详细信息对应的第一处理策略,则告警服务器可以将目标告警消息发送给预设的管理设备,以使管理设备提示管理人员手动处理该目标告警消息。管理设备的处理过程后续会进行详细说明。
告警服务器可以接收管理设备发送的第二告警响应消息,然后,可以根据第二告警响应消息携带的网络设备的标识,将第二告警响应消息发送给网络设备。网络设备接收到第二告警响应消息后,可以执行第二告警响应消息中的第二处理策略,以处理告警事件,使网络设备能够正常运行。
可选的,告警服务器还可以自动学习处理策略,具体的处理过程可以为:将目标告警详细信息和第二处理策略存储至告警详细信息和处理策略的对应关系中,以建立第二处理策略和目标告警详细信息之间的对应关系。
本申请实施例中,告警服务器接收到管理设备发送的第二告警响应消息中,可以对第二告警响应消息进行解析,获取第二告警响应消息的携带的第二处理策略,然后,可以将第二处理策略和目标告警详细信息进行对应的存储,以建立第二处理策略和目标告警详细信息的对应关系。参照表一所示的目标告警消息的结构、以及表二所示的告警响应消息的结构,告警服务器接收到第二告警响应消息后,可以获取第二告警响应消息的第三消息头部字段,然后在数据库中查找包含的消息头部字段与第三消息头部字段相同的目标告警消息,进而获取该目标告警消息中的告警详细信息(即目标告警详细信息),然后将第二处理策略和目标告警详细信息进行对应的存储。
这样,告警服务器可以自动学习目标告警详细信息对应的处理策略,当该告警再次发生时,告警服务器会根据上次自学习到的处理策略,自动做出响应,并下发处理策略。通过不断地自学习,告警服务器的策略资源越来越丰富,对告警的响应速度也越来越迅速。
可选的,管理人员还可以通过告警服务器监控告警消息的处理过程及处理结果。如上所述,告警服务器接收到网络设备发送的目标告警消息后,可以通过显示界面显示该目标告警消息的内容,比如显示网络设备的标识、告警类型、告警级别、告警时间和告警内容等。当告警服务器向该网络设备发送告警响应消息后,告警服务器还可以在该显示界面中,显示向该网络设备发送的处理策略。网络设备执行该处理策略后,可以将执行结果发送给告警服务器。该执行结果可以表示是否解决产生告警事件的故障问题。告警服务器还可以在该显示界面中显示该执行结果。这样,管理人员通过告警服务器,可以直接查看各告警事件对应的处理过程和处理结果,无需逐个检查网络设备,提高了管理网络设备的效率。
本申请实施例还提供了一种网络系统中管理设备所执行的处理过程,如图3所示,具体包括以下步骤。
步骤301,接收告警服务器发送的消息。
本申请实施例中,管理设备接收到消息后,可以对该消息进行解析,获取该消息的第一消息头部字段和第一消息内容字段。第一消息头部字段可以携带有网络设备的标识和告警标识,还可以携带有告警消息标识,第一消息内容字段携带有目标告警详细信息。目标告警消息的具体内容可以参照上述步骤201中的相关说明,此处不再赘述。
步骤302,若该消息携带有预设的告警标识,则确定该消息为目标告警消息,并从目标告警消息中获取网络设备的标识和目标告警详细信息,根据网络设备的标识和目标告警详细信息,输出目标告警消息对应的告警提示信息。
本申请实施例中,管理设备可以对该消息的第一消息头部字段进行解析,判断第一消息头部字段中是否包含预设的告警标识。若该消息携带有告警标识,则管理设备可以确定该消息为目标告警消息,然后从目标告警消息中获取网络设备的标识和目标告警详细信息,并根据网络设备的标识和目标告警详细信息,输出目标告警消息对应的告警提示信息。例如,管理设备可以通过预设的显示设备,显示包含该告警提醒信息的弹窗;或者,管理设备也可以通过声音、邮件或短信等方式向管理人员发出告警提示信息,本申请实施例不做限定。
若该消息未携带有告警标识,则管理设备可以确定该消息不是目标告警消息。这样,管理设备通过告警标识,可以快速的识别出目标告警消息,提高了管理设备的响应速度,并且可以降低管理设备的误判率。
步骤303,当接收到管理人员根据告警提示信息输入的第二处理策略时,向告警服务器发送第二告警响应消息,第二告警响应消息携带有第二处理策略和网络设备的标识。
可选的,第二告警响应消息包括第三消息头部字段和第三消息内容字段,第三消息头部字段携带有网络设备的标识和告警标识,还可以存储告警消息标识;第三消息内容字段携带有第二处理策略和处理策略的反馈时间。第二告警响应消息与第一告警响应消息的内容和格式均相同,此处不再赘述。
本申请实施例中,管理人员可以根据告警提示信息,在管理设备中输入目标告警详细信息对应的处理策略(即第二处理策略),管理设备接收到管理人员输入的第二处理策略后,可以生成第二告警响应消息。具体的,管理设备可以从接收到的目标告警消息中,提取第一消息头部字段,作为第二告警响应消息的第三消息头部字段。然后,管理设备可以确定处理策略的反馈时间(该反馈时间可以是接收到第二处理策略的时间),将处理策略的反馈时间和第二处理策略构成第二告警响应消息的第三消息内容字段,进而根据第三消息头部字段和第三消息头部字段封装第二告警响应消息,将第二目标告警消息发送给告警服务器。
本申请实施例中,由于告警服务器中预先存储有告警详细信息和处理策略的对应关系,因此,当告警服务器接收到目标告警消息后,告警服务器可以在该对应关系中查询目标告警详细信息对应的第一处理策略,若查询到目标告警详细信息对应的第一处理策略,则根据网络设备的标识,向网络设备发送第一告警响应消息,第一告警响应消息携带有第一处理策略,以使网络设备执行第一处理策略。这样,当网络设备发生告警时,告警服务器可以自动对目标告警消息进行处理,无需管理人员手动下发处理策略,提高了处理告警的效率。
若未查询到目标告警详细信息对应的第一处理策略,则告警服务器会通过管理设备,请求管理人员下发处理策略,并自动学习目标告警详细信息对应的处理策略,当该告警再次发生时,告警服务器会根据上次自学习到的处理策略,自动做出响应,并下发处理策略。通过不断地自学习,告警服务器的策略资源越来越丰富,对告警的响应速度也越来越迅速。
另外,本申请实施例中,还对目标告警消息和告警响应消息进行了分段处理。目标告警消息的消息头部字段包含告警标识、网络设备的标识和告警消息标识,告警服务器和管理设备可以通过告警标识,快速的识别出目标告警消息,提高了响应速度,并且可以降低对目标告警消息的误判率。另外,可以通过网络设备的标识确定是哪个网络设备发生告警,从而可以精准地下发策略。相应的,由于告警响应消息的消息头部字段包含告警标识、网络设备的标识和告警消息标识,网络设备可以通过告警标识,快速的识别出告警响应消息,提高了处理告警的速度,并且可以降低误判率。同时,可以通过告警消息标识确定是针对哪个告警事件的处理策略。
基于相同的技术构思,本申请实施例还提供了一种告警服务器执行告警处理方法的示例,如图4所示,具体也包括以下步骤。
步骤401,接收网络设备发送的目标告警消息。
其中,目标告警消息携带有网络设备的标识和目标告警详细信息;
步骤402,判断预先存储的告警详细信息和处理策略的对应关系中,是否存在目标告警详细信息对应的第一处理策略。
如果存在目标告警详细信息对应的第一处理策略,则执行步骤403,如果不存在目标告警详细信息对应的第一处理策略,则执行步骤404。
步骤403,根据该网络设备的标识,向网络设备发送第一告警响应消息。
其中,第一告警响应消息携带有第一处理策略,以使网络设备执行第一处理策略。
步骤404,将目标告警消息发送给预设的管理设备。
步骤405,判断是否接收到管理设备发送的第二告警响应消息。
其中,第二告警响应消息携带有第二处理策略和网络设备的标识;
如果接收到第二告警响应消息,则执行步骤406,如果未接收到第二告警响应消息,则结束。
步骤406,根据网络设备的标识,将第二告警响应消息发送给网络设备,并将目标告警详细信息和第二处理策略存储至告警详细信息和处理策略的对应关系中,以建立第二处理策略和目标告警详细信息之间的对应关系。
基于相同的技术构思,本申请实施例还提供了一种告警处理装置,该装置应用于告警服务器,如图5所示,该装置包括接收模块510、查询模块520和发送模块530:
接收模块510,用于接收网络设备发送的目标告警消息,目标告警消息携带有网络设备的标识和目标告警详细信息;
查询模块520,用于在预先存储的告警详细信息和处理策略的对应关系中,查询目标告警详细信息对应的第一处理策略;
发送模块530,用于在查询到目标告警详细信息对应的第一处理策略时,根据网络设备的标识,向网络设备发送第一告警响应消息,第一告警响应消息携带有第一处理策略,以使网络设备执行第一处理策略。
可选的,发送模块530,还用于在未查询到目标告警详细信息对应的第一处理策略时,将目标告警消息发送给预设的管理设备,以使管理设备输出目标告警消息对应的告警提示信息,并接收管理人员根据告警提示信息输入的第二处理策略;
接收模块510,还用于接收管理设备发送的第二告警响应消息,第二告警响应消息携带有第二处理策略和网络设备的标识;
发送模块530,还用于根据网络设备的标识,将第二告警响应消息发送给网络设备。
可选的,如图6所示,该装置还包括获取模块540和存储模块550:
获取模块540,用于获取第二告警响应消息携带的第二处理策略;
存储模块550,用于将目标告警详细信息和第二处理策略存储至告警详细信息和处理策略的对应关系中,以建立第二处理策略和目标告警详细信息之间的对应关系。
可选的,告警消息携带有预设的告警标识;如图7所示,所述装置还包括确定模块560;
所述确定模块560,用于在确定所述网络设备发送的消息携带有预设的告警标识时,确定该消息为目标告警消息,并触发所述查询模块520执行所述在预先存储的告警详细信息和处理策略的对应关系中,查询所述目标告警详细信息对应的第一处理策略的步骤。
可选的,所述目标告警消息包括消息头部字段和消息内容字段,该消息头部字段携带有所述网络设备的标识和告警标识;该消息内容字段携带有所述目标告警详细信息;
告警响应消息包括消息头部字段和消息内容字段,该消息头部字段携带有所述网络设备的标识和告警标识;该内容字段携带有所述第一处理策略/第二处理策略。
本申请实施例中,告警服务器可以接收网络设备发送的目标告警消息,目标告警消息携带有网络设备的标识和目标告警详细信息。告警服务器可以在预先存储的告警详细信息和处理策略的对应关系中,查询目标告警详细信息对应的第一处理策略,若查询到目标告警详细信息对应的第一处理策略,则根据网络设备的标识,向网络设备发送第一告警响应消息,第一告警响应消息携带有第一处理策略,以使网络设备执行第一处理策略。这样,当网络设备发生告警时,告警服务器可以自动对目标告警消息进行处理,无需技术人员手动下发处理策略,提高了处理告警的效率。
本申请实施例还提供了一种告警服务器,如图8所示,包括处理器801、通信接口802、存储器803和通信总线804,其中,处理器801,通信接口802,存储器803通过通信总线804完成相互间的通信,
存储器803,用于存放计算机程序;
处理器801,用于执行存储器803上所存放的程序时,实现如下步骤:
接收网络设备发送的目标告警消息,所述目标告警消息携带有所述网络设备的标识和目标告警详细信息;
在预先存储的告警详细信息和处理策略的对应关系中,查询所述目标告警详细信息对应的第一处理策略;
若查询到所述目标告警详细信息对应的第一处理策略,则根据所述网络设备的标识,向所述网络设备发送第一告警响应消息,所述第一告警响应消息携带有所述第一处理策略,以使所述网络设备执行所述第一处理策略。
可选的,所述方法还包括:
若未查询到所述目标告警详细信息对应的第一处理策略,则将所述目标告警消息发送给预设的管理设备,以使所述管理设备输出所述目标告警消息对应的告警提示信息,并接收管理人员根据所述告警提示信息输入的第二处理策略;
接收所述管理设备发送的第二告警响应消息,所述第二告警响应消息携带有所述第二处理策略和所述网络设备的标识;
根据所述网络设备的标识,将所述第二告警响应消息发送给所述网络设备。
可选的,所述方法还包括:
获取所述第二告警响应消息携带的所述第二处理策略;
将所述目标告警详细信息和所述第二处理策略存储至所述告警详细信息和处理策略的对应关系中,以建立所述第二处理策略和所述目标告警详细信息之间的对应关系。
可选的,告警消息携带有预设的告警标识,所述方法还包括:
在确定所述网络设备发送的消息携带有预设的告警标识时,确定该消息为目标告警消息,并执行所述在预先存储的告警详细信息和处理策略的对应关系中,查询所述目标告警详细信息对应的第一处理策略的步骤。
可选的,所述目标告警消息包括消息头部字段和消息内容字段,该消息头部字段携带有所述网络设备的标识和告警标识;该消息内容字段携带有所述目标告警详细信息;
告警响应消息包括消息头部字段和消息内容字段,该消息头部字段携带有所述网络设备的标识和告警标识;该内容字段携带有所述第一处理策略/第二处理策略。
上述告警服务器提到的通信总线可以是外设部件互连标准(英文:PeripheralComponent Interconnect,简称:PCI)总线或扩展工业标准结构(英文:Extended IndustryStandard Architecture,简称:EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述告警服务器与其他设备之间的通信。
存储器可以包括随机存取存储器(英文:Random Access Memory,简称:RAM),也可以包括非易失性存储器(英文:Non-Volatile Memory,简称:NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(英文:Central ProcessingUnit,简称:CPU)、网络处理器(英文:Network Processor,简称:NP)等;还可以是数字信号处理器(英文:Digital Signal Processing,简称:DSP)、专用集成电路(英文:ApplicationSpecific Integrated Circuit,简称:ASIC)、现场可编程门阵列(英文:Field-Programmable Gate Array,简称:FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
基于相同的技术构思,本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述告警处理方法中告警服务器所执行方法步骤。
基于相同的技术构思,本申请实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述告警处理方法中告警服务器所执行的方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (10)
1.一种告警处理方法,其特征在于,所述方法应用于告警服务器,所述方法包括:
接收网络设备发送的目标告警消息,所述目标告警消息携带有所述网络设备的标识和目标告警详细信息;
在预先存储的告警详细信息和处理策略的对应关系中,查询所述目标告警详细信息对应的第一处理策略;
若查询到所述目标告警详细信息对应的第一处理策略,则根据所述网络设备的标识,向所述网络设备发送第一告警响应消息,所述第一告警响应消息携带有所述第一处理策略,以使所述网络设备执行所述第一处理策略。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若未查询到所述目标告警详细信息对应的第一处理策略,则将所述目标告警消息发送给预设的管理设备,以使所述管理设备输出所述目标告警消息对应的告警提示信息,并接收管理人员根据所述告警提示信息输入的第二处理策略;
接收所述管理设备发送的第二告警响应消息,所述第二告警响应消息携带有所述第二处理策略和所述网络设备的标识;
根据所述网络设备的标识,将所述第二告警响应消息发送给所述网络设备。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
获取所述第二告警响应消息携带的所述第二处理策略;
将所述目标告警详细信息和所述第二处理策略存储至所述告警详细信息和处理策略的对应关系中,以建立所述第二处理策略和所述目标告警详细信息之间的对应关系。
4.根据权利要求1-3任一项所述的方法,其特征在于,告警消息携带有预设的告警标识,所述方法还包括:
在确定所述网络设备发送的消息携带有预设的告警标识时,确定该消息为目标告警消息,并执行所述在预先存储的告警详细信息和处理策略的对应关系中,查询所述目标告警详细信息对应的第一处理策略的步骤。
5.根据权利要求4所述的方法,其特征在于,所述目标告警消息包括消息头部字段和消息内容字段,该消息头部字段携带有所述网络设备的标识和告警标识;该消息内容字段携带有所述目标告警详细信息;
告警响应消息包括消息头部字段和消息内容字段,该消息头部字段携带有所述网络设备的标识和告警标识;该内容字段携带有所述第一处理策略/第二处理策略。
6.一种告警处理装置,其特征在于,所述装置应用于告警服务器,所述装置包括接收模块、查询模块和发送模块:
所述接收模块,用于接收网络设备发送的目标告警消息,所述目标告警消息携带有所述网络设备的标识和目标告警详细信息;
所述查询模块,用于在预先存储的告警详细信息和处理策略的对应关系中,查询所述目标告警详细信息对应的第一处理策略;
所述发送模块,用于在查询到所述目标告警详细信息对应的第一处理策略时,根据所述网络设备的标识,向所述网络设备发送第一告警响应消息,所述第一告警响应消息携带有所述第一处理策略,以使所述网络设备执行所述第一处理策略。
7.根据权利要求6所述的装置,其特征在于,所述发送模块,还用于在未查询到所述目标告警详细信息对应的第一处理策略时,将所述目标告警消息发送给预设的管理设备,以使所述管理设备输出所述目标告警消息对应的告警提示信息,并接收管理人员根据所述告警提示信息输入的第二处理策略;
所述接收模块,还用于接收所述管理设备发送的第二告警响应消息,所述第二告警响应消息携带有所述第二处理策略和所述网络设备的标识;
所述发送模块,还用于根据所述网络设备的标识,将所述第二告警响应消息发送给所述网络设备。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括获取模块和存储模块:
所述获取模块,用于获取所述第二告警响应消息携带的所述第二处理策略;
所述存储模块,用于将所述目标告警详细信息和所述第二处理策略存储至所述告警详细信息和处理策略的对应关系中,以建立所述第二处理策略和所述目标告警详细信息之间的对应关系。
9.根据权利要求6-8任一项所述的装置,其特征在于,告警消息携带有预设的告警标识;所述装置还包括确定模块;
所述确定模块,用于在确定所述网络设备发送的消息携带有预设的告警标识时,确定该消息为目标告警消息,并触发所述查询模块执行所述在预先存储的告警详细信息和处理策略的对应关系中,查询所述目标告警详细信息对应的第一处理策略的步骤。
10.根据权利要求9所述的装置,其特征在于,所述目标告警消息包括消息头部字段和消息内容字段,该消息头部字段携带有所述网络设备的标识和告警标识;该消息内容字段携带有所述目标告警详细信息;
告警响应消息包括消息头部字段和消息内容字段,该消息头部字段携带有所述网络设备的标识和告警标识;该内容字段携带有所述第一处理策略/第二处理策略。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910303412.5A CN109951345A (zh) | 2019-04-16 | 2019-04-16 | 一种告警处理方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910303412.5A CN109951345A (zh) | 2019-04-16 | 2019-04-16 | 一种告警处理方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109951345A true CN109951345A (zh) | 2019-06-28 |
Family
ID=67015361
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910303412.5A Pending CN109951345A (zh) | 2019-04-16 | 2019-04-16 | 一种告警处理方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109951345A (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111539861A (zh) * | 2020-03-24 | 2020-08-14 | 深圳奇迹智慧网络有限公司 | 消防应急处理方法、装置、计算机设备和存储介质 |
CN111740868A (zh) * | 2020-07-07 | 2020-10-02 | 腾讯科技(深圳)有限公司 | 告警数据的处理方法和装置及存储介质 |
CN111930587A (zh) * | 2020-06-24 | 2020-11-13 | 北京大米科技有限公司 | 告警消息处理方法、装置、存储介质及电子设备 |
CN113900755A (zh) * | 2021-10-11 | 2022-01-07 | 重庆紫光华山智安科技有限公司 | 告警页面处理方法、装置、计算机设备及可读存储介质 |
CN114513398A (zh) * | 2020-10-27 | 2022-05-17 | 北京华为数字技术有限公司 | 网络设备告警处理方法、装置、设备及存储介质 |
CN115514622A (zh) * | 2022-11-18 | 2022-12-23 | 阿里巴巴(中国)有限公司 | 交互式对象处理方法、网络通信系统、设备和存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102082702A (zh) * | 2009-11-27 | 2011-06-01 | 华为技术有限公司 | 一种终端告警的处理方法、装置及系统 |
US20120084857A1 (en) * | 2010-09-30 | 2012-04-05 | Verizon Patent And Licensing Inc. | Device security system |
CN105227367A (zh) * | 2015-10-15 | 2016-01-06 | 北京英诺威尔科技股份有限公司 | 一种低延迟的告警解析处理方法 |
-
2019
- 2019-04-16 CN CN201910303412.5A patent/CN109951345A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102082702A (zh) * | 2009-11-27 | 2011-06-01 | 华为技术有限公司 | 一种终端告警的处理方法、装置及系统 |
US20120084857A1 (en) * | 2010-09-30 | 2012-04-05 | Verizon Patent And Licensing Inc. | Device security system |
CN105227367A (zh) * | 2015-10-15 | 2016-01-06 | 北京英诺威尔科技股份有限公司 | 一种低延迟的告警解析处理方法 |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111539861A (zh) * | 2020-03-24 | 2020-08-14 | 深圳奇迹智慧网络有限公司 | 消防应急处理方法、装置、计算机设备和存储介质 |
CN111539861B (zh) * | 2020-03-24 | 2023-08-04 | 深圳奇迹智慧网络有限公司 | 消防应急处理方法、装置、计算机设备和存储介质 |
CN111930587A (zh) * | 2020-06-24 | 2020-11-13 | 北京大米科技有限公司 | 告警消息处理方法、装置、存储介质及电子设备 |
CN111930587B (zh) * | 2020-06-24 | 2024-05-10 | 北京大米科技有限公司 | 告警消息处理方法、装置、存储介质及电子设备 |
CN111740868A (zh) * | 2020-07-07 | 2020-10-02 | 腾讯科技(深圳)有限公司 | 告警数据的处理方法和装置及存储介质 |
CN111740868B (zh) * | 2020-07-07 | 2023-12-15 | 腾讯科技(深圳)有限公司 | 告警数据的处理方法和装置及存储介质 |
CN114513398A (zh) * | 2020-10-27 | 2022-05-17 | 北京华为数字技术有限公司 | 网络设备告警处理方法、装置、设备及存储介质 |
CN114513398B (zh) * | 2020-10-27 | 2023-12-15 | 北京华为数字技术有限公司 | 网络设备告警处理方法、装置、设备及存储介质 |
CN113900755A (zh) * | 2021-10-11 | 2022-01-07 | 重庆紫光华山智安科技有限公司 | 告警页面处理方法、装置、计算机设备及可读存储介质 |
CN113900755B (zh) * | 2021-10-11 | 2024-04-16 | 重庆紫光华山智安科技有限公司 | 告警页面处理方法、装置、计算机设备及可读存储介质 |
CN115514622A (zh) * | 2022-11-18 | 2022-12-23 | 阿里巴巴(中国)有限公司 | 交互式对象处理方法、网络通信系统、设备和存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109951345A (zh) | 一种告警处理方法及装置 | |
EP3750279B1 (en) | Enhanced device updating | |
US10609079B2 (en) | Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management | |
US9038173B2 (en) | System and method for providing network security | |
JP5264470B2 (ja) | 攻撃判定装置及びプログラム | |
US7440406B2 (en) | Apparatus for displaying network status | |
KR20090121579A (ko) | 서버의 취약점을 점검하기 위한 시스템 및 그 방법 | |
CN101803305A (zh) | 网络监视装置、网络监视方法及网络监视程序 | |
CN108063833B (zh) | Http dns解析报文处理方法及装置 | |
US20150172302A1 (en) | Interface for analysis of malicious activity on a network | |
CN106921671B (zh) | 一种网络攻击的检测方法及装置 | |
US20180013783A1 (en) | Method of protecting a communication network | |
CN112165445A (zh) | 用于检测网络攻击的方法、装置、存储介质及计算机设备 | |
US20230362142A1 (en) | Network action classification and analysis using widely distributed and selectively attributed sensor nodes and cloud-based processing | |
US9385993B1 (en) | Media for detecting common suspicious activity occurring on a computer network using firewall data and reports from a network filter device | |
CN115147956A (zh) | 数据处理方法、装置、电子设备及存储介质 | |
CN111316272A (zh) | 使用行为和深度分析的先进网络安全威胁减缓 | |
JP6470201B2 (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
CN108737344A (zh) | 一种网络攻击防护方法和装置 | |
KR102211503B1 (ko) | 유해 ip 판단 방법 | |
JP4095076B2 (ja) | セキュリティ情報交換による評価指標算出に基いたセキュリティ管理装置、セキュリティ管理方法、およびセキュリティ管理プログラム | |
US20120110665A1 (en) | Intrusion Detection Within a Distributed Processing System | |
JP2004030287A (ja) | 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム | |
KR101041997B1 (ko) | 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템 및 그 방법 | |
CN114584356A (zh) | 网络安全监控方法及网络安全监控系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190628 |
|
RJ01 | Rejection of invention patent application after publication |