CN111031050B - 用于用电信息采集系统的监测方法及装置 - Google Patents

Abstract

本发明实施方式提供一种用于用电信息采集系统的监测方法，包括：基于网络探针技术从所述用电信息采集系统的服务器和设备采集数据，采集的数据包括至少性能数据和安全性数据；将采集的数据与采集业务流程、服务器软硬件信息进行对比，以分析造成性能瓶颈的原因；以及将采集的数据与安全漏洞数据进行对比，以分析安全风险问题。通过上述技术方案，通过至少融合探针技术、网络流量镜像采集技术等，对采集系统软硬件性能状态和采集业务开展状态进行数据实时采集、监测、综合分析，解决了采集系统在线性能分析不全面、性能瓶颈难以识别以及业务运行健康度无法判断的问题，提高采集系统无故障运行时间，提升采集系统运行稳定性和业务承载能力。

Description

用于用电信息采集系统的监测方法及装置

技术领域

本发明涉及用电信息采集系统性能与安全监测领域，具体地涉及一种用于用电信息采集系统的监测方法及装置。

背景技术

2010年国家发改委、电监会、能源局等六部委联合印发《电力需求侧管理办法》，要求“电网企业应加强对电力用户用电信息的采集、分析，为电力用户实施电力需求侧管理提供技术支撑和信息服务”，从而将“全覆盖、全采集”的要求推广到全国电网。用电信息采集系统是智能用电服务体系中的应用系统，是实现用电基本信息采集与分析的基础设施，同时也是电力行业推动物联网建设的基础性工控系统，因此保障用电信息采集系统的安全可靠运行尤为重要。但目前各省电力公司普遍存在服务器设备运行性能不稳定，业务高峰期数据处理缓慢以及安全漏洞易遭利用攻击等现象。针对以上情况，目前各省公司通过系统分区分域，负载均衡等方式一定程度上保障了系统运行稳定性与安全性，但在对系统性能与安全监测方面仍存在不足之处，目前监测手段单一、没有专门针对采集系统的有效监测方式，采集系统运维人员无法实时了解采集系统全方位的性能状态与安全状态，亟待解决采集系统在线性能瓶颈在线分析、安全风险实时发现等方面的问题，提升采集系统业务承载能力，提升采集系统安全防护能力，为采集运维提供有效的性能和安全监测支撑。

发明内容

本发明实施方式的目的是提供一种能够有效监测用电信息采集系统的性能与安全的方法及装置。

为了实现上述目的，本发明实施方式提供一种用于用电信息采集系统的监测方法，包括：

基于网络探针技术从所述用电信息采集系统的服务器和设备采集数据，采集的数据包括至少性能数据和安全性数据；

将采集的数据与采集业务流程、服务器软硬件信息进行对比，以分析造成性能瓶颈的原因；以及

将采集的数据与安全漏洞数据进行对比，以分析安全风险问题。

在本发明实施方式中，所述服务器包括以下中的至少一者：

任务服务器或任务服务器集群；

调度服务器或调度服务器集群；

前置机或前置机集群；

所述设备包括交换器。

在本发明实施方式中，所述性能数据包括硬件信息、操作系统有关的内存信息、CPU信息中的至少一者，其中所述性能数据是通过手动创建监测项或使用内置的监测项指令来收集的。

在本发明实施方式中，所述原因包括以下中的至少一者：

采集系统在运行时出现CPU过载；

网络延时；

虚拟内存交换效率降低；

动态负载均衡器作用降低；

程序设计不合理；

参数设置过高或过低。

在本发明实施方式中，监测方法还包括：

采用图形化和列表的方式展示业务数据、性能数据和安全性数据。

本发明另一实施方式提供一种用于用电信息采集系统的监测装置，包括：

网络探针，被配置成在多个监测点采集所述用电信息采集系统的服务器和设备的数据，采集的数据包括至少性能数据和安全性数据，所述设备包括交换机；

流量分发器；

旁路监测服务器，被配置成从设置在与所述服务器相关联的监测点的网络探针获取所述数据，以及通过所述流量分发器并利用网络镜像技术从设置在所述交换机处的监测点的网络探针获取所述数据；以及

性能分析设备，被配置成：

将采集的数据与采集业务流程、服务器软硬件信息进行对比，以分析造成性能瓶颈的原因；以及

将采集的数据与安全漏洞数据进行对比，以分析安全风险问题。

在本发明实施方式中，所述服务器包括以下中的至少一者：

任务服务器或任务服务器集群；

调度服务器或调度服务器集群；

前置机或前置机集群。

在本发明实施方式中，所述监测点被设置在以下中的至少一处：

任务服务器或任务服务器集群的入口；

任务服务器或任务服务器集群的出口；

调度服务器或调度服务器集群的入口；

调度服务器或调度服务器集群的出口；

前置机或前置机集群的入口；

前置机或前置机集群的出口；

交换机的端口。

在本发明实施方式中，所述性能数据包括硬件信息、操作系统有关的内存信息、CPU信息中的至少一者，其中所述性能数据是通过手动创建监测项或使用内置的监测项指令来收集的。

在本发明实施方式中，所述性能分析设备还被配置成：

以图形化和列表的方式展示业务数据、性能数据和安全性数据。

通过上述技术方案，通过至少融合探针技术、网络流量镜像采集技术等，对采集系统软硬件性能状态和采集业务开展状态进行数据实时采集、监测、综合分析，解决了采集系统在线性能分析不全面、性能瓶颈难以识别以及业务运行健康度无法判断的问题，提高采集系统无故障运行时间，提升采集系统运行稳定性和业务承载能力。

本发明实施方式的其它特征和优点将在随后的具体实施方式部分予以详细说明。

附图说明

附图是用来提供对本发明实施方式的进一步理解，并且构成说明书的一部分，与下面的具体实施方式一起用于解释本发明实施方式，但并不构成对本发明实施方式的限制。在附图中：

图1示出了根据本发明实施方式的用于用电信息采集系统的监测装置的架构示意图；

图2示出了根据本发明实施方式的用于用电信息采集系统的监测方法的流程图。

具体实施方式

以下结合附图对本发明实施方式的具体实施方式进行详细说明。应当理解的是，此处所描述的具体实施方式仅用于说明和解释本发明实施方式，并不用于限制本发明实施方式。

若本公开实施方式中有涉及“第一”、“第二”等的描述，则该“第一”、“第二”等的描述仅用于描述目的，而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外，各个实施方式之间的技术方案可以相互结合，但是必须是以本领域普通技术人员能够实现为基础，当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在，也不在本公开要求的保护范围之内。

在本说明书的描述中，参考术语“一个实施方式”、“一些实施方式”、“示意性实施方式”、“示例”、“具体示例”或“一些示例”等的描述意指结合所述实施方式或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施方式或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施方式或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施方式或示例中以合适的方式结合。

电力用户用电信息采集系统(以下简称“用电信息采集系统”)是对电力用户的用电信息进行采集、处理和实时监控的系统，实现用电信息的自动采集、计量异常监测、电能质量监测、用电分析和管理、相关信息发布、分布式能源监控、智能用电设备的信息交互等功能。一般来说，用电信息采集系统可以包括但不限于，例如基本应用功能、高级应用功能、运行管理功能、有序用电功能、统计查询功能、系统管理功能等。

基本应用功能可以包括例如，数据采集管理子功能、预付费管理子功能以及接口管理子功能。数据采集管理子功能主要是对抄表状况进行管理，包括：采集完整率、采集成功率、随机采集以及终端实时在线率。预付费管理子功能主要是对主站费控用户进行预付费管理，主要包括：费控参数下发、费控执行、催费控制、电价参数下发等。接口管理子功能用于管理用电信息采集系统与外部系统之间的数据和业务交互过程，并提供审核和日志功能。日志功能可以监测接口运行情况和数据传输情况。

高级应用功能可以包括例如，配变监测分析、线损统计分析、重点用户监测、问题交流平台、数据修复、厂站应用分析、防窃电分析。配变监测分析主要包括变压器负载分析、三相不平衡分析、电压越统计等。线损统计分析主要是系统根据营销系统模型或者自定模型进行线损计算，并提供相应的线损查询，分析的功能主要包括线损模型设计、线损综合分析等。

图1示出了根据本发明实施方式的用于用电信息采集系统的监测装置的架构示意图。如图1所示，用电信息采集系统可以包括硬件资源和软件资源。硬件资源可以包括例如，主机、终端、交换机110、防火墙、负载均衡、存储设备、时钟服务器、3A服务器、密码机、厂站前置机集群、任务服务器集群、调度服务器集群、前置机集群等，软件资源可以包括例如，中间件、虚拟化等，采集系统还可以与各个系统对接，存在各类型的接口等，各个方面都可以纳入监控范围。目前的监测模块只监测部分资源，未达到资源的全面监控，从而会导致部分资源出现问题无法进行性能和安全提醒，整体监测可靠性达不到应有的高度。

继续参考图1，本发明实施方式提供的监测装置可以包括网络探针(图中未显示设备结构)、流量分发器120、数据库服务器130、旁路监测服务器(或集群)140、网络安全和性能监测服务器(或集群)(可以是分开的或者集成的)150以及性能分析设备160。性能分析设备可以包括性能分析服务器或服务器集群。

网络探针可以被设置在用电信息采集系统网络架构的多个监测点，监测点的位置可以包括但不限于，任务服务器集群的入口和出口、调度服务器集群的入口和出口、前置机集群的入口和出口、交换机的端口(例如，镜像端口)、应用服务器集群的入口、数据库服务器的入口。网络探针可以被用于监测采集系统的各服务器的软硬件指标来查看服务器性能走势。

旁路监测服务器140可以通过网络探针获取各个监测点的数据。另外，旁路监测服务器140还可以利用端口镜像，通过流量分发器130获取网络中交换机110(例如光纤交换机)端口的数据，以为网络安全监测分析提供数据源。

通过在采集服务器端采用Agentless方式，通过一些标准的协议(例如包括主机使用的SNMP、Telnet、SSH、WMI等，以及应用使用的JMX、JDBC、ODBC等)，手动创建监测项或使用内置的监测项指令来完成对硬件信息或操作系统有关的内存、CPU等信息的收集，主动将查询数据反馈至监控平台中，监控平台页面展示被监测服务器的指标信息。

采用网络镜像技术是对当前网络影响最小的监控模式，在核心交换机制作镜像端口，汇总监测服务器网络流量，分析镜像端口拷贝过来的数据，对原始数据包不会造成影响(延时)，数据解析可以采用698规约和376.1协议，根据解析内容分析采集业务流程的开展与运行，通过对内容进行加工处理直观展示采集运行情况。

数据库服务器130主要负责对监控服务器指标数据，服务器漏洞扫描数据，解析光纤交换机上镜像端口的网络数据进行入库操作。数据库服务器130的数据可以通过例如交换机(例如图中示出的SAN交换机)存储到存储装置中。

网络安全和性能监测服务器150主要展示各服务器具体指标实时变化与采集各业务线的进行以及漏洞问题的展示。

性能分析设备160主要负责对收集的各种数据进行分析，例如，配电业务管理、线损分析、电量统计、决策分析等。性能分析设备160还可以通过评估诊断技术快速发现网络资产，准确识别资产属性，全面扫描操作系统和中间件安全漏洞，清晰定性安全风险，提供风险描述、修复建议和预防措施，扫描目前主流的WEB应用类型，遍历应用系统请求内容，主动发现应用系统潜在的OWASP TOP 10等主流安全缺陷或漏洞，包括跨站脚本、敏感文件泄露、暗链、木马等漏洞，并提供风险描述和修复建议，模拟人工核查的过程，登录系统，执行脚本，获得系统安全参数，逐条核查是否满足基本安全配置要求的合集，并提供风险描述和整改方案。

具体来说，性能分析设备160通过将探针监控技术、网络数据解析及诊断技术系统融合，在获取性能与安全数据基础上，采用图形化及列表的方式，将业务、性能、安全数据展示在监控平台页面中，并将告警数据以邮件、短信的方式，安全漏洞以报表的方式反馈给采集系统。通过对监测数据与采集业务流程、服务器软硬件信息、安全漏洞的数据比对方式挖掘出采集系统在运行时出现CPU过载、网络延时、虚拟内存交换效率降低、动态负载均衡器作用降低、程序设计不合理、参数设置过高过低等造成性能瓶颈以及在程序设计中存在SQL注入，XSS跨站脚本攻击、明感信息漏洞、CSRF跨站请求伪造、反序列化漏洞、非法端口使用、默认安装程序包版本过低等安全风险问题。融合通用在运行上为采集系统及服务器软硬件监测、业务开展、安全等方向提供了技术上的支持。

图2示出了根据本发明实施方式的用于用电信息采集系统的监测方法的流程图。如图2所示，本发明实施方式提供的监测方法可以包括以下步骤。

在步骤S21中，基于网络探针技术从用电信息采集系统的服务器和设备采集数据。被采集数据的服务器可以包括但不限于，任务服务器(或集群)、调度服务器(或集群)、前置机(或集群)，设备可以包括但不限于交换机(例如用电信息采集系统的网络架构中的核心交换机(例如图1中的交换机110))。数据可以包括性能数据、安全性数据。性能数据可以包括硬件信息或操作系统有关的内存信息、CPU信息等。

在本发明实施方式中，可以采用Agentless方式，通过一些标准的协议(例如包括主机使用的SNMP、Telnet、SSH、WMI等，以及应用使用的JMX、JDBC、ODBC等)，手动创建监测项或使用内置的监测项指令来完成对硬件信息或操作系统有关的内存、CPU等信息的收集。

例如，旁路监测服务器(例如图1中的旁路监测服务器140)可以通过网络探针获取从采集系统的各服务器采集的数据，并可以利用网络镜像技术通过流量分发器从交换机(例如核心交换机)获取数据(例如网络流量)。

在步骤S22中，将采集的数据与采集业务流程、服务器软硬件信息进行对比，来分析造成性能瓶颈的原因。例如，原因可以包括：采集系统在运行时出现CPU过载、网络延时、虚拟内存交换效率降低、动态负载均衡器作用降低、程序设计不合理、参数设置过高或过低等。性能瓶颈分析方法可以采用本领域所属技术人员所知的方式，例如，评估诊断技术和线速分析技术，在此不再赘述。

例如，性能分析设备(例如图1中的性能分析设备160)可以从旁路监测服务器获取采集的数据、采集业务流程、服务器软硬件信息等，然后执行步骤S22。

在步骤S23中，将采集的数据与安全漏洞数据进行对比，来分析安全风险问题。安全风险问题可以包括但不限于，在程序设计中存在SQL注入，XSS跨站脚本攻击、明感信息漏洞、CSRF跨站请求伪造、反序列化漏洞、非法端口使用、默认安装程序包版本过低等。可以采用本领域技术人员所知的方式或技术来扫描漏洞，以得到安全漏洞数据。同样地，性能分析设备可以执行步骤S23。

在本发明的实施方式中，监测方法还可以采用图形化和列表的方式展示业务数据、性能数据和安全性数据。

本发明实施方式的优点可以包括以下方面之一。

提出通过融合探针技术、网络流量镜像采集技术、业务关联技术、评估诊断技术和线速分析技术，对采集系统软硬件性能状态和采集业务开展状态进行数据实时采集、实时监测、实时告警、闭环处理、综合分析的解决方案，解决了采集系统在线性能分析不全面、性能瓶颈难以识别以及业务运行健康度无法判断的问题，提高采集系统无故障运行时间，提升采集系统运行稳定性和业务承载能力。

首次提出将服务扫描、主机安全扫描、应用安全扫描、数据库安全扫描和安全基线配置核查等安全监测功能于一体的综合安全监测体系，并结合新型安全风险评估理论分析采集系统信息安全漏洞，同时结合采集系统作为工控系统的特性，对监测内容和方法进行了深化和补充，解决了原有采集系统安全监测手段不全面、不深入的问题，完善采集系统安全防护体系，提高采集系统安全防护能力。

首次建立性能告警、安全告警、业务告警统一呈现、综合分析、分级处理的告警管理体系，同时融入短信、邮件、平台等告警通知手段，使采集系统安全风险可监测、可识别、可处理，并对已处理的安全风险进行验证，解决了以往采集系统异常事件事前不可预测、事中不可处理、事后不可验证的难题，确保了省公司能够对采集系统异常运行情况进行监测与处理，为省公司对标和采集设备运行评价提供技术支撑。

本申请是参照根据本申请实施方式的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

在一个典型的配置中，设备包括一个或多个处理器(CPU)、存储器和总线。设备还可以包括输入/输出接口、网络接口等。

存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)，存储器包括至少一个存储芯片。存储器是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本申请的实施方式可提供为方法、系统或计算机程序产品。因此，本申请可采用完全硬件实施方式、完全软件实施方式或结合软件和硬件方面的实施方式的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

以上仅为本申请的实施方式而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。

Claims (8)

1.一种用于用电信息采集系统的监测方法，其特征在于，包括：

基于网络探针技术从所述用电信息采集系统的服务器和设备采集数据，采集的数据包括至少性能数据和安全性数据；

将采集的数据与采集业务流程、服务器软硬件信息进行对比，以分析造成性能瓶颈的原因；以及

将采集的数据与安全漏洞数据进行对比，以分析安全风险问题；

其中，所述网络探针被设置在用电信息采集系统网络架构的多个监测点；

基于网络探针技术从所述用电信息采集系统的服务器和设备采集数据包括：

通过旁路监测服务器从所述用电采集系统的各服务器采集数据，并利用网络镜像技术通过流量分发器从交换机获取数据；

所述服务器包括：

任务服务器或任务服务器集群；

调度服务器或调度服务器集群；

前置机或前置机集群；

所述设备包括交换器。

2.根据权利要求1所述的监测方法，其特征在于，所述性能数据包括硬件信息、操作系统有关的内存信息、CPU信息中的至少一者，其中所述性能数据是通过手动创建监测项或使用内置的监测项指令来收集的。

3.根据权利要求1所述的监测方法，其特征在于，所述原因包括以下中的至少一者：

采集系统在运行时出现CPU过载；

网络延时；

虚拟内存交换效率降低；

动态负载均衡器作用降低；

程序设计不合理；

参数设置过高或过低。

4.根据权利要求1所述的监测方法，其特征在于，还包括：

采用图形化和列表的方式展示业务数据、性能数据和安全性数据。

5.一种用于用电信息采集系统的监测装置，其特征在于，包括：

网络探针，设置在用电信息采集系统网络架构的多个监测点；被配置成在多个监测点采集所述用电信息采集系统的服务器和设备的数据，采集的数据包括至少性能数据和安全性数据，所述设备包括交换机；

流量分发器；

旁路监测服务器，被配置成从设置在与所述服务器相关联的监测点的网络探针获取所述数据，以及通过所述流量分发器并利用网络镜像技术从设置在所述交换机处的监测点的网络探针获取所述数据；以及

性能分析设备，被配置成：

将采集的数据与采集业务流程、服务器软硬件信息进行对比，以分析造成性能瓶颈的原因；以及

将采集的数据与安全漏洞数据进行对比，以分析安全风险问题；

所述服务器包括：

任务服务器或任务服务器集群；

调度服务器或调度服务器集群；

前置机或前置机集群。

6.根据权利要求5所述的监测装置，其特征在于，所述监测点被设置在以下中的至少一处：

任务服务器或任务服务器集群的入口；

任务服务器或任务服务器集群的出口；

调度服务器或调度服务器集群的入口；

调度服务器或调度服务器集群的出口；

前置机或前置机集群的入口；

前置机或前置机集群的出口；

交换机的端口。

7.根据权利要求5所述的监测装置，其特征在于，所述性能数据包括硬件信息、操作系统有关的内存信息、CPU信息中的至少一者，其中所述性能数据是通过手动创建监测项或使用内置的监测项指令来收集的。

8.根据权利要求5所述的监测装置，其特征在于，所述性能分析设备还被配置成：

以图形化和列表的方式展示业务数据、性能数据和安全性数据。

Images