CN111371623B

CN111371623B - 业务性能和安全的监测方法、装置、存储介质及电子设备

Info

Publication number: CN111371623B
Application number: CN202010176538.3A
Authority: CN
Inventors: 杨磊
Original assignee: Individual
Current assignee: Individual
Priority date: 2020-03-13
Filing date: 2020-03-13
Publication date: 2023-02-28
Anticipated expiration: 2040-03-13
Also published as: CN111371623A

Abstract

本申请实施例公开了一种业务性能和安全的监测方法、装置、存储介质及电子设备。本方案为纯软件就可以实现的技术方案，并且可以通过负载均衡设备的日志，获取目标服务器的服务器响应时间和错误代码，从而实现对异常目标服务器的定位，并通过业务MAP图确定进程异常、以及进程运行操作系统异常。另外还可根据业务MAP图，确定该业务运行的服务器群，确定这些服务器上是否有安全事件，若是，则确定安全异常服务器，反馈安全事件的信息。并根据安全事件的异常情况，进行维护处理。本技术方案，可以实现对被监控系统进行低成本、高效率且准确性高的监测的效果。

Description

业务性能和安全的监测方法、装置、存储介质及电子设备

技术领域

本申请实施例涉及互联网技术领域，尤其涉及一种业务性能和安全的监测方法、装置、存储介质及电子设备。

背景技术

随着科学技术突飞猛进的发展，我们正进入到数字化时代，各种类型的业务系统正在迅速的发展起来，如电商类型，地图类型，以及其他应用或者娱乐的类型。然而对各种业务系统来说，最重要的是用户体验，而业务系统对于用户触发的请求的成功响应和响应速度，将直接影响用户的使用体验。因此，对于业务系统的运行稳定性的监督显得十分重要。

现有的对业务系统的性能监控方式，往往可分为两大类，一种是基于网络数据包分析的性能分析解决方案，也称为NPM；另一种是基于“代码插入”技术的性能分析解决方案，也成为APM。

基于网络数据包的的性能分析方式，采用的是通过探针旁路抓取网络上的数据包并进行分析，从而了解每个应用的性能和用户的体验，帮助用户发现和定位问题。这种技术的优势：与用户业务和服务器零耦合，即使重启监控系统业务系统自身不受任何影响。这种方案的劣势：1.由于从数据包来分析业务的性能，计算工作量很大；因此探针硬件设备成本很高。2.探针本身并不了解业务逻辑，因此对业务系统的各个节点的逻辑关系进行梳理和分析时，难度很大。3.这种方案仅能够进行问题定位，如果需要解决问题还需要在定位故障节点之后，借助其他网管工具深入到该节点的内部进行分析处理。4.NPM整体解决方案的复杂性，导致实施和运维成本很高。

而基于“代码插入”技术的性能分析方式，是通过在用户业务程序里插入代码的方式来实现的，这样的优势：能够掌握服务器内部各个业务进程之间的逻辑连接关系，如出现异常可以直达代码层面。劣势：1.代码插件技术，目前支持JAVA和.Net平台开发的应用，其他平台和工具开发的应用目前不成熟。因此使用环境受限。2.实际的项目当中，插入的代码常常会影响业务程序本身的正常运行。因此用户一般只将其使用在开发环境，而非真实的生产环境。3.APM无法监控TCP建链的时间，TCP连接的成功率，重传导致的延时这些网络性能指标。4.由于技术的复杂性，对于实施和运维人员要求很高。

发明内容

本申请实施例提供一种业务性能和安全的监测方法、装置、存储介质及电子设备，可以实现对被监控系统进行低成本、高效率且准确性高的监测的效果。

第一方面，本申请实施例提供了一种业务性能和安全的监测方法，该方法包括：

通过负载均衡设备的日志，获取目标服务器的服务器响应时间和错误代码；所述目标服务器包括直接响应最终用户请求的前端服务器、应用服务器以及数据库服务器中的至少一种；

根据目标服务器的响应时间或者返回的错误代码，确定是否存在服务器响应异常；

若是，则基于基准访问信息，查看本网管软件自动绘制业务MAP图；其中，所述基准访问信息包括访问业务页面的URL，或者，访问业务IP和TCP/UDP端口号；

根据所述业务MAP图确定存在异常的目标服务器，该服务器上的异常业务进程；并根据所述业务进程和服务器操作系统的异常情况，进行维护处理。

可选的，在确定业务MAP图之后，所述方法还包括：

根据所述业务MAP图确定存在异常的目标服务器，该服务器上的业务进程；并判断所述业务进程和服务器操作系统的异常情况，判断条件包括：

采用所述业务MAP图收集存在问题的目标服务器的KPI数据；其中，所述服务器操作系统的KPI数据包括：CPU使用率，内存使用率，磁盘IO的读写速度，网卡流量以及丢包中的至少一种；

其中，所述服务器上业务进程的KPI数据包括：进程是否正在运行，进程的CPU使用率，进程的内存使用率，进程的运行时间，进程产生的网络流量的至少一种；

根据所述KPI数据确定异常的目标服务器，以及该服务器上的业务进程异常，以及该服务器操作系统性能异常。

可选的，根据所述KPI数据确定存在问题的目标服务器的异常业务进程，包括：

获取在预设数量个工作日内目标服务器的每个正常运行工作日的KPI峰值，并计算所述每个工作日的KPI峰值的平均值；

若目标服务器的KPI数据大于所述KPI峰值的平均值的1.2倍，则确定当前目标服务器存在业务进程的异常波动；

若目标服务器的进程没有启动运行，则直接判定当前目标服务器的业务进程没有启动，确定业务不可用。

可选的，所述方法还包括：

获取目标服务器运行无异常情况下的所有运行进程信息，以及进程对应的程序hash值和TCP/UDP连接，构建目标服务器的标准画像；

采集目标服务器的实时信息，所述实时信息包括实时进程信息，以及进程对应的程序hash值和实时TCP/UDP连接；

基于所述标准画像，确定所述目标服务器的实时信息是否满足预设数据安全标准。

可选的，基于所述标准画像，确定所述目标服务器的实时信息是否满足预设数据安全标准，包括：

若所述目标服务器的实时信息相对于所述标准画像，存在新的进程、运行进程对应的程序hash值与安全标准的不一致以及新的TCP/UDP连接，则确定所述目标服务器的实时信息不满足预设数据安全标准，并生成警示信息。

可选的，在生成警示信息之后，所述方法还包括：

若存在新的进程，则识别所述新的进程是否为新安装的应用程序；若是，则确定符合安全标准；并将所述新的进程更新至所述标准画像中；

若存在运行进程对应的程序hash值与安全标准的不一致，则识别被篡改的hash值是否为为升级该应用程序所导致；若是，则确定符合安全标准；并将所述运行进程对应的程序hash值更新至所述标准画像中；

若存在新的TCP/UDP连接，则确定发起连接的请求是否为正常请求；若是，则确定符合安全标准；并将所述新的TCP/UDP连接更新至所述标准画像中。

可选的，所述方法还包括：

创建网管账户，所述网管账户通过密钥技术远程登录服务器，且所述网管用户具有除ROOT组以外的该服务器其他所有组的系统权限。

第二方面，本申请实施例提供了一种业务性能和安全的监测装置，该装置包括：

响应信息获取模块，用于通过负载均衡设备的日志，获取目标服务器的服务器响应时间和错误代码；所述目标服务器包括直接响应最终用户请求的前端服务器、应用服务器以及数据库服务器中的至少一种；

响应异常确定模块，用于根据目标服务器的响应时间或者返回的错误代码，确定是否存在服务器响应异常；

业务MAP图绘制模块，则基于基准访问信息，绘制业务MAP图；其中，所述基准访问信息包括访问业务页面的URL，或者，访问业务IP和TCP/UDP端口号；

异常识别模块，用于根据所述业务MAP图确定存在异常的目标服务器，该服务器上的异常业务进程；并根据所述业务进程和服务器操作系统的异常情况，进行维护处理。

第三方面，本申请实施例提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如本申请实施例所述的业务性能和安全的监测方法。

第四方面，本申请实施例提供了一种电子设备，包括存储器，处理器及存储在存储器上并可在处理器运行的计算机程序，所述处理器执行所述计算机程序时实现如本申请实施例所述的业务性能和安全的监测方法。

本申请实施例所提供的技术方案，通过负载均衡设备的日志，获取目标服务器的服务器响应时间和错误代码；所述目标服务器包括直接响应最终用户请求的前端服务器、应用服务器以及数据库服务器中的至少一种；根据目标服务器的响应时间或者返回的错误代码，确定是否存在服务器响应异常；若是，则基于基准访问信息，本网管软件自动绘制的业务MAP图；其中，所述基准访问信息包括访问业务页面的URL，或者，访问业务IP和TCP/UDP端口号；根据所述业务MAP图确定存在异常的目标服务器，该服务器上的业务进程；并根据所述业务进程的异常情况、服务器操作系统的异常情况、以及服务器上安全事件的异常情况，进行维护处理。通过采用本申请所提供的技术方案，可以实现对被监控系统进行低成本、高效率且准确性高的监测的效果。

附图说明

图1是本申请实施例提供的业务性能和安全的监测方法的流程图；

图2是本申请实施例提供的业务系统响应过程示意图；

图3是本申请实施例提供的业务性能和安全的监测示意图；

图4是本申请实施例提供的业务MAP图的示意图；

图5是本申请实施例提供的Rocky服务器上该业务连接和进程的信息示意图；

图6是本申请实施例提供的SC服务器上该业务连接和进程的信息示意图；

图7是本申请实施例提供的登录后界面示意图；

图8是本申请实施例提供的用户界面显示服务不可用异常示意图；

图9是本申请实施例提供的业务MAP图告警示意图；

图10是本申请实施例提供的故障服务器SC上的网管数据的截图；

图11是本申请实施例提供的故障服务器SC上恢复操作的截图；

图12是本申请实施例提供的异常解决后的示意图；

图13是本申请实施例提供的用户界面显示数据库服务器应用进程连接异常截图；

图14是本申请实施例提供的业务MAP图告警示意图；

图15是本申请实施例提供的故障服务器Rocky上的网管数据示意图；

图16是本申请实施例提供的故障服务器Rocky上恢复操作的截图示意图；

图17是本申请实施例提供的数据库服务器应用进程异常解决后的截图；

图18是本申请实施例提供的业务MAP图安全告警示意图；

图19是本申请实施例提供的异常安全告警服务器上的网管数据截图；

图20是本申请实施例提供的异常安全告警服务器上的网管数据截图；

图21是本申请实施例提供的异常安全告警服务器上的安全检查的截图；

图22是本申请实施例提供的业务性能和安全的监测装置的结构示意图；

图23是本申请实施例提供的一种电子设备的结构示意图。

具体实施方式

下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本申请，而非对本申请的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本申请相关的部分而非全部结构。

在更加详细地讨论示例性实施例之前应当提到的是，一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各步骤描述成顺序的处理，但是其中的许多步骤可以被并行地、并发地或者同时实施。此外，各步骤的顺序可以被重新安排。当其操作完成时所述处理可以被终止，但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。

图1是本申请实施例提供的业务性能和安全的监测方法的流程图，本实施例可适用于业务系统监测的情况，该方法可以由本申请实施例所提供的业务性能和安全的监测装置执行，该装置可以由软件和/或硬件的方式来实现，并可集成于网络管理系统的电子设备中。

如图1所示，所述业务性能和安全的监测方法包括：

S110、通过负载均衡设备的日志，获取目标服务器的服务器响应时间和错误代码；所述目标服务器包括直接响应最终用户请求的前端服务器、应用服务器以及数据库服务器中的至少一种。

其本技术方案可以由网管服务器来执行，或者其他可以执行网络管理的设备来执行。其中直接响应最终用户请求的前端服务器，例如可以是Web服务器。

图2是本申请实施例提供的业务系统响应过程示意图。如图2所示，用户响应时间(用户单笔业务请求响应的时间)＝TCP连接建立时间+服务器响应时间+数据传输时间；TCP连接建立时间一般很短(因为TCP建链都是小包，且中国去美国的数据包传输时间也就100多毫秒，整个建链时间不会超过300毫秒)。

因此用户响应时间取决于服务器响应时间(服务器里应用程序响应的快慢)和数据传输时间(网络的快慢)。NPM的探针就是通过抓取和分析这图中的数据包，计算对应指标的(还包括连接失败，HTTP 4xx/5xx错误)。

以上是单跳应用用户响应时间的计算原理。但用户的业务通常是由“多跳应用”构建组成，最典型的就是前端负载均担设备(比如F5和云端的SLB),后面依次为Web服务器，APP服务器和数据库服务器。在复杂业务系统里，会有多跳APP应用服务器。

图3是本申请实施例提供的业务性能和安全的监测示意图。如图3所示，NPM在分析业务系统性能问题时，需要先分析出业务的应用MAP图。如果判断业务缓慢的问题，先看最下面的DB平均响应时间是否正常(取决于DB服务器的快慢)，再看图中App平均响应时间减DB响应时间是否正常(取决于APP服务器的快慢),再看图中Web平均响应时间减App响应时间是否正常(取决于Web服务器的快慢)；这样来定位问题。

Web服务器和App服务器前端都部署了服务器负载均担设备/SLB(图中是F5),SLB将用户的请求转发给后台的服务器，而后又将后台服务器的响应转发给对应的客户端。因此现在SLB设备，通过将这些转发记录放入到一个日志当中。其他网管工具(比如ELK)读取这些日志，也可以得到与NPM探针分析出的指标。

可以说SLB除了进行负载均担的工作外，它记录下的日志也可以起到NPM探针的性能KPI指标计算的功能。但如NPM解决方案的弊端一样，光靠SLB的日志无法回避无法深入服务器内部分析的问题、构建业务MAP图难的问题、SLB设备本身性能不足的问题。

目前通过SLB日志感知用户体验的问题，是比较广泛的解决解决方案。发现问题后，判断是前面网络的问题，还是后面服务器的问题。后端面服务器的问题还需要其他网管工具来分析判断。

本业务性能和安全综合网管系统的数据源有两部分组成：SLB的日志，服务器上的系统shell命令得到的数据。如下图：SLB的日志数据，每3分钟(3分钟间隔可以调)推送一次给网管服务器(如同其推送给ELK服务器一样)。在本监控服务器上安装一个“系统Agent”，该Agent会先创建一个网管用户，使用该用户运行一些shell系统命令，将命令结果每3分钟(3分钟间隔可以调)传给网管服务器。

S120、根据目标服务器的响应时间或者返回的错误代码，确定是否存在服务器响应异常。

其中，在获取到目标服务器的响应时间之后，可以根据响应时间的来确定目标服务器是否存在异常，或者如果直接返回错误代码，则可以根据错误代码的内容确定目标服务器的异常原因。

本技术方案，通过确定目标服务器的响应异常，可以确定存在异常的目标服务器，由此可以实现定位，避免了采用现有技术中通过探针等设备进行定位造成的检测成本过高的问题。

S130、若是，则基于基准访问信息，调用为该业务自动绘制的业务MAP图；其中，所述基准访问信息包括访问业务页面的URL，或者，访问业务IP和TCP/UDP端口号。

其中，可以根据访问业务页面的URL，或者，访问业务IP和TCP/UDP端口号等基准信息，确定业务MAP图中各个服务器的IP地址，进程以及端口等信息。

图4是本申请实施例提供的业务MAP图的示意图。。如图4所示，最左端是客户端，第一个服务器是Web服务器，运行httpd进程，对外服务端口：8080；第二个是APP服务器，运行php-fpm进程，对外服务端口：9000；第三个是数据库服务器，运行mysqld进程，对外服务端口：3306。在业务入口的url是http://192.168.180.162:8080，业务入口的信息决定了访问的业务，以及调用网管系统自动绘制的业务MAP图；业务MAP图包括各个服务器节点的IP地址，进程以及端口，以及第一个服务器的进程连接第二个服务器的哪个进程，等等。

图5是本申请实施例提供的Rocky服务器上该业务连接和进程的信息示意图。从图5所示的内容，可以确定TCP连接顺序如下：

客户端192.168.180.1连接了Rocky服务器(192.168.180.162)上HTTPD进程(进程号:1134)开启的8080对外服务端口。

Rocky服务器(192.168.180.162)的httpd进程(进程号:1134)向后端的SC服务器(192.168.180.166)的9000端口发起了连接。SC服务器上的进程信息，需要在SC服务器上查找。

SC服务器(192.168.180.166)再向的Rocky服务器(192.168.180.162)上mysqld进程(进程号:1336)开启的3306对外端口发起了连接。SC服务器上的进程信息，需要在SC服务器上查找。

图6是本申请实施例提供的SC服务器上该业务连接和进程的信息示意图。从图6所示的内容，可以确定TCP连接顺序如下：

远端的Rocky服务器(192.168.180.162)向本服务器(192.168.180.166)的9000端口发起了连接。SC服务器上的进程是php-fpm(进程号:2695)。

本服务器(192.168.180.166)的php-fpm进程(进程号:2695)向后端的SC服务器(192.168.180.166)上开启的3306对外端口发起了连接。

以上这些信息与前面Rocky服务器上的信息都对应上。通过上述信息，网管系统就可自动绘制出业务MAP图。

图5和图6的截图，还获取下表信息：

表中的数据是本网管系统进行性能管理和安全管理的数据源。

在本技术方案中，可选的，在确定业务MAP图之后，所述方法还包括：根据所述业务MAP图中目标服务器的业务进程是否存在异常；若是，则根据反馈的业务进程的情况，进行维护处理。其中，业务进程的异常，可以是包括业务进程没有正常启动、业务进程的cpu使用率很高、业务进程的内存使用率很高等。

确定该服务器操作系统性能是否存在异常，例如发现服务器整体CPU和内存使用率很高，服务器磁盘读写速度变慢，服务器网卡丢包严重等。发现这些具体的问题后，管理员就可对应的快速处理，从而保证业务系统的正常运行。

S140、根据所述业务MAP图确定存在异常的目标服务器，该服务器上的异常业务进程；并根据所述业务进程和服务器操作系统的异常情况，进行维护处理。

其中，由于可以确定存在异常的目标服务器，而且可以对目标服务器的应用进程以及业务处理逻辑进行跟踪，由此可以准确的确定业务处理过程中问题出现的位置和逻辑，可以辅助工作人员确定解决方案。

在本实施例中，可选的，根据所述业务MAP图确定存在异常的目标服务器，该服务器上的业务进程；并判断所述业务进程和服务器操作系统的异常情况。

其中，CPU使用率，内存使用率，磁盘IO的读写速度，网卡流量以及丢包情况等数据，可以通过业务MAP图进行收集，并且以此数据作为确定目标服务器或者目标服务器上面的业务进程是否存在异常。通过这样的设置，可以更加直接的获取业务处理过程中目标服务器内部的运行数据，从而准确的确定是否存在异常，以及存在哪种异常情况，有助于用户对异常进行及时并且准确的处理。

在本实施例中，可选的，根据所述KPI数据确定存在问题的目标服务器的异常业务进程，包括：获取在预设数量个工作日内目标服务器的每个正常运行工作日的KPI峰值，并计算所述每个工作日的KPI峰值的平均值；若目标服务器的KPI数据大于所述KPI峰值的平均值的1.2倍，则确定当前目标服务器存在业务进程的异常波动；若目标服务器的进程没有启动运行，则直接判定当前目标服务器的业务进程没有启动，确定业务不可用。其中，预设数量可以是20，即采用以往的20个工作日的KPI峰值作为异常评定的标准。采用这样的设置，可以提高对于业务系统中目标服务器的进程存在异常的评定的准确性。

本申请实施例所提供的技术方案，通过负载均衡设备的日志，获取目标服务器的服务器响应时间和错误代码；所述目标服务器包括直接响应最终用户请求的前端服务器、应用服务器以及数据库服务器中的至少一种；根据目标服务器的响应时间或者返回的错误代码，确定是否存在服务器响应异常；若是，则基于基准访问信息，绘制业务MAP图；其中，所述基准访问信息包括访问业务页面的URL，或者，访问业务IP和TCP/UDP端口号；根据所述业务MAP图确定存在异常的目标服务器，该服务器上的异常业务进程；并根据所述业务进程和服务器操作系统的异常情况，进行维护处理。通过采用本申请所提供的技术方案，可以实现对被监控系统进行低成本、高效率且准确性高的监测的效果。

在上述各技术方案的基础上，可选的，所述方法还包括：获取目标服务器运行无异常情况下的所有运行进程信息，以及进程对应的程序hash值和TCP/UDP连接，构建目标服务器的标准画像；采集目标服务器的实时信息，所述实时信息包括实时进程信息，以及进程对应的程序hash值和实时TCP/UDP连接；基于所述标准画像，确定所述目标服务器的实时信息是否满足预设数据安全标准。

在本技术方案中，可以在服务器安装上线之前，先对操作系统和所有的应用程序进行确认。可以确保所有的软件来源安全，中间没有人篡改或者中毒的情况发生。如果是可以确保被监测的系统的运行稳定性，可以在服务器上线之后进行。完毕后以该服务器为黄金模板镜像，去安装其他业务服务器。

在业务服务器上线一周的时间内，可以给业务服务器进行标准画像，收集该服务器运行的所有SOCKET和进程信息，其中也包括运维进程，这些数据的信息包括应用程序和该程序的hash值，SOCKET对外服务端口，启动进程的管理员，TCP/UDP连接的信息，等等。这些数据是用户体验管理的数据源，采集数据并与其管理员进行确认，确保标准画像的正确。在此之后，如果检测到与标准画像不一致的信息，则进行告警，并发送给对应的管理人员进行确认。

本技术方案中的安全数据，可以和用户体验管理的KPI数据一起，每3分钟进行采集并上报至数据库。形成综合的安全管理平台。

在上述各技术方案的基础上，可选的，基于所述标准画像，确定所述目标服务器的实时信息是否满足预设数据安全标准，包括：若所述目标服务器的实时信息相对于所述标准画像，存在新的进程、运行进程对应的程序hash值与安全标准的不一致以及新的TCP/UDP连接，则确定所述目标服务器的实时信息不满足预设数据安全标准，并生成警示信息。

若存在新的进程，则将告警发给该进程的管理员和该服务器的安全管理员，识别所述新的进程是否为升级的应用程序；若是，且检查该进程对应程序的hash值是否正确；如正确，则确定符合安全标准；并将所述新的进程更新至所述标准画像中；

如果hash值变化，说明该程序被篡改；比如中了病毒，被黑客种植了木马等恶意代码。通知该程序管理员立刻恢复该文件，或恢复前一个安全快照进行恢复。完成整体安全的闭环处理。若存在新的TCP/UDP连接信息，则确定发起连接的请求是否为正常请求；若是，则确定符合安全标准；并将所述新的TCP/UDP连接信息更新至所述标准画像中。

在上述各技术方案的基础上，可选的，所述方法还包括：创建网管账户，所述网管账户通过密钥技术远程登录服务器，且所述网管用户具有除ROOT组以外的该服务器其他所有组的系统权限。

通过密钥KEY的技术，只有网管服务器的管理员可远程SSH KEY登录给服务器，不支持其他用户或主机任何形式的登录，保证了该账户的安全性。该网管账户只是加入了除root组外的所有系统组的普通用户，最终用户无需担心其权限带来的风险。

这样既保证了被监控服务器系统的安全性，便于本网管系统的实施和运维；又保证了该网管用户有足够的权限在服务器上收集本网管所需的数据。

数字化时代，企业还面临越来越严峻的安全挑战。国内用户的安全事件也越来越多；国家也越来越重视，并陆续颁布了与信息安全有关的法规和制度。

安全解决方案很多。按事件防范的前后可分为安全事件的事前管理，也称安全风险可视化，其包括：资产发现、安全漏洞扫描、基线扫描系统加固、恶意代码扫描等；安全事件的事中管理，其包括：防火墙、放病毒、IPS、IDS等；安全事件的事后管理，其包括SIEM系统，安全访问控制等。由于单一安全产品，并不能形成一个安全闭环解决方案。闭环意味着发现并最终解决问题，因此需要自己集成众多安全产品组合形成一个整体闭环解决方案。这让企业用户应接不暇，力不从心。用户普遍存在买不起情况，因为需要购买的安全产品太多；用不好情况，因为安全运维对人员的要求更高，而且目前人才短缺。

如有一个安全产品：有效保护企业用户服务器端的安全，并形成一个简单使用的安全闭环解决方案，满足用户绝大多数安全诉求；将是企业用户奇闻乐见的好事。

“业务性能和安全综合网管系统”就是这样一个综合网管平台，它可以克服上述NPM、APM和整体安全闭环解决方案的弊端，有效满足企业用户体验管理，服务器端安全管理的绝大部分需求。

它具有以下优势：

1.性价比高：一套数据源，一个网管系统平台，实现数字体验管理和安全闭环管理。一个平台代替多个平台。节省用户的购买成本、实施成本和运维成本。

2.安全可靠：实现原理情绪简洁；运行安全稳定，占用系统资源极少；对于业务系统本身没有任何影响。

3.简单易用：易于安装实施和使用，“傻瓜式”界面操作，对于运维人员要求不高。

4.适用性强：适用windows和Linux服务器系统，可对所有应用进行监控，不受应用开发平台的限制。

5.博采众长：克服了NPM不能深入服务器内部进行分析的弊端，克服了APM与应用系统强耦合的弊端(与应用系统零耦合，不会对业务应用造成任何影响)，克服了市面整体安全闭环解决方案需要用户自己集成众多产品的弊端。同时吸取它们的长项，形成一个整体解决方案。

为了让本领域技术人员更加清晰的了解本技术方案的应用场景，本申请还提供了如下实例：

图7是本申请实施例提供的登录后界面示意图。如图7所示，该业务系统，用户端的登录后截图。注意该应用的对外服务的TCP端口是8080。

图8是本申请实施例提供的用户界面显示服务不可用异常示意图；。如图8所示，故障现象:用户访问已经提示HTTP 503错误(服务不可用)。需网管系统及时发现(应在用户投诉之前发现故障)，并及时处理解决。

图9是本申请实施例提供的业务MAP图告警示意图。如图9所示，网管系统业务MAP图上告警：显示SC服务器上，PHP-FPM进程异常。

图10是本申请实施例提供的故障服务器SC上的网管数据的截图。如图10所示，这时netstat–tnap看不到了PHP-FMP对外服务的9000端口，ps–ef上也看不到mysql进程在运行。这些网管系统都可提前发现。

图11是本申请实施例提供的故障服务器SC上恢复操作的截图。如图11所示，管理员重启PHP-FPM服务后，ps和netstat输出的信息恢复正常。

图12是本申请实施例提供的异常解决后的示意图。如图12所示，页面恢复正常。

另外，本方案还提供了模拟数据库服务器应用进程异常的情况，具体如下：

图13是本申请实施例提供的用户界面显示数据库服务器应用进程连接异常截图。如图13所示，故障现象为用户访问已经提示数据库连接出错。

图14是本申请实施例提供的业务MAP图告警示意图。如图14所示，网管系统业务MAP图上告警：显示Rocky服务器上，Mysqld进程异常。

图15是本申请实施例提供的故障服务器Rocky上的网管数据示意图。如图15所示，这时netstat–tnap看不到了MySQL对外服务的3306端口，ps–ef上也看不到mysql进程在允许。

图16是本申请实施例提供的故障服务器Rocky上恢复操作的截图示意图。如图16所示，重启数据库服务后，ps和netstat输出的信息恢复正常。

图17是本申请实施例提供的数据库服务器应用进程异常解决后的截图。如图17所示，页面恢复正常。

另外，本方案还提供了服务器上异常连接安全告警的情况，具体如下：

图18是本申请实施例提供的业务MAP图安全告警示意图。如图18所示，故障现象为网管系统显示Rocky服务器(IP:192.168.180.162),有异常向外连接。

图19是本申请实施例提供的异常安全告警服务器上的网管数据截图。如图19所示，网管系统通过netstat–tnap传来的反馈信息，发现这台服务器正在向公网8.43.85.13：443端口进行连接，进程名是gnome-software，进程是2118。需要警惕，确认其合法性。

图20是本申请实施例提供的异常安全告警服务器上的网管数据截图。如图20所示，同时网管系统通过ps–ef命令反馈发现：进程是2118是root用户在18：38开始执行,运行时间为3秒，执行程序是/usr/bin/gnome-software。

图21是本申请实施例提供的异常安全告警服务器上的安全检查的截图，如图21，对该程序进行hash，与安装源程序的hash比对看看其是否被篡改，或有恶意代码。发现该hash值与黄金模板里的该文件一致，说明没有被篡改。同时该软件是商用软件，用其hash值也在外安全网站进行了验证，没有恶意代码。

但其向外发起https的连接，不符合数据中心的安全策略，提交给管理员在本地或远端防火墙上进行屏蔽处理。

图22是本申请实施例提供的业务性能和安全的监测装置的结构示意图。如图22所示，所述业务性能和安全的监测装置，包括：

响应信息获取模块710，用于通过负载均衡设备的日志，获取目标服务器的服务器响应时间和错误代码；所述目标服务器包括直接响应最终用户请求的前端服务器、应用服务器以及数据库服务器中的至少一种；

响应异常确定模块720，用于根据目标服务器的响应时间或者返回的错误代码，确定是否存在服务器响应异常；

业务MAP图绘制模块730，则基于基准访问信息，绘制业务MAP图；其中，所述基准访问信息包括访问业务页面的URL，或者，访问业务IP和TCP/UDP端口号；

异常识别模块740，用于根据所述业务MAP图确定存在异常的目标服务器，该服务器上的异常业务进程；并根据所述业务进程和服务器操作系统的异常情况，进行维护处理。

本申请实施例所提供的技术方案，通过负载均衡设备的日志，获取目标服务器的服务器响应时间和错误代码；所述目标服务器包括直接响应最终用户请求的前端服务器、应用服务器以及数据库服务器中的至少一种；根据目标服务器的响应时间或者返回的错误代码，确定是否存在服务器响应异常；若是，则基于基准访问信息，绘制业务MAP图；其中，所述基准访问信息包括访问业务页面的URL，或者，访问业务IP和TCP/UDP端口号；根据所述业务MAP图确定存在异常的目标服务器，该服务器上的业务进程；并根据所述业务进程的异常情况、服务器操作系统的异常情况、安全事件的异常情况，进行维护处理。通过采用本申请所提供的技术方案，可以实现对被监控系统进行低成本、高效率且准确性高的监测的效果。

上述产品可执行本申请实施例所提供的方法，具备执行方法相应的功能模块和有益效果。

本申请实施例还提供一种包含计算机可执行指令的存储介质，所述计算机可执行指令在由计算机处理器执行时用于执行一种业务性能和安全的监测方法，该方法包括：

若是，则基于基准访问信息，绘制业务MAP图；其中，所述基准访问信息包括访问业务页面的URL，或者，访问业务IP和TCP/UDP端口号；

存储介质——任何的各种类型的存储器设备或存储设备。术语“存储介质”旨在包括：安装介质，例如CD-ROM、软盘或磁带装置；计算机系统存储器或随机存取存储器，诸如DRAM、DDR RAM、SRAM、EDO RAM，兰巴斯(Rambus)RAM等；非易失性存储器，诸如闪存、磁介质(例如硬盘或光存储)；寄存器或其它相似类型的存储器元件等。存储介质可以还包括其它类型的存储器或其组合。另外，存储介质可以位于程序在其中被执行的计算机系统中，或者可以位于不同的第二计算机系统中，第二计算机系统通过网络(诸如因特网)连接到计算机系统。第二计算机系统可以提供程序指令给计算机用于执行。术语“存储介质”可以包括可以驻留在不同位置中(例如在通过网络连接的不同计算机系统中)的两个或更多存储介质。存储介质可以存储可由一个或多个处理器执行的程序指令(例如具体实现为计算机程序)。

当然，本申请实施例所提供的一种包含计算机可执行指令的存储介质，其计算机可执行指令不限于如上所述的业务性能和安全的监测操作，还可以执行本申请任意实施例所提供的业务性能和安全的监测方法中的相关操作。

本申请实施例提供了一种电子设备，该电子设备中可集成本申请实施例提供的业务性能和安全的监测装置。图23是本申请实施例提供的一种电子设备的结构示意图。如图23所示，本实施例提供了一种电子设备800，其包括：一个或多个处理器820；存储装置810，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器820执行，使得所述一个或多个处理器820实现本申请实施例所提供的业务性能和安全的监测方法，该方法包括：

根据所述业务MAP图确定存在异常的目标服务器，该服务器上的业务进程；并根据所述业务进程的异常情况、服务器操作系统的异常情况、安全事件的异常情况，进行维护处理。

当然，本领域技术人员可以理解，处理器820还实现本申请任意实施例所提供的业务性能和安全的监测方法的技术方案。

图23显示的电子设备800仅仅是一个示例，不应对本申请实施例的功能和使用范围带来任何限制。

如图23所示，该电子设备800包括处理器820、存储装置810、输入装置830和输出装置840；电子设备中处理器820的数量可以是一个或多个，图23中以一个处理器820为例；电子设备中的处理器820、存储装置810、输入装置830和输出装置840可以通过总线或其他方式连接，图23中以通过总线850连接为例。

存储装置810作为一种计算机可读存储介质，可用于存储软件程序、计算机可执行程序以及模块单元，如本申请实施例中的业务性能和安全的监测方法对应的程序指令。

存储装置810可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序；存储数据区可存储被监控服务器网管程序所创建的数据等。此外，存储装置810可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中，存储装置810可进一步包括相对于处理器820远程设置的存储器，这些远程存储器可以通过网络连接。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

输入装置830可用于接收输入的数字、字符信息或语音信息，以及产生与电子设备的用户设置以及功能控制有关的键信号输入。输出装置840可包括显示屏、扬声器等设备。

本申请实施例提供的电子设备，可以实现对被监控系统进行低成本、高效率且准确性高的监测的效果。

上述实施例中提供的业务性能和安全的监测装置、存储介质及电子设备可执行本申请任意实施例所提供的业务性能和安全的监测方法，具备执行该方法相应的功能模块和有益效果。未在上述实施例中详尽描述的技术细节，可参见本申请任意实施例所提供的业务性能和安全的监测方法。

注意，上述仅为本申请的较佳实施例及所运用技术原理。本领域技术人员会理解，本申请不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本申请的保护范围。因此，虽然通过以上实施例对本申请进行了较为详细的说明，但是本申请不仅仅限于以上实施例，在不脱离本申请构思的情况下，还可以包括更多其他等效实施例，而本申请的范围由所附的权利要求范围决定。

Claims

1.一种业务性能和安全的监测方法，其特征在于，包括：

若是，则基于基准访问信息，调用为该业务自动绘制的业务MAP图；其中，所述基准访问信息包括访问业务页面的URL，或者，访问业务IP和TCP/UDP端口号；

2.根据权利要求1所述的方法，其特征在于，在自动绘制业务MAP图之后，所述方法还包括：

判断所述业务MAP图中目标服务器的操作系统性能是否存在异常；

若是，则根据反馈的操作系统性能的情况，进行维护处理。

3.根据权利要求1所述的方法，其特征在于，根据所述业务MAP图确定存在异常的目标服务器，该服务器上的业务进程；并判断所述业务进程和服务器操作系统的异常情况，判断条件包括：

根据所述KPI数据确定异常的目标服务器，该服务器上的业务进程异常，以及该服务器操作系统性能异常。

4.根据权利要求3所述的方法，其特征在于，根据所述KPI数据确定存在问题的目标服务器的异常业务进程，包括：

获取在预设数量个工作日内目标服务器的每个正常运行工作日的KPI峰值，并计算所述每个正常运行工作日的KPI峰值的平均值；

若目标服务器的相同KPI数据大于所述KPI峰值的平均值的1.2倍，则确定当前目标服务器存在业务进程的异常波动；

5.根据权利要求1所述的方法，其特征在于，所述方法还包括：

6.根据权利要求5所述的方法，其特征在于，基于所述标准画像，确定所述目标服务器的实时信息是否满足预设数据安全标准，包括：

7.根据权利要求6所述的方法，其特征在于，在生成警示信息之后，所述方法还包括：

若存在新的进程，则识别所述新的进程是否为新安装的应用程序；若是，则确定符合安全标准；并将所述新的进程更新至所述标准画像中；若不是，则删除该进程；

若存在运行进程对应的程序hash值与安全标准的不一致，则识别被篡改的hash值是否为升级该应用程序所导致；若是，则确定符合安全标准；并将所述运行进程对应的程序hash值更新至所述标准画像中；若不是，则删除该进程；若存在新的TCP/UDP连接，则确定发起连接的请求是否为正常请求；若是，则确定符合安全标准；并将所述新的TCP/UDP连接更新至所述标准画像中；若不是，则对该TCP/UDP连接进行拦截。

8.根据权利要求1-7中任意一项所述的方法，其特征在于，所述方法还包括：

9.一种业务性能和安全的监测装置，其特征在于，包括：

异常识别模块，用于根据所述业务MAP图确定存在异常的目标服务器，以及该服务器上的业务进程异常和操作系统性能异常；并根据所述的异常情况，进行维护处理。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如权利要求1-8中任一项所述的业务性能和安全的监测方法。

11.一种电子设备，包括存储器，处理器及存储在存储器上并可在处理器运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1-8中任一项所述的业务性能和安全的监测方法。