CN111988172B - 一种网络信息管理平台、装置及安全管理方法 - Google Patents
一种网络信息管理平台、装置及安全管理方法 Download PDFInfo
- Publication number
- CN111988172B CN111988172B CN202010833940.4A CN202010833940A CN111988172B CN 111988172 B CN111988172 B CN 111988172B CN 202010833940 A CN202010833940 A CN 202010833940A CN 111988172 B CN111988172 B CN 111988172B
- Authority
- CN
- China
- Prior art keywords
- network
- data
- layer management
- information
- historical
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
- H04L41/044—Network management architectures or arrangements comprising hierarchical management structures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
- H04L41/042—Network management architectures or arrangements comprising distributed management centres cooperatively managing the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Biomedical Technology (AREA)
- Molecular Biology (AREA)
- Biophysics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出一种网络信息管理平台、装置及安全管理方法,其中所述的网络信息管理平台、装置及安全管理方法基于具有学习能力的Q‑Net网络技术实现,所述Q‑Net网络信息管理平台的结构采用扁平化设计原则,能够消除集中化管理所导致的瓶颈问题;通过自主学习来完善历史样本模型,使异常分析结果更加准确;通过对采集到的数据进行数据清洗来统一数据格式,对特征属性进行量化,从而增加了异常分析所能够利用的特征属性类型,从更多维度进行异常分析,提高了异常分析的全面性和准确性。
Description
技术领域
本发明属于网络信息管理技术领域,尤其涉及一种网络信息管理平台、安全管理方法及装置。
背景技术
管理平台帮助企业建立快速响应,并适应企业业务环境及业务发展的IT运维管理模式,实现运维管理自动化。
随着信息化的不断发展,IT基础设施规模越来越庞大、结构变得相对复杂,而数据中心对IT基础设施的管理主要以手工为主,对基础设施故障的管理处于被动救火的状态,故障分析速度慢,根源定位难度大,基础设施更新换代、扩容建设缺乏科学性能评估依据,难以应对业务系统安全运行保障要求。
利用网络信息管理平台来对网络中的核心交换机进行监控,对交换机端口的各项指标进行实时监测,能够迅速了解网络当前运行情况,对出现的异常情况进行及时的处理。从而可以避免端口流量过大造成的一系列问题,例如病毒入侵、交换机死机,造成整个网络瘫痪等等。
但目前的网络信息管理平台多半是集中式网管构架,导致在管理者处容易成为瓶颈,且网络带宽开销较大,效率不高,导致网络安全监测不及时,不能及时快速地排查网络中潜在的异常和风险。
同时,目前在检测网络异常时,所采用的规则相对单一,更新慢,不灵活,导致误报率高,也不利于快速采取正确的异常处理措施。
另外,目前我国电信、金融、科教文卫等网络发展迅速,这些不同类型的网络被连接到一起,形成异构网络。然而,现有的对异构网络的异常分析主要局限于单个网络内,而不能实现异构网络层面上的异常检测。在异构网络中各种网络节点所上报的数据格式并不统一,也不利于对异构网络各个网络节点进行统一的监测和管理。
发明内容
本发明提出,采用具有深度学习特点的Q-Net网络技术来实现网络信息管理平台,利用多个中层管理设备,分层次地对所管辖的网络节点进行异常分析。
Q-Net网络是一种深度强化学习型网络,是机器学习领域中一个新的研究热点,它将学习与决策相结合,采用深度学习进行动态选择和修正,提取网络中各个的特征属性,据此构建历史样本模型,再根据历史样本模型来分析网络中的实时数据,发现当前网络中存在的异常。所述Q-Net网络信息管理平台的结构采用扁平化设计原则,能够消除集中化管理所导致的瓶颈问题;通过自主学习来完善历史样本模型,使异常分析结果更加准确;通过对采集到的数据进行数据清洗来统一数据格式,对特征属性进行量化,从而增加了异常分析所能够利用的特征属性类型,从更多维度进行异常分析,提高了异常分析的全面性和准确性。
本申请提出了一种具有学习能力的Q-Net网络信息管理平台的安全管理方法,该网络信息管理平台包括数据中心和多个中层管理设备,其中,每个中层管理设备负责管理网络中的一个或多个网络节点,每个网络节点有且只有一个中层管理设备对其进行管理;其特征在于:
所述数据中心,维护所述多个中层管理设备及各个网络节点组成的网络的拓扑结构;接收来自远程客户端的查询请求,并将从中层管理设备获取的查询结果返回给远程客户端;所述查询请求用于查询网络节点当前是否发生异常;
所述中层管理设备,采集所管辖的网络节点的历史数据,所述历史数据包括多个需要分析的特征属性;学习历史数据,为每个特征属性确定正常值范围和基准值,根据每个特征属性的正常值范围建立历史样本模型;
所述中层管理设备,采集所管辖的网络节点的实时数据,所述实时数据同样包括所述多个需要分析的特征属性;利用历史样本模型对所述实时数据中的特征属性进行分析,判断所述网络节点当前状态是否异常;当发现异常时,向数据中心发送告警信息;
所述数据中心,还用于接收所述中层管理设备发送的告警信息,并将告警信息发送给远程客户端。
优选地,所述中层管理设备所执行的步骤具体为:
采集所管辖的网络节点的历史数据和实时数据,其中,所述历史数据是指预设时间周期内的网络节点中的历史数据;
按时间的先后顺序,将所采集的历史数据保存为日志信息;
根据日志信息进行自主学习,确定各个特征属性的正常值范围,基于各个特征属性的正常值范围,建立历史样本模型;
利用历史样本模型对所述实时数据中的特征属性进行分析,判断所述网络节点当前状态是否异常;以及
在发现异常时,向数据中心发送告警信息。
优选地,在采集历史数据之后,进一步对历史数据中的每条记录进行清洗,提取需要分析的特征属性,将提取的特征属性整合为格式统一的日志信息。
优选地,在采集数据之后,对数据中的特征属性进行量化处理,将其转换为可以比较大小的量化值。
优选地,可以根据历史数据中各个特征属性的正常值范围确定相应的基准值;在提取实时数据的特征属性后,获得实时特征属性的量化值,与基准值进行比较,确定是否发生异常。
进一步地,将所述实时特征属性的量化值与基准值进行比较进一步包括:计算二者之间的差值,与预先设置的阈值进行比较来判断。
优选地,所述特征属性包括以下至少一种特征信息:网络节点的流量数据、端口数据、运行状态数据、性能参数、网络节点间的链路状态数据。
优选地,所述告警信息至少包括以下信息中的一种:异常类型、异常发生的时间、异常发生的原因和异常所在的网络节点标识。
根据本发明的另一方面,本发明提出了一种具有学习能力的Q-Net网络信息管理平台,该网络信息管理平台包括数据中心和多个中层管理设备,其中,每个中层管理设备负责管理网络中的一个或多个网络节点,每个网络节点有且只有一个中层管理设备对其进行管理;其特征在于:
所述数据中心,维护所述多个中层管理设备及各个网络节点组成的网络的拓扑结构;接收来自远程客户端的查询请求,并将从中层管理设备获取的查询结果返回给远程客户端;所述查询请求用于查询网络节点当前是否发生异常;
所述中层管理设备,采集所管辖的网络节点的历史数据,所述历史数据包括多个需要分析的特征属性;学习历史数据,为每个特征属性确定正常值范围,根据每个特征属性的正常值范围建立历史样本模型;
所述中层管理设备,采集所管辖的网络节点的实时数据,所述实时数据同样包括所述多个需要分析的特征属性;利用历史样本模型对所述实时数据中的特征属性进行分析,判断所述网络节点当前状态是否异常;当发现异常时,向数据中心发送告警信息;
所述数据中心,还用于接收所述中层管理设备发送的告警信息,并将告警信息发送给远程客户端。
优选地,其中所述中层管理设备进一步包括:
数据采集模块,采集所管辖的网络节点的历史数据和实时数据,其中,所述历史数据是指预设时间周期内的网络节点中的历史数据;
历史日志模块,按时间的先后顺序,将所采集的历史数据保存为日志信息;
模型建立模块,用于根据日志信息进行自主学习,确定各个特征属性的正常值范围,基于各个特征属性的正常值范围,建立历史样本模型;
异常分析模块,利用历史样本模型对所述实时数据中的特征属性进行分析,判断所述网络节点当前状态是否异常;以及
信息上报模块,用于在发现异常时,向数据中心发送告警信息。
优选地,所述中层管理设备进一步包括数据清洗模块,对历史数据中的每条记录进行清洗,提取需要分析的特征属性,将提取的特征属性整合为格式统一的日志信息。
优选地,可以对特征属性进行量化处理,将其转换为可以比较大小的量化值。
优选地,可以根据历史数据中各个特征属性的正常值范围确定相应的基准值;在提取实时数据的特征属性后,获得实时特征属性的量化值,与基准值进行比较,确定是否发生异常。
进一步地,将所述实时特征属性的量化值与基准值进行比较进一步包括:计算二者之间的差值,与预先设置的阈值进行比较来判断。
优选地,所述特征属性包括以下至少一种特征信息:网络节点的流量数据、端口数据、运行状态数据、性能参数、网络节点间的链路状态数据。
优选地,所述告警信息至少包括以下信息中的一种:异常类型、异常发生的时间、异常发生的原因、异常所在的网络节点标识。
优选地,其中,数据中心包括:
三层拓扑发现模块,采用三层拓扑和子网自动发现算法,自动发现和描绘网络拓扑结构,得到包括网络中所有网络设备及相互关联的网络拓扑视图;
远程交互模块,用于接收来自远程客户端的查询请求;所述查询请求用于查询网络节点当前是否发生异常;
异常检测模块,用于根据查询条件和网络拓扑结构确定与查询请求相关的中层管理设备,并控制相关的中层管理设备执行对实时数据进行异常分析,获得相关的中层管理设备返回的查询结果;以及
数据展示模块,当出现异常时,根据查询结果中的发生异常的网络节点标识,在网络拓扑结构图中标识出该异常网络节点的位置,并将该标识结果作为查询结果的一部分发送给远程客户端。
基于本发明的另一方面,本发明涉及一种具有学习能力的Q-Net网络信息管理平台中层管理设备,负责管理网络中的一个或多个网络节点,每个网络节点有且只有一个中层管理设备对其进行管理;其特征在于,该中层管理设备包括:
数据采集模块,采集所管辖的网络节点的历史数据和实时数据,其中,所述历史数据是指预设时间周期内的网络节点中的历史数据;
历史日志模块,按时间的先后顺序,将所采集的历史数据保存为日志信息;
模型建立模块,用于根据日志信息进行自主学习,确定各个特征属性的正常值范围,基于各个特征属性的正常值范围,建立历史样本模型;
异常分析模块,利用历史样本模型对所述实时数据中的特征属性进行分析,判断所述网络节点当前状态是否异常;以及
信息上报模块,用于在发现异常时,向数据中心发送告警信息。
优选地,所述中层管理设备进一步包括数据清洗模块,对历史数据中的每条记录进行清洗,提取需要分析的特征属性,将提取的特征属性整合为格式统一的日志信息。
优选地,中层管理设备对特征属性进行量化处理,将其转换为可以比较大小的量化值。
优选地,根据历史数据中各个特征属性的正常值范围确定相应的基准值;在提取实时数据的特征属性后,获得实时特征属性的量化值,与基准值进行比较,确定是否发生异常。
优选地,将所述实时特征属性的量化值与基准值进行比较进一步包括:计算二者之间的差值,与预先设置的阈值进行比较来判断。
优选地,所述特征属性包括以下至少一种特征信息:网络节点的流量数据、端口数据、运行状态数据、性能参数、网络节点间的链路状态数据。
优选地,所述告警信息至少包括以下信息中的一种:异常类型、异常发生的时间、异常发生的原因、异常所在的网络节点标识。
基于本发明的另一方面,本发明提出一种具有学习能力的Q-Net网络信息管理平台中的数据中心,其特征在于,所述数据中心包括:
三层拓扑发现模块,采用三层拓扑和子网自动发现算法,自动发现和描绘网络拓扑结构,得到包括网络中所有网络设备及相互关联的网络拓扑视图;
远程交互模块,用于接收来自远程客户端的查询请求和向远程客户端返回查询结果;所述查询请求用于查询网络节点当前是否发生异常;
异常检测模块,用于根据查询条件和网络拓扑结构确定与查询请求相关的中层管理设备,并控制相关的中层管理设备执行对实时数据进行异常分析,获得相关的中层管理设备返回的查询结果;
数据展示模块,当出现异常时,根据查询结果中的发生异常的网络节点标识,在网络拓扑结构图中标识出该异常网络节点的位置,并将该标识结果作为查询结果的一部分发送到远程交互模块。
本发明提出一种具有深度学习能力的Q-Net网络信息管理平台的安全管理方法,在管理者与被监测的网络节点之间增加中层管理者,可以把集中式网管架构改变为层次化的网管架构,信息结果经过低层管理者过滤往高层管理者传送,既减小了信息在网上的传输量,又减轻了管理者的负担。另外,所述增加的中层管理者有多个,各自负责一个域,中层管理者之间可以互相通信,数据中心也可以调用各个中层管理者中的信息。当需要从一个域获得信息时,只要和相应子域的中层管理者联系就可以取得信息。
附图说明
图1为本发明一个实施例中Q-Net网络信息管理平台的网络结构图。
图2为本发明一个实施例中的数据中心所执行的方法流程图。
图3为本发明一个实施例中的中层管理设备所执行的方法流程图。
图4为本发明一个实施例中的中层管理设备的结构框图。
图5为本发明一个实施例中的数据中心的结构框图。
图6为本发明远程客户端查询当前状态所得到的结果显示界面。
图7为本发明远程客户端查询网络流量信息所得到的结果显示界面。
具体实施方式
以下结合附图并以具体实施方式为例,对本发明进行详细说明。但是,本领域技术人员应该知晓的是,本发明不限于所列出的具体实施方式,只要符合本发明的精神,都应该包括于本发明的保护范围内。
如图1所示,本发明的Q-Net网络信息平台(100)分为多个层次,具体地,包括如下设备:数据中心(102)、多个中层管理设备(104)。其中,数据中心位于最上层,与远程客户端(108)进行交互,用于接收来自远程客户端(108)的查询请求和向远程客户端(108)返回查询结果,并能够根据远程客户端发送的查询请求,控制相应的中层管理设备进行异常检测。所述多个中层管理设备,位于中间管理层,负责管理网络中的一个或多个网络节点(106),每个网络节点有且只有一个中层管理设备对其进行管理。其中,中间管理设备之间能够互相通信。同一中间管理设备的管辖范围内,网络节点之间的数据交互可以直接在各网络节点之间完成。在归属于不同的中间管理设备的网络节点之间进行数据交互时,则需要通过网络节点各自归属的中间管理设备进行转发。
图1示例性地在中间管理层画出3个中层管理设备,每个中间管理设备示例性地管理3个网络节点。然而,本领域技术人员都应当清楚,上述各种设备的数目仅仅是为了说明本发明技术方案而做出的示例,并不能作为本发明中对各种设备数量进行限定的依据。事实上,中间管理层包括两个或两个以上中层管理设备,每个中层管理设备管理至少一个网络节点,即可满足本发明的要求。
在本发明提出的Q-Net网络信息管理平台中,采用扁平化设计原则,引入中间管理层,在中间管理层设置多个中间管理设备,来分担对网络节点进行异常检测的任务,消除了过去在集中化管理中由一个管理设备对所有网络节点进行处理时由于负载过大所导致的瓶颈问题。其中,所述中间管理设备可以是从网络节点中选择出的具有较强处理能力的网络节点,也可以是专门使用的管理设备。
在本发明的一个实施例中,具有学习能力的Q-Net网络信息管理平台网络结构如图1所示。其中,数据中心所执行的方法流程图参见图2。中层管理设备所执行的方法流程图参见图3。
所述数据中心,维护所述多个中层管理设备及各个网络节点组成的网络的拓扑结构;接收来自远程客户端的查询请求,并将从中层管理设备获取的查询结果返回给远程客户端;所述查询请求用于查询网络节点当前是否发生异常;
所述中层管理设备,采集所管辖的网络节点的历史数据,所述历史数据包括多个需要分析的特征属性;学习历史数据,为每个特征属性确定正常值范围,根据每个特征属性的正常值和范围建立历史样本模型;
所述中层管理设备,采集所管辖的网络节点的实时数据,所述实时数据同样包括所述多个需要分析的特征属性;利用历史样本模型对所述实时数据中的特征属性进行分析,判断所述网络节点当前状态是否异常;当发现异常时,向数据中心发送告警信息;
所述数据中心,还用于接收所述中层管理设备发送的告警信息,并将告警信息发送给远程客户端。
优选地,所述中层管理设备所执行的步骤具体为:
采集所管辖的网络节点的历史数据和实时数据,其中,所述历史数据是指预设时间周期内的网络节点中的历史数据;
按时间的先后顺序,将所采集的历史数据保存为日志信息;
根据日志信息进行自主学习,确定各个特征属性的正常值范围,基于各个特征属性的正常值范围,建立历史样本模型;
利用历史样本模型对所述实时数据中的特征属性进行分析,判断所述网络节点当前状态是否异常;以及
在发现异常时,向数据中心发送告警信息。
优选地,所述特征属性包括以下至少一种特征信息:网络节点的流量数据、端口数据、运行状态数据、性能参数、网络节点间的链路状态数据。
优选地,所述告警信息至少包括以下信息中的一种:异常类型、异常发生的时间、异常发生的原因和异常所在的网络节点标识。
当检测发生异常时,通常需要消除相应的异常,处理方式包括故障检隔离和纠正三方面,应包括以下典型功能:
(1)维护并检查错误日志;
(2)接受错误检测报告并作出响应;
(3)跟踪、辨认错误;
(4)执行诊断测试;
(5)纠正错误。
对网络异常的检测依据对网络组成部件状态的监测。不严重的且较简单的异常情况通常被记录在错误日志中,并不必作特别处理;严重一些的异常情况需要通知网络管理器,即发送告警信息。网络管理器根据有关信息对告警信息进行处理,排除异常情况。当异常情况比较复杂时,网络管理器应能执行一些诊断测试来辨别发生异常的原因。
本发明在异常分析的过程中,不断地根据采集到的历史数据来构建历史样本模型,再将历史样本模型作为比较依据来分析网络中的实时数据,能够更加准确地发现当前网络中存在的异常。随着对历史数据的不断积累,所得到的历史样本模型越来越准确,据此得到的异常检测的准确率也会随之提高。根据异常分析的结果,能够迅速定位与异常相关的网络节点,从而自动地将异常情况上报给远程客户端的使用者,以便及时发现网络中潜在的风险,并尽快采取弥补措施。
优选地,在采集历史数据之后,进一步对历史数据中的每条记录进行清洗,提取需要分析的特征属性,将提取的特征属性整合为格式统一的日志信息。
优选地,在采集数据之后,对数据中的特征属性进行量化处理,将其转换为可以比较大小的量化值。例如,利用现有的词袋模型将描述信息的值转换为一个量化值。
优选地,可以根据历史数据中各个特征属性的正常值范围确定相应的基准值;在提取实时数据的特征属性后,获得实时特征属性的量化值,与基准值进行比较,确定是否发生异常。
进一步地,将所述实时特征属性的量化值与基准值进行比较进一步包括:计算二者之间的差值,与预先设置的阈值进行比较来判断。
为了适应目前网络的异构多态现状,本发明还提出对采集到的数据进行清洗,以及对不具有能够量化比较的值的特征属性进行量化处理,以清除后续异常分析步骤中存在的技术障碍。
优选地,其中,数据中心执行的方法步骤包括:
采用三层拓扑和子网自动发现算法,自动发现和描绘网络拓扑结构,得到包括网络中所有网络设备及相互关联的网络拓扑视图;
接收来自远程客户端的查询请求;所述查询请求用于查询网络节点当前是否发生异常;
根据查询条件和网络拓扑结构确定与查询请求相关的中层管理设备,并控制相关的中层管理设备执行对实时数据进行异常分析,获得相关的中层管理设备返回的查询结果;以及
当出现异常时,根据查询结果中的发生异常的网络节点标识,在网络拓扑结构图中标识出该异常网络节点的位置,并将该标识结果作为查询结果的一部分发送给远程客户端。
Q-Net平台集成了目前最先进的三层拓扑发现算法,可自动检测和描绘网络拓扑结构,为管理员提供统一的拓扑视图和集中式管理视角。使用三层拓扑和子网自动发现功能,即可自动完成全网逻辑拓扑的发现,了解整个网络的设备及其运行状况。系统提供DIY方式,满足管理员按照物理连接或个人习惯自组物理视图。不同类型的设备采用不同的位图图标标识,不同颜色的三色状态图标识设备的不同状态,更好的描绘了网络设备节点的状态,为管理员提供了快速准确的告警定位。通过与事件管理器的无缝连接,实现设备状态在事件管理器中的实时通知与处理。
数据中心还包括事件管理器,事件管理器提供了事件报表功能,可根据管理员定义的搜索条件,检索数据库,并形成HTML报表供管理员汇总和分析。事件管理器除了为管理员提供了基于声音、EMAIL的事件告警功能,有效地帮助管理员及时了解整个网络运行状况外,还提供了针对网络事件的管理动作自动响应功能,从而使得管理员可对网络事件进行最及时的处理。结合拓扑管理和性能管理器于一体,集中管理Trap事件、拓扑管理事件、阈值报警事件、拓扑管理的系统事件和未知类型事件。事件管理器提供丰富的事件分类查看和存储功能,使管理员可在大量的网络事件中迅速查找并标识重要事件,从而进行有效处理。根据网络状况和管理需要,管理员可使用自定义的方式扩展软件支持的事件类型,从而避免了多设备混用时产生的事件管理混乱问题。
如图4所示,本发明的另一实施例涉及一种具有学习能力的Q-Net网络信息管理平台中层管理设备,负责管理网络中的一个或多个网络节点,每个网络节点有且只有一个中层管理设备对其进行管理;其特征在于,该中层管理设备包括:
数据采集模块,采集所管辖的网络节点的历史数据和实时数据,其中,所述历史数据是指预设时间周期内的网络节点中的历史数据;
历史日志模块,按时间的先后顺序,将所采集的历史数据保存为日志信息;
模型建立模块,用于根据日志信息进行自主学习,确定各个特征属性的正常值范围,基于各个特征属性的正常值范围,建立历史样本模型;
异常分析模块,利用历史样本模型对所述实时数据中的特征属性进行分析,判断所述网络节点当前状态是否异常;以及
信息上报模块,用于在发现异常时,向数据中心发送告警信息。
优选地,所述中层管理设备进一步包括数据清洗模块,对历史数据中的每条记录进行清洗,提取需要分析的特征属性,将提取的特征属性整合为格式统一的日志信息。
优选地,中层管理设备对特征属性进行量化处理,将其转换为可以比较大小的量化值。
优选地,根据历史数据中各个特征属性的正常值范围确定相应的基准值;在提取实时数据的特征属性后,获得实时特征属性的量化值,与基准值进行比较,确定是否发生异常。
优选地,将所述实时特征属性的量化值与基准值进行比较进一步包括:计算二者之间的差值,与预先设置的阈值进行比较来判断。
优选地,所述特征属性包括以下至少一种特征信息:网络节点的流量数据、端口数据、运行状态数据、性能参数、网络节点间的链路状态数据。
优选地,所述告警信息至少包括以下信息中的一种:异常类型、异常发生的时间、异常发生的原因、异常所在的网络节点标识。
如图5所示,基于本发明的另一实施例,提出一种具有学习能力的Q-Net网络信息管理平台中的数据中心,其特征在于,所述数据中心包括:
三层拓扑发现模块,采用三层拓扑和子网自动发现算法,自动发现和描绘网络拓扑结构,得到包括网络中所有网络设备及相互关联的网络拓扑视图;
远程交互模块,用于接收来自远程客户端的查询请求和向远程客户端返回查询结果;所述查询请求用于查询网络节点当前是否发生异常;
异常检测模块,用于根据查询条件和网络拓扑结构确定与查询请求相关的中层管理设备,并控制相关的中层管理设备执行对实时数据进行异常分析,获得相关的中层管理设备返回的查询结果;
数据展示模块,当出现异常时,根据查询结果中的发生异常的网络节点标识,在网络拓扑结构图中标识出该异常网络节点的位置,并将该标识结果作为查询结果的一部分发送到远程交互模块。
优选地,所述数据中心利用事件管理器来对异常分析结果进行监测。
作为查询结果,数据中心可以向远程客户端返回如图6和图7所示的异常分析结果。
参见图6,当远程客户端的用户点击界面上的当前状态的按钮时,就能进入到对应的功能界面,实现对网络节点当前状态的异常分析和查看。
参见图7,点击界面上的网络流量分析的按钮,则能够查看网络中关于ARP、网卡流量等方面的状态信息和异常分析结果。
本发明所提出的方案不仅适用于Q-Net网络信息管理平台,也适用于具有其它学习能力的网络信息管理平台。
本领域内的技术人员应当明白,本发明的实施例可提供为方法、系统或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可读存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施计算机程序产品的形式。
本发明是参照本发明实施例的方法、系统和计算机程序产品的流程和/或方框以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式计算机或其他可编程数据处理终端的处理器以产生一个机器,使得通过计算机或其他可编程数据狐狸终端的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
应该注意的是上述实施例是示例而非限制本发明,本领域技术人员将能够设计很多替代实施例而不脱离附后的权利要求书的范围。尽管已描述了本发明的优选实施例,但本领域技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
Claims (14)
1.一种具有学习能力的网络信息管理平台的安全管理方法,该网络信息管理平台包括数据中心和多个中层管理设备,应用于异构多态网络环境,其中,每个中层管理设备负责管理网络中的一个或多个网络节点,每个网络节点有且只有一个中层管理设备对其进行管理;其特征在于:
所述数据中心采用三层拓扑和子网自动发现算法,自动发现和描绘网络拓扑结构,并维护所述多个中层管理设备及各个网络节点组成的网络的拓扑结构;
由所述中层管理设备采集所管辖的网络节点的历史数据,所述历史数据包括多个需要分析的特征属性;学习历史数据,为每个特征确定正常值范围,根据每个特征属性的正常值范围建立历史样本模型;
所述数据中心接收来自远程客户端的查询请求,所述查询请求用于查询网络节点当前是否发生异常;
所述中层管理设备采集所管辖的网络节点的实时数据,所述实时数据同样包括所述多个需要分析的特征属性;利用历史样本模型对所述实时数据中的特征属性进行分析,判断所述网络节点当前状态是否异常;
所述中层管理设备根据所述查询请求进行查询,将查询结果通过数据中心返回给远程客户端;
当中层管理设备发现异常时,向数据中心发送告警信息;所述数据中心接收到所述中层管理设备发送的告警信息后,将告警信息发送给远程客户端;
其中,所述中层管理设备在采集历史数据之后,进一步对历史数据中的每条记录进行清洗,提取需要分析的特征属性,对数据中的特征属性进行量化处理,将其转换为可以比较大小的量化值,将提取的特征属性整合为格式统一的日志信息;根据历史数据中各个特征属性的正常值范围确定相应的基准值;
所述中层管理设备在提取实时数据的特征属性后,获得实时特征属性的量化值,与基准值进行比较,计算二者之间的差值,与预先设置的阈值进行比较来判断是否发生异常。
2.一种如权利要求1所述的具有学习能力的网络信息管理平台的安全管理方法,其特征在于,所述中层管理设备所执行的步骤具体为:
采集所管辖的网络节点的历史数据和实时数据,其中,所述历史数据是指预设时间周期内的网络节点中的历史数据;
按时间的先后顺序,将所采集的历史数据保存为日志信息;
根据日志信息进行自主学习,确定各个特征属性的正常值范围,基于各个特征属性的正常值范围,建立历史样本模型;
利用历史样本模型对所述实时数据中的特征属性进行分析,判断所述网络节点当前状态是否异常;以及
在发现异常时,向数据中心发送告警信息。
3.一种如权利要求1所述的具有学习能力的网络信息管理平台的安全管理方法,其特征在于,所述特征属性包括以下至少一种特征信息:网络节点的流量数据、端口数据、运行状态数据、性能参数、网络节点间的链路状态数据。
4.一种如权利要求1所述的具有学习能力的网络信息管理平台的安全管理方法,其特征在于,所述告警信息至少包括以下信息中的一种:异常类型、异常发生的时间、异常发生的原因和异常所在的网络节点标识。
5.一种具有学习能力的网络信息管理平台,该网络信息管理平台包括数据中心和多个中层管理设备,应用于异构多态网络环境,其中,每个中层管理设备负责管理网络中的一个或多个网络节点,每个网络节点有且只有一个中层管理设备对其进行管理;其特征在于:
所述数据中心,采用三层拓扑和子网自动发现算法,自动发现和描绘网络拓扑结构,维护所述多个中层管理设备及各个网络节点组成的网络的拓扑结构;接收来自远程客户端的查询请求,并将从中层管理设备获取的查询结果返回给远程客户端;所述查询请求用于查询网络节点当前是否发生异常;
所述中层管理设备,采集所管辖的网络节点的历史数据,所述历史数据包括多个需要分析的特征属性;学习历史数据,为每个特征确定正常值范围,根据每个特征属性的正常值范围建立历史样本模型;
所述中层管理设备,采集所管辖的网络节点的实时数据,所述实时数据同样包括所述多个需要分析的特征属性;利用历史样本模型对所述实时数据中的特征属性进行分析,判断所述网络节点当前状态是否异常;当发现异常时,向数据中心发送告警信息;
所述数据中心,还用于接收所述中层管理设备发送的告警信息,并将告警信息发送给远程客户端;
其中,所述中层管理设备在采集历史数据之后,进一步对历史数据中的每条记录进行清洗,提取需要分析的特征属性,对数据中的特征属性进行量化处理,将其转换为可以比较大小的量化值,将提取的特征属性整合为格式统一的日志信息;根据历史数据中各个特征属性的正常值范围确定相应的基准值;
所述中层管理设备在提取实时数据的特征属性后,获得实时特征属性的量化值,与基准值进行比较,计算二者之间的差值,与预先设置的阈值进行比较来判断是否发生异常。
6.一种如权利要求5所述的具有学习能力的网络信息管理平台,其特征在于,其中所述中层管理设备进一步包括:
数据采集模块,采集所管辖的网络节点的历史数据和实时数据,其中,所述历史数据是指预设时间周期内的网络节点中的历史数据;
历史日志模块,按时间的先后顺序,将所采集的历史数据保存为日志信息;
模型建立模块,用于根据日志信息进行自主学习,确定各个特征属性的正常值范围,基于各个特征属性的正常值范围,建立历史样本模型;
异常分析模块,利用历史样本模型对所述实时数据中的特征属性进行分析,判断所述网络节点当前状态是否异常;以及
信息上报模块,用于在发现异常时,向数据中心发送告警信息。
7.一种如权利要求5所述的具有学习能力的网络信息管理平台,其特征在于,所述特征属性包括以下至少一种特征信息:网络节点的流量数据、端口数据、运行状态数据、性能参数、网络节点间的链路状态数据。
8.一种如权利要求5所述的具有学习能力的网络信息管理平台,其特征在于,所述告警信息至少包括以下信息中的一种:异常类型、异常发生的时间、异常发生的原因、异常所在的网络节点标识。
9.一种如权利要求5所述的具有学习能力的网络信息管理平台,其特征在于,其中,数据中心进一步执行以下步骤:
采用三层拓扑和子网自动发现算法,自动发现和描绘网络拓扑结构,得到包括网络中所有网络设备及相互关联的网络拓扑视图;
接收来自远程客户端的查询请求;所述查询请求用于查询网络节点当前是否发生异常;
根据查询条件和网络拓扑结构确定与查询请求相关的中层管理设备,并控制相关的中层管理设备执行对实时数据进行异常分析,获得相关的中层管理设备返回的查询结果;
当出现异常时,根据查询结果中的发生异常的网络节点标识,在网络拓扑结构图中标识出该异常的网络节点的位置,并将该标识结果作为查询结果的一部分发送给远程客户端。
10.一种具有学习能力的网络信息管理平台中层管理设备,应用于异构多态网络环境,用于执行如权利要求1所述的安全管理方法,负责管理网络中的一个或多个网络节点,每个网络节点有且只有一个中层管理设备对其进行管理;其特征在于,该中层管理设备包括:
数据采集模块,采集所管辖的网络节点的历史数据和实时数据,其中,所述历史数据是指预设时间周期内的网络节点中的历史数据;
历史日志模块,按时间的先后顺序,将所采集的历史数据保存为日志信息;
模型建立模块,用于根据日志信息进行自主学习,确定各个特征属性的正常值范围,基于各个特征属性的正常值范围,建立历史样本模型;
异常分析模块,利用历史样本模型对所述实时数据中的特征属性进行分析,判断所述网络节点当前状态是否异常;以及
信息上报模块,用于在发现异常时,向数据中心发送告警信息;
其中,所述中层管理设备在采集历史数据之后,进一步对历史数据中的每条记录进行清洗,提取需要分析的特征属性,对数据中的特征属性进行量化处理,将其转换为可以比较大小的量化值,将提取的特征属性整合为格式统一的日志信息;根据历史数据中各个特征属性的正常值范围确定相应的基准值;
所述中层管理设备在提取实时数据的特征属性后,获得实时特征属性的量化值,与基准值进行比较,计算二者之间的差值,与预先设置的阈值进行比较来判断是否发生异常。
11.一种如权利要求10所述的具有学习能力的网络信息管理平台中层管理设备,其特征在于,所述特征属性包括以下至少一种特征信息:网络节点的流量数据、端口数据、运行状态数据、性能参数、网络节点间的链路状态数据。
12.一种如权利要求10所述的具有学习能力的网络信息管理平台中层管理设备,其特征在于,所述告警信息至少包括以下信息中的一种:异常类型、异常发生的时间、异常发生的原因、异常所在的网络节点标识。
13.一种具有学习能力的网络信息管理平台中的数据中心,应用于异构多态网络环境,用于执行如权利要求1所述的安全管理方法,其特征在于,所述数据中心包括:
三层拓扑发现模块,采用三层拓扑和子网自动发现算法,自动发现和描绘网络拓扑结构,得到包括网络中所有网络设备及相互关联的网络拓扑视图;
远程交互模块,用于接收来自远程客户端的查询请求和向远程客户端返回查询结果;所述查询请求用于查询网络节点当前是否发生异常;
异常检测模块,用于根据查询条件和网络拓扑结构确定与查询请求相关的中层管理设备,并控制相关的中层管理设备执行对实时数据进行异常分析,获得相关的中层管理设备返回的查询结果;
数据展示模块,当出现异常时,根据查询结果中的发生异常的网络节点标识,在网络拓扑结构图中标识出该异常的网络节点的位置,并将该标识结果作为查询结果的一部分发送到远程交互模块。
14.一种如权利要求13所述的具有学习能力的网络信息管理平台中的数据中心,其特征在于,所述数据中心利用事件管理器来对异常分析结果进行监测。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010833940.4A CN111988172B (zh) | 2020-08-18 | 2020-08-18 | 一种网络信息管理平台、装置及安全管理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010833940.4A CN111988172B (zh) | 2020-08-18 | 2020-08-18 | 一种网络信息管理平台、装置及安全管理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111988172A CN111988172A (zh) | 2020-11-24 |
CN111988172B true CN111988172B (zh) | 2021-07-06 |
Family
ID=73435611
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010833940.4A Active CN111988172B (zh) | 2020-08-18 | 2020-08-18 | 一种网络信息管理平台、装置及安全管理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111988172B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116155743B (zh) * | 2023-04-20 | 2023-07-07 | 北京广通优云科技股份有限公司 | 一种自动化运维中第三层网络拓扑结构修正方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107294745A (zh) * | 2016-03-30 | 2017-10-24 | 中国移动通信集团四川有限公司 | 网络拓扑自动发现方法及装置 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060047807A1 (en) * | 2004-08-25 | 2006-03-02 | Fujitsu Limited | Method and system for detecting a network anomaly in a network |
CN112994940B (zh) * | 2019-05-29 | 2022-10-18 | 华为技术有限公司 | 一种网络异常检测方法和装置 |
CN111431747A (zh) * | 2020-03-20 | 2020-07-17 | 本钢板材股份有限公司 | 一种厂域网网络自动监测方法 |
-
2020
- 2020-08-18 CN CN202010833940.4A patent/CN111988172B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107294745A (zh) * | 2016-03-30 | 2017-10-24 | 中国移动通信集团四川有限公司 | 网络拓扑自动发现方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN111988172A (zh) | 2020-11-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8443074B2 (en) | Constructing an inference graph for a network | |
US9413597B2 (en) | Method and system for providing aggregated network alarms | |
US6856942B2 (en) | System, method and model for autonomic management of enterprise applications | |
CN110716842B (zh) | 集群故障检测方法和装置 | |
CN106371986A (zh) | 一种日志处理运维监控系统 | |
CN112769605B (zh) | 一种异构多云的运维管理方法及混合云平台 | |
CN115118581B (zh) | 一种基于5g的物联网数据全链路监控和智能保障系统 | |
CN113542017A (zh) | 基于网络拓扑和多指标的一种网络故障定位方法 | |
CN107635003A (zh) | 系统日志的管理方法、装置及系统 | |
CN113038122A (zh) | 一种基于视频图像诊断数据的故障定位系统及方法 | |
CN103023028A (zh) | 一种基于实体间依赖关系图的电网故障快速定位方法 | |
WO2021114971A1 (zh) | 一种检测基于多层架构的应用系统是否正常运行的方法 | |
CN107426051B (zh) | 分布式集群系统中节点的工作状态的监测方法、装置及系统 | |
CN111988172B (zh) | 一种网络信息管理平台、装置及安全管理方法 | |
CN111371570B (zh) | 一种nfv网络的故障检测方法及装置 | |
CN101252477B (zh) | 一种网络故障根源的确定方法及分析装置 | |
CN112187680A (zh) | 一种光纤存储网络大数据智慧监控和预警方法及系统 | |
Li et al. | An integrated data-driven framework for computing system management | |
KR100500836B1 (ko) | 매트로 이더넷망의 장애처리 장치 및 그 방법 | |
KR100887874B1 (ko) | 인터넷 망의 장애 관리 시스템 및 그 방법 | |
CN114531338A (zh) | 一种基于调用链数据的监控告警和溯源方法及系统 | |
CN114257414A (zh) | 一种网络安全智能值班方法及系统 | |
CN116204386B (zh) | 应用服务关系自动识别及监控方法、系统、介质和设备 | |
CN117596133B (zh) | 基于多维数据的业务画像及异常监测系统及监测方法 | |
CN113890814B (zh) | 故障感知模型构建和故障感知方法与系统、设备、介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder |
Address after: 010010 5th floor, block C, Qilin Beichen office building, Genghis Khan street, Xincheng District, Hohhot, Inner Mongolia Autonomous Region Patentee after: Inner Mongolia Huaqiang Digital Intelligence Technology Co.,Ltd. Address before: 010010 5th floor, block C, Qilin Beichen office building, Genghis Khan street, Xincheng District, Hohhot, Inner Mongolia Autonomous Region Patentee before: Inner Mongolia Huaqiang Communication Technology Co.,Ltd. |
|
CP01 | Change in the name or title of a patent holder |