CN113381881B - 一种主机监控告警处理的方法、装置 - Google Patents
一种主机监控告警处理的方法、装置 Download PDFInfo
- Publication number
- CN113381881B CN113381881B CN202110571536.9A CN202110571536A CN113381881B CN 113381881 B CN113381881 B CN 113381881B CN 202110571536 A CN202110571536 A CN 202110571536A CN 113381881 B CN113381881 B CN 113381881B
- Authority
- CN
- China
- Prior art keywords
- resource
- host
- alarm
- resource library
- monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 153
- 238000012545 processing Methods 0.000 title claims abstract description 101
- 238000000034 method Methods 0.000 title claims abstract description 60
- 230000009471 action Effects 0.000 claims abstract description 40
- 230000008569 process Effects 0.000 claims description 38
- 230000002159 abnormal effect Effects 0.000 claims description 21
- 238000001914 filtration Methods 0.000 claims description 3
- 241000700605 Viruses Species 0.000 description 14
- 238000010586 diagram Methods 0.000 description 5
- 238000011144 upstream manufacturing Methods 0.000 description 4
- 238000001514 detection method Methods 0.000 description 3
- 230000009545 invasion Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 230000008676 import Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 238000003892 spreading Methods 0.000 description 1
- 238000010792 warming Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0876—Aspects of the degree of configuration automation
- H04L41/0886—Fully automatic configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0889—Techniques to speed-up the configuration process
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Abstract
本申请公开了一种主机监控告警处理的方法、装置,应用于包括监控服务器和其监控的一个或者多个主机的网络系统,该方法包括:监控服务器根据主机本地的程序运行特点,配置对应的资源库;资源库与监控服务器在主机中监控的监控对象相关;将对应的资源库转换为资源列表,并分别下发至对应的目的主机中,使目的主机根据对应的资源列表进行本地扫描,并将扫描得到的告警结果上报至监控服务器;根据告警结果,以及预设的处理动作,对相应的目的主机中导致告警结果的监控对象进行处理。
Description
技术领域
本申请涉及网络安全领域,尤其涉及一种主机监控告警处理的方法、装置。
背景技术
随着互联网的高速发展,企业的经营规模日益扩大。在这过程中,企业所应用的网络系统中主机的数量也随着快速增长,互联网环境的错综复杂导致了安全问题的日益突出。
在不同项目和环境当中,项目管理人员、操作人员的安全意识不同,技术水平不同,特别是非技术人员在计算机的使用过程中往往无法察觉有害程序的侵入,从而影响主机安全,甚至影响到整个项目、整个企业系统的正常运行。
目前,为了保证工作的正常进行和机密文件不被盗取,企业通常会通过在主机中安装各种检测监控木马病毒等的软件,以提高网络安全。
但这些软件大多是在各自主机中独立运行的,对相应主机的操作人员也提出了一定的技术水平的要求,这不利于保障网络系统的安全。
发明内容
本申请实施例提供了一种主机监控告警处理的方法、装置,解决了目前在网络系统中主机数量日益增多,而主机中运行的监控软件通常为独立运行,对操作人员存在一定的技术要求,不利于保障网络系统安全的问题。
一种主机监控告警处理的方法,应用于包括监控服务器和其监控的一个或者多个主机的网络系统,所述方法包括:
所述监控服务器根据所述主机本地的程序运行特点,配置对应的资源库;所述资源库与所述监控服务器在所述主机中监控的监控对象相关;
将所述对应的资源库转换为资源列表,并分别下发至对应的目的主机中,使所述目的主机根据所述对应的资源列表进行本地扫描,并将扫描得到的告警结果上报至所述监控服务器;
根据所述告警结果,以及预设的处理动作,对相应的目的主机中导致所述告警结果的监控对象进行处理。
在本申请的一种实施例中,将所述对应的资源库转换为资源列表,并分别下发至对应的目的主机中,具体包括:确定预设的普通资源库、可疑资源库、非法资源库;其中,所述普通资源库、可疑资源库、非法资源库对应的监控对象的告警结果的严重程度依次增大;将所述普通资源库、可疑资源库、非法资源库均转换为对应的资源列表,并批量下发至各目的主机中;确定与所述主机本地的程序运行特点匹配的定制资源库;将所述定制资源库转换为对应的资源列表,根据相应的目的主机地址,分别下发至对应的目的主机中。
在本申请的一种实施例中,确定与所述主机本地的程序运行的使用特点匹配的定制资源库,具体包括:根据所述主机连接的外网的IP范围,确定与所述范围匹配的监控对象的数量;从所述外网对应的监控对象集合中,选取相应数量的监控对象,作为所述主机对应的定制资源库。
在本申请的一种实施例中,确定与所述主机本地的程序运行的使用特点匹配的定制资源库,具体包括:根据所述主机的用途,确定所述主机在外网访问的主要网站类型;根据所述主要网站类型,确定与相应网站类型匹配的监控对象,作为所述主机对应的定制资源库。
在本申请的一种实施例中,所述方法还包括:所述目的主机根据与其他目的主机之间的关联关系,对接收到的普通资源库、可疑资源库、非法资源库中的监控对象所属的资源库进行调整。
在本申请的一种实施例中,根据所述告警结果,以及预设的处理动作,对相应的目的主机中导致所述告警结果的监控对象进行处理,具体包括:将所述告警结果分为异常程序进程的告警和异常文件的告警;根据所述异常程序进程的类型,以及预设的第一默认处理动作,对相应的异常程序进程进行处理;所述第一默认处理动作至少包括以下一种:停止、停止并删除、忽略;根据所述异常文件的类型,以及预设的第二默认处理动作,对相应的异常文件进行处理;所述第二默认处理动作至少包括以下一种:删除、忽略。
在本申请的一种实施例中,根据所述告警结果,以及预设的处理动作,对相应的目的主机中导致所述告警结果的监控对象进行处理,具体包括:对所述告警结果进行解析,将解析得到的告警信息在待处理界面的待处理项中显示,提示管理人员进行处理;所述告警信息至少包括以下一种:时间、内容、告警级别、接收人、处理动作;根据预设的等待时限,在所述等待时限内接收管理人员对所述告警结果的处理指示,并向对应的目的主机下发处理指令,对导致所述告警结果的监控对象进行处理;若在所述等待时限内未接收到管理人员对所述告警结果的处理指示,根据预设的处理动作,对相应目的主机的告警结果进行自动处理。
在本申请的一种实施例中,根据预设的等待时限,在所述等待时限内接收管理人员对所述告警结果的处理指示,具体包括:根据预设的等待条件,确定与相应目的主机及告警结果匹配的等待时限;所述等待条件包括告警结果的严重程度、所述目的主机与其他目的主机之间的关联关系、所述目的主机的用途;根据所述匹配的等待时限,在所述等待时限内接收管理人员对所述告警结果的处理指示。
在本申请的一种实施例中,所述目的主机根据所述对应的资源列表进行本地扫描,具体包括:所述目的主机根据所述资源列表,对本地包括的资源对象进行以下任意一项或多项操作:匹配、扫描、过滤;所述资源对象包括以下任意一项或多项:文件、运行的程序、建立的TCP连接、开放的端口;判断所述资源对象与所述定制资源库是否匹配,若是,则为所述资源对象标记正常标签,若否,再判断所述资源对象与所述普通资源库、可疑资源库、非法资源库是否匹配,并为所述资源对象标记对应的标签;所述普通资源库对应的标签为正常标签,所述可疑资源库对应的标签为警告标签,所述非法资源库对应的标签为紧急标签;根据所述标签生成扫描结果,将所述扫描结果输出到相应的文件中;所述扫描结果包括所述告警结果。
一种主机监控告警处理的装置,应用于包括监控服务器和其监控的一个或者多个主机的网络系统,所述装置包括:
资源库统一管理模块,用于根据所述主机本地的程序运行特点,配置对应的资源库;所述资源库与所述监控服务器在所述主机中监控的监控对象相关;
主程序模块,用于将所述对应的资源库转换为资源列表,并分别下发至对应的目的主机中,使所述目的主机根据所述对应的资源列表进行本地扫描,并将扫描得到的告警结果上报至所述监控服务器;
运程控制模块,根据所述告警结果,以及预设的处理动作,对相应的目的主机中导致所述告警结果的监控对象进行处理。
本申请提供了一种主机监控告警处理的方法、装置,至少包括以下有益效果:监控服务器能够对网络系统中的各主机进行统一管理和监控,通过批量下发资源库,收集告警结果,对各主机的运行情况进行有序监控。同时,监控服务器还能够针对各主机不同的使用特点,考虑到各主机运行的程序、文件的不同,确定对主机进行监控时所采用的定制资源库,以实现对各主机的定制化、差异化管理,更有针对性地处理主机产生的问题。监控服务器能够随时从网络上下载资源库,实现资源库的自主添加和智能导入,并统一下发至各主机,实现统一管理,做到一次部署,永久使用。在监控服务器与多个主机组成的网络系统中,可以实现下游主机的动态扩展,方便随时将其他主机无缝接入到系统中,实现对主机的监控、告警处理的集成管理。监控服务器能够对各主机进行及时全面的监控,并实时产生告警,通知相关管理人员对其进行处理,如果管理人员未及时处理,监控服务器也会根据预设的处理动作进行自动处置。通过监控服务器采集主机的告警结果,管理人员能够随时下载主机上的告警信息,在监控服务器的系统界面处置主机上报的告警,方便快捷。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请实施例提供的一种主机监控告警处理的方法的步骤流程示意图;
图2为本申请实施例提供的一种主机监控告警处理的装置的结构示意图;
图3为本申请实施例提供的一种主机监控告警处理的装置的组成模块示意图;
图4为本申请实施例提供的一种主机监控告警处理的装置数据处理步骤示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例对本申请进行清楚、完整的描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
随着互联网的高速发展,很多企业规模越来越大,同时越来越多的企业也在不断成立。在这过程中,主机服务器的使用数量在快速增长,同时,互联网环境的错综复杂也使主机安全、网络安全的问题日益突出。在不同项目和环境当中,项目管理人员、操作员或普通人员因为安全意识的不同,能力水平的不同会导致外来的木马病毒等有害程序侵入公司的电脑系统,即使有不明文件下载到项目之中也全然不知。这极大可能会导致生产环境遭受有害程序文件的破坏,严重影响整个项目,甚至整个企业的正常运行。
企业逐步重视企业使用的网络安全、主机安全,但遍历市面上的存在的检测监控软件大多都是独立、分开运行的,而且不具备实时监控处理的功能。若所有主机都安装两种或两种以上的工具,不仅安装步骤冗杂繁复,而且拖慢主机的运行速度,导致主机的工作效率下降,增加企业的成本。
对于上述问题,本申请的内容切实根据现实需求出发,解决企业用户使用的痛点。这套集检测监控告警处理的系统,在外网的非法程序,恶意病毒侵入后,经过全面及时的监控检测后会实时产生告警并通知相关管理人员对其进行处理,即使管理人员没有及时处理,系统也会根据设置的默认指令进行处置。本申请中系的资源库随时能够自主添加和智能导入,并统一下发至目的主机,实现统一管理,实现一次部署,永久使用。管理人员还能够在监控系统界面处置主机上报的告警信息,方便快捷。
本申请具体使用客户机和服务器结构(C/S架构)的形式,通过在客户端定时扫描主机的所有资源,在发现有可疑或非法的资源对象时,采集告警信息上报至监控服务器并执行默认的动作,达到对主机的监控,告警和处理的目的。下面进行具体说明。
图1为本申请实施例提供的一种主机监控告警处理的方法的步骤流程示意图,该方法应用于包括监控服务器和其监控的一个或者多个主机的网络系统,可以包括以下步骤:
S101:监控服务器根据主机本地的程序运行特点,配置对应的资源库;资源库与监控服务器在主机中监控的监控对象相关。
监控服务器根据主机本地的程序运行特点,例如证券公司中主机一般用来对各种数据进行操作,较注重防止损坏数据类的病毒,比如蠕虫病毒;再例如学校机房内计算机,一般用来教学,较注重防止使电脑无法正常使用的病毒,如引导型病毒,以保证教学正常运行。主机中的监控对象包括导致主机无法正常工作的各种不同类型的病毒程序或文件,以及其他易被篡改的程序或文件等。监控服务器根据主机的使用环境从网络上下载不同类型的资源配置到服务器本地的资源库中,来监控各种病毒或导致主机程序文件遭到破坏的程序或文件以及已经被篡改破坏的监控对象。
S102:将对应的资源库转换为资源列表,并分别下发至对应的目的主机中,使目的主机根据对应的资源列表进行本地扫描,并将扫描得到的告警结果上报至监控服务器。
监控服务器根据主程序将资源库转换为资源列表后下发至目的主机,由于资源库的内存占用大,主机无法承担,通过将资源库转换为资源列表减小了占用主机的内存。目的主机根据监控服务器下发的资源列表对目的主机上的文件、运行的程序、建立的TCP连接、开放的端口等进行扫描,检测有无异常资源对象,若检测出有异常资源生成告警结果上报至监控服务器。
在本申请的一种实施例中,监控服务器中的主程序将资源库转换为对应的资源列表,并分别下发至对应的目的主机中,具体包括:监控服务器将网络上公开的安全机构企业提供的病毒资源库、非法程序文件库组成的资源库集合等下载到预设的普通资源库、可疑资源库、非法资源库中;其中,普通资源库、可疑资源库、非法资源库对应的监控对象的告警结果的严重程度依次增大。例如主机中的监控对象匹配到普通资源库中的文件或程序,则不告警;若匹配到可疑资源库中的文件或程序,则告警结果可显示较严重;若匹配到非法资源库中的文件或程序,则告警结果显示非常严重。将普通资源库、可疑资源库、非法资源库均转换为对应的资源列表,并批量下发至各目的主机中,提供给目的主机检测异常的标准。通过将资源库批量下发至目的主机,能够实现对主机资源库的统一管理,做到一次部署,永久使用。
确定与主机本地的程序运行特点匹配的定制资源库;将定制资源库转换为对应的资源列表,根据相应的目的主机地址,分别下发至对应的目的主机中。根据主机的程序运行的特点定制资源库,主机定制资源库的同时会向监控服务器提供主机地址,由监控服务器将定制的资源库转换成资源列表定向下发到对应的目的主机中。通过定制资源库能够对主机的资源进行差异化的管理和监控,避免了因主机使用特点以及环境不同而无法全面的监控。
在本申请的一种实施例中,确定与主机本地的程序运行的使用特点匹配的定制资源库,具体包括:根据主机连接的外网的IP范围,确定与范围匹配的监控对象的数量;从外网对应的监控对象集合中,选取相应数量的监控对象,作为主机对应的定制资源库。
如果一个公司部门内部有内网,那么部门与部门之间的IP访问可以作为外网的范围;如果公司内部有内网,那么对因特网的访问就是外网的访问。由于外网的IP范围不同,确定的监控对象的数量也不同,对主机造成威胁的程度也不同。根据不同外网的IP范围对应的监控对象集合,在其中选取相应的数量的监控对象到定制资源库,实现根据具体情况具体定制的差异化管理和监控。例如某个公司部门内部有内网,公司的一个部门要访问另一个部门需要通过外网,那么就需要主机根据外网能访问的IP范围确定主机中的监控对象,从而匹配到定制资源库中;再例如某个公司的内部有内网,而因特网或其他子公司网站等外网只有公司管理层的主机才可访问,这是就需要主机去根据能访问的因特网的IP范围去确定监控对象,从而确定定制资源库,监控对象包括但不限于从因特网等外网中下载的文件或程序、建立的TCP连接、开放的端口等。从监控对象的集合中选取主机可访问的资源放入定制资源库并转换成资源列表下发至主机中,若扫描主机后可以匹配到定制资源库中的资源,则表示无异常,若匹配不到的再通过匹配可疑资源库和非法资源库,检测主机是否有异常。
在本申请的一种实施例中,确定与主机本地的程序运行的使用特点匹配的定制资源库,具体包括:根据主机的用途,确定主机在外网访问的主要网站类型;根据主要网站类型,确定与相应网站类型匹配的监控对象,作为主机对应的定制资源库。
不同公司的主机访问网站有不同类型,比如在一些传媒公司,主要访问的是视频网站,在互联网公司,主要访问的技术网站等;根据公司访问这些网站的确定主要的监控对象,作为主机的定制资源库。
在本申请的一种实施例中,目的主机根据与其他目的主机之间的关联关系,对接收到的普通资源库、可疑资源库、非法资源库中的监控对象所属的资源库进行调整。
为了更方便的通信,公司内的主机一般情况下都与其他主机相关联,在主机的关联关系中,如果上游主机和下游主机受到病毒的入侵,那么上游主机可能会将病毒传播到下游主机,而下游主机并不会将病毒扩散。由此来看,上游的主机的重要程度更高,出现安全问题后的受到的影响和风险更大。为了更加严格的保护在关联关系中重要程度更高的主机的网络安全,根据关联关系,重要程度更高的主机可以对接收到的资源库进行调整,比如将可疑资源库中的资源全部调整至非法资源中,更加严格的保护上游的安全。例如在学校的计算机房中的教师主机可以控制学生主机或向学生主机下发文件等,但学生主机并不能控制教师主机或向教师主机发送文件,由此可知,教师主机更加重要,所以对于某些病毒来说,侵入学生主机的严重程度是严重的话,那么侵入教师主机的严重程度就是非常严重,所以有必要对教师主机的资源库进行调整。由于通用资源库是统一下发的,所以在资源库下发后,通过将教师主机中可疑资源库中的资源移动到非法资源库中,来改变监控对象对应的严重程度,更加能保证主机的正常运行。
在本申请的一种实施例中,目的主机根据对应的资源列表进行本地扫描,具体包括:
目的主机根据资源列表,对本地包括的资源对象进行以下任意一项或多项操作:匹配、扫描、过滤;资源对象包括以下任意一项或多项:文件、运行的程序、建立的TCP连接、开放的端口;
判断资源对象与定制资源库是否匹配,若是,则为资源对象标记正常标签,若否,再判断资源对象与普通资源库、可疑资源库、非法资源库是否匹配,并为资源对象标记对应的标签;普通资源库对应的标签为正常标签,可疑资源库对应的标签为警告标签,非法资源库对应的标签为紧急标签;主机本地的资源对象匹配到普通资源库中的资源时标记info标签,匹配到可疑资源库中的资源时标记warning标签,匹配到非法资源库中的资源时标记emergency标签,匹配到定制资源库中的资源时标记info标签,根据标签生成扫描结果,将扫描结果输出到相应的文件中;扫描结果包括告警结果,对于扫描结果会输出到对应的文件中,便于管理员查看、提取、下载。
对主机本地资源对象进行扫描时可设置定时扫描,也可设置扫描周期,同时也可设置扫描白名单,白名单中包括但不限于无需扫描的程序、文件、建立的TCP连接、开放的端口等,或设置重点扫描名单等。同时,还可设置扫描模式,通过配置选项,设置扫描时占用的最大系统CPU和内存资源,若主机进程少时,设置扫描占用的CPU和内存资源大一些,以快速扫描完毕;若主机进程较多,可设置扫描占用的CPU和内存资源小一些,这样虽然扫描的速度较慢,但是可以保证其他进程的正常使用和运行。
S103:用于根据告警结果,以及预设的处理动作,对相应的目的主机中导致告警结果的监控对象进行处理。
预设的处理动作可通过配置文件配置,告警结果由监控服务器进行解析后,根据预设的默认处理动作或动作,对目的主机中的异常的监控对象进行处理。
在本申请的一种实施例中,用于根据告警结果,以及预设的处理动作,对相应的目的主机中导致告警结果的监控对象进行处理,具体包括:监控服务器将告警结果分为异常程序进程的告警和异常文件的告警;如果判断为异常程序进程的类型,那么根据预设的第一默认处理动作,对相应的异常程序进程进行处理;第一默认处理动作至少包括以下一种:停止(Only Kill)、停止并删除(Kill And Del)、忽略(Do Nothing);根据异常文件的类型,以及预设的第二默认处理动作,对相应的异常文件进行处理;第二默认处理动作至少包括以下一种:删除(Delete)、忽略(Do Nothing)。
在本申请的一种实施例中,在监控服务器接收到告警结果之后,对于warning标签级别以上的告警结果,监控服务器会对告警结果进行解析,将解析得到的告警信息在待处理界面的待处理项中显示,待处理项中包括但不限于告警事件的时间,内容,告警级别,接收人,处理动作等,以提示管理人员方便处理。
在本申请的一种实施例中,根据预设的等待时限,在等待时限内接收管理人员对告警结果的处理指示,并向对应的目的主机下发处理指令,对导致告警结果的监控对象进行处理;在接收到告警信息后服务器会有一段等待时限等待管理人员处理,等待时限可由管理人员设置,在管理时限内管理员可将告警信息或扫描报告提取或下载到前台界面,并直接手动下发处理指示,摒弃以往扫描解析输出文档后,离线分析再处理的弊端。若在等待时限内未接收到管理人员对告警结果的处理指示,根据预设的处理动作,对相应目的主机的告警结果进行自动处理。
在本申请的一种实施例中,根据预设的等待时限,在等待时限内接收管理人员对告警结果的处理指示,具体包括:根据预设的等待条件,确定与相应目的主机及告警结果匹配的等待时限;等待条件包括告警结果的严重程度、目的主机与其他目的主机之间的关联关系、目的主机的用途。若告警信息显示该主机被破坏的严重程度非常严重,属于严重程度中的最高级别,若管理人员不及时处理会加剧问题的严重性,那么这时的等待条件不允许等待时限太长,那么设置的等待时限便不能够太长,比如只设置一个等待期。若检测后产生告警结果的是相对其他主机比较重要的主机,例如教师主机和管理层主机,那么这时的等待条件也不允许等待时间设置的过久,以防止病毒蔓延至其他主机或危险端口开放太久等危险行为。监控服务器根据告警结果显示的严重程度去匹配等待时限,在等待时限内接收管理人员对告警结果的处理指示。一旦超出等待时限,便自动对主机中的告警信息处理。
如图2所示为本申请实施例提供的一种主机监控告警处理的系统数据处理步骤示意图。资源库转换成资源列表后批量分发至目的主机;目的主机启动扫描程序匹配资源列表全面扫描主机;主机在扫描过程中发现可疑或非法程序文件时产生告警并上报;监控服务器的告警手机模块在收到告警后将告警结果解析并放入待处理项中;监控服务器的远程控制模块将发送处理动作到目的主机,执行处置操作;目的主机执行监控服务器发来的处理指令,或若干等待期后执行设置的默认动作。
通过本申请的方法,监控服务器能够对网络系统中的各主机进行统一管理和监控,通过批量下发资源库,收集告警结果,对各主机的运行情况进行有序监控。同时,监控服务器还能够针对各主机不同的使用特点,考虑到各主机运行的程序、文件的不同,确定对主机进行监控时所采用的定制资源库,以实现对各主机的定制化、差异化管理,更有针对性地处理主机产生的问题。监控服务器能够随时从网络上下载资源库,实现资源库的自主添加和智能导入,并统一下发至各主机,实现统一管理,做到一次部署,永久使用。在监控服务器与多个主机组成的网络系统中,可以实现下游主机的动态扩展,方便随时将其他主机无缝接入到系统中,实现对主机的监控、告警处理的集成管理。监控服务器能够对各主机进行及时全面的监控,并实时产生告警,通知相关管理人员对其进行处理,如果管理人员未及时处理,监控服务器也会根据预设的处理动作进行自动处置。通过监控服务器采集主机的告警结果,管理人员能够随时下载主机上的告警信息,在监控服务器的系统界面处置主机上报的告警,方便快捷。
以上为本申请实施例提供的一种主机监控告警处理的方法,基于同样的发明思路,本申请实施例还提供了相应的一种主机监控告警处理的装置,如图3所示。
一种主机监控告警处理的装置,应用于包括监控服务器和其监控的一个或者多个主机的网络系统,包括:
资源库统一管理模块201,用于根据主机本地的程序运行特点,配置对应的资源库;资源库与监控服务器在主机中监控的监控对象相关;
主程序模块202,用于将对应的资源库转换为资源列表,并分别下发至对应的目的主机中,使目的主机根据对应的资源列表进行本地扫描,并将扫描得到的告警结果上报至监控服务器;
运程控制模块203,用于根据告警结果,以及预设的处理动作,对相应的目的主机中导致告警结果的监控对象进行处理。
如图4所示为本申请一种实施例提供的一种主机监控告警处理的装置的组成模块示意图,监控服务器端包括资源库统一管理模块,资源库中分为普通资源库、可疑资源库、非法资源库、定制资源库。普通资源库、可疑资源库、非法资源库为公共资源库,每个主机都会下发,定制资源库只根据主机的需要下发;监控服务器将资源库转化为资源配置列表的形式,对资源库批量分发至目的主机,实现自动化分发,节省了大量人力时间成本,并且可以定制主机资源。批量分发模块,用于下发资源库转换之后的资源列表到客户端主机;告警收集模块,用于收集客户端主机上传的告警结果;远程控制模块,用于根据告警结果解析后的告警信息,下发处理指令,实现了监控的统一性,连通性以及便捷性。客户端则是资源的接收者,通过接收监控服务端下发的资源列表,以此为基础进行扫描操作,从而上报主机中的危险告警并接收监控服务端对其产生的处理动作。在客户端的主机上包括资源列表模块,用于存储监控服务器下发的资源列表;扫描程序模块,用于对主机进行扫描,扫描后生成扫描结果,并将告警结果通过告警上传模块上报至监控服务器的告警收集模块;处理动作模块,接收监控服务器下发的处理指令,对主机的告警结果进行处理。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (9)
1.一种主机监控告警处理的方法,其特征在于,应用于包括监控服务器和其监控的一个或者多个主机的网络系统,所述方法包括:
所述监控服务器根据所述主机本地的程序运行特点,配置对应的资源库;所述资源库与所述监控服务器在所述主机中监控的监控对象相关;
将所述对应的资源库转换为资源列表,并分别下发至对应的目的主机中,使所述目的主机根据所述对应的资源列表进行本地扫描,并将扫描得到的告警结果上报至所述监控服务器;
根据所述告警结果,以及预设的处理动作,对相应的目的主机中导致所述告警结果的监控对象进行处理;
将所述对应的资源库转换为资源列表,并分别下发至对应的目的主机中,具体包括:
确定预设的普通资源库、可疑资源库、非法资源库;其中,所述普通资源库、可疑资源库、非法资源库对应的监控对象的告警结果的严重程度依次增大;
将所述普通资源库、可疑资源库、非法资源库均转换为对应的资源列表,并批量下发至各目的主机中;
确定与所述主机本地的程序运行特点匹配的定制资源库;
将所述定制资源库转换为对应的资源列表,根据相应的目的主机地址,分别下发至对应的目的主机中。
2.根据权利要求1所述的方法,其特征在于,确定与所述主机本地的程序运行特点匹配的定制资源库,具体包括:
根据所述主机连接的外网的IP范围,确定与所述范围匹配的监控对象的数量;
从所述外网对应的监控对象集合中,选取相应数量的监控对象,作为所述主机对应的定制资源库。
3.根据权利要求1所述的方法,其特征在于,确定与所述主机本地的程序运行特点匹配的定制资源库,具体包括:
根据所述主机的用途,确定所述主机在外网访问的主要网站类型;
根据所述主要网站类型,确定与相应网站类型匹配的监控对象,作为所述主机对应的定制资源库。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述目的主机根据与其他目的主机之间的关联关系,对接收到的普通资源库、可疑资源库、非法资源库中的监控对象所属的资源库进行调整。
5.根据权利要求1所述的方法,其特征在于,根据所述告警结果,以及预设的处理动作,对相应的目的主机中导致所述告警结果的监控对象进行处理,具体包括:
将所述告警结果分为异常程序进程的告警和异常文件的告警;
根据所述异常程序进程的类型,以及预设的第一默认处理动作,对相应的异常程序进程进行处理;所述第一默认处理动作至少包括以下一种:停止、停止并删除、忽略;
根据所述异常文件的类型,以及预设的第二默认处理动作,对相应的异常文件进行处理;所述第二默认处理动作至少包括以下一种:删除、忽略。
6.根据权利要求1所述的方法,其特征在于,根据所述告警结果,以及预设的处理动作,对相应的目的主机中导致所述告警结果的监控对象进行处理,具体包括:
对所述告警结果进行解析,将解析得到的告警信息在待处理界面的待处理项中显示,提示管理人员进行处理;所述告警信息至少包括以下一种:时间、内容、告警级别、接收人、处理动作;
根据预设的等待时限,在所述等待时限内接收管理人员对所述告警结果的处理指示,并向对应的目的主机下发处理指令,对导致所述告警结果的监控对象进行处理;
若在所述等待时限内未接收到管理人员对所述告警结果的处理指示,根据预设的处理动作,对相应目的主机的告警结果进行自动处理。
7.根据权利要求6所述的方法,其特征在于,根据预设的等待时限,在所述等待时限内接收管理人员对所述告警结果的处理指示,具体包括:
根据预设的等待条件,确定与相应目的主机及告警结果匹配的等待时限;所述等待条件包括告警结果的严重程度、所述目的主机与其他目的主机之间的关联关系、所述目的主机的用途;
根据所述匹配的等待时限,在所述等待时限内接收管理人员对所述告警结果的处理指示。
8.根据权利要求1所述的方法,其特征在于,所述目的主机根据所述对应的资源列表进行本地扫描,具体包括:
所述目的主机根据所述资源列表,对本地包括的资源对象进行以下任意一项或多项操作:匹配、扫描、过滤;所述资源对象包括以下任意一项或多项:文件、运行的程序、建立的TCP连接、开放的端口;
判断所述资源对象与所述定制资源库是否匹配,若是,则为所述资源对象标记正常标签,若否,再判断所述资源对象与所述普通资源库、可疑资源库、非法资源库是否匹配,并为所述资源对象标记对应的标签;所述普通资源库对应的标签为正常标签,所述可疑资源库对应的标签为警告标签,所述非法资源库对应的标签为紧急标签;
根据所述标签生成扫描结果,将所述扫描结果输出到相应的文件中;所述扫描结果包括所述告警结果。
9.一种主机监控告警处理的装置,其特征在于,应用于包括监控服务器和其监控的一个或者多个主机的网络系统,所述装置包括:
资源库统一管理模块,用于根据所述主机本地的程序运行特点,配置对应的资源库;所述资源库与所述监控服务器在所述主机中监控的监控对象相关;
主程序模块,用于将所述对应的资源库转换为资源列表,并分别下发至对应的目的主机中,使所述目的主机根据所述对应的资源列表进行本地扫描,并将扫描得到的告警结果上报至所述监控服务器;
还用于确定预设的普通资源库、可疑资源库、非法资源库;其中,所述普通资源库、可疑资源库、非法资源库对应的监控对象的告警结果的严重程度依次增大;
将所述普通资源库、可疑资源库、非法资源库均转换为对应的资源列表,并批量下发至各目的主机中;
确定与所述主机本地的程序运行特点匹配的定制资源库;
将所述定制资源库转换为对应的资源列表,根据相应的目的主机地址,分别下发至对应的目的主机中;
运程控制模块,根据所述告警结果,以及预设的处理动作,对相应的目的主机中导致所述告警结果的监控对象进行处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110571536.9A CN113381881B (zh) | 2021-05-25 | 2021-05-25 | 一种主机监控告警处理的方法、装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110571536.9A CN113381881B (zh) | 2021-05-25 | 2021-05-25 | 一种主机监控告警处理的方法、装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113381881A CN113381881A (zh) | 2021-09-10 |
| CN113381881B true CN113381881B (zh) | 2022-12-09 |
Family
ID=77571878
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110571536.9A Active CN113381881B (zh) | 2021-05-25 | 2021-05-25 | 一种主机监控告警处理的方法、装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113381881B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115051905A (zh) * | 2022-07-19 | 2022-09-13 | 广东泓胜科技股份有限公司 | 一种端口安全监控分析方法、装置及相关设备 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102521099A (zh) * | 2011-11-24 | 2012-06-27 | 深圳市同洲视讯传媒有限公司 | 一种进程监控方法及进程监控系统 |
| CN104079434A (zh) * | 2014-07-07 | 2014-10-01 | 用友软件股份有限公司 | 云计算系统中物理设备管理的装置及方法 |
| CN104506348A (zh) * | 2014-12-12 | 2015-04-08 | 上海新炬网络信息技术有限公司 | 一种自动化发现并配置监控对象的方法 |
| CN104639374A (zh) * | 2015-03-03 | 2015-05-20 | 上海瀚银信息技术有限公司 | 一种应用程序部署管理系统 |
| CN108234150A (zh) * | 2016-12-09 | 2018-06-29 | 中兴通讯股份有限公司 | 用于数据中心监控系统的数据采集和处理方法及系统 |
| CN109660380A (zh) * | 2018-09-28 | 2019-04-19 | 深圳壹账通智能科技有限公司 | 服务器运行状态的监控方法、平台、系统及可读存储介质 |
| CN109728979A (zh) * | 2019-03-01 | 2019-05-07 | 国网新疆电力有限公司信息通信公司 | 适用于信息运维综合监管平台的自动告警系统及方法 |
| CN111970146A (zh) * | 2020-07-25 | 2020-11-20 | 苏州浪潮智能科技有限公司 | 一种srdc整机柜节点的监控平台及监控方法 |
| CN112291112A (zh) * | 2020-10-27 | 2021-01-29 | 中国光大银行股份有限公司 | 一种云计算服务监控系统和方法 |
| CN112637119A (zh) * | 2020-11-13 | 2021-04-09 | 北京大米科技有限公司 | 主机扫描方法、装置、存储介质及电子设备 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109842517A (zh) * | 2018-08-03 | 2019-06-04 | 上海诣星智能科技有限公司 | 统一物联网设备管理平台 |
| CN109660526A (zh) * | 2018-12-05 | 2019-04-19 | 国网江西省电力有限公司信息通信分公司 | 一种应用于信息安全领域的大数据分析方法 |
| CN112162829B (zh) * | 2020-10-29 | 2023-09-12 | 杭州谐云科技有限公司 | 一种边缘计算场景下的资源监控数据预处理系统 |
-
2021
- 2021-05-25 CN CN202110571536.9A patent/CN113381881B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102521099A (zh) * | 2011-11-24 | 2012-06-27 | 深圳市同洲视讯传媒有限公司 | 一种进程监控方法及进程监控系统 |
| CN104079434A (zh) * | 2014-07-07 | 2014-10-01 | 用友软件股份有限公司 | 云计算系统中物理设备管理的装置及方法 |
| CN104506348A (zh) * | 2014-12-12 | 2015-04-08 | 上海新炬网络信息技术有限公司 | 一种自动化发现并配置监控对象的方法 |
| CN104639374A (zh) * | 2015-03-03 | 2015-05-20 | 上海瀚银信息技术有限公司 | 一种应用程序部署管理系统 |
| CN108234150A (zh) * | 2016-12-09 | 2018-06-29 | 中兴通讯股份有限公司 | 用于数据中心监控系统的数据采集和处理方法及系统 |
| CN109660380A (zh) * | 2018-09-28 | 2019-04-19 | 深圳壹账通智能科技有限公司 | 服务器运行状态的监控方法、平台、系统及可读存储介质 |
| CN109728979A (zh) * | 2019-03-01 | 2019-05-07 | 国网新疆电力有限公司信息通信公司 | 适用于信息运维综合监管平台的自动告警系统及方法 |
| CN111970146A (zh) * | 2020-07-25 | 2020-11-20 | 苏州浪潮智能科技有限公司 | 一种srdc整机柜节点的监控平台及监控方法 |
| CN112291112A (zh) * | 2020-10-27 | 2021-01-29 | 中国光大银行股份有限公司 | 一种云计算服务监控系统和方法 |
| CN112637119A (zh) * | 2020-11-13 | 2021-04-09 | 北京大米科技有限公司 | 主机扫描方法、装置、存储介质及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113381881A (zh) | 2021-09-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11190544B2 (en) | Updating security controls or policies based on analysis of collected or created metadata | |
| US11936666B1 (en) | Risk analyzer for ascertaining a risk of harm to a network and generating alerts regarding the ascertained risk | |
| US20220131836A1 (en) | Firewall techniques for colored objects on endpoints | |
| US10516531B2 (en) | Key management for compromised enterprise endpoints | |
| US10778725B2 (en) | Using indications of compromise for reputation based network security | |
| US10382459B2 (en) | Threat detection using a time-based cache of reputation information on an enterprise endpoint | |
| US10841339B2 (en) | Normalized indications of compromise | |
| US11729193B2 (en) | Intrusion detection system enrichment based on system lifecycle | |
| US9832217B2 (en) | Computer implemented techniques for detecting, investigating and remediating security violations to IT infrastructure | |
| US9965627B2 (en) | Labeling objects on an endpoint for encryption management | |
| US9967282B2 (en) | Labeling computing objects for improved threat detection | |
| US10965711B2 (en) | Data behavioral tracking | |
| US9027125B2 (en) | Systems and methods for network flow remediation based on risk correlation | |
| US20170083703A1 (en) | Leveraging behavior-based rules for malware family classification | |
| RU2679179C1 (ru) | Системы и способы для создания и модификации списков управления доступом | |
| GB2565734A (en) | Labeling computing objects for improved threat detection | |
| CN106716953A (zh) | 控制系统中的网络安全风险的动态量化 | |
| US20080183603A1 (en) | Policy enforcement over heterogeneous assets | |
| CN113381881B (zh) | 一种主机监控告警处理的方法、装置 | |
| CN112650180B (zh) | 安全告警方法、装置、终端设备及存储介质 | |
| Cisco | Configuring Script and E-Mail Notifications for IDS Events | |
| KR20220086402A (ko) | 클라우드 기반 통합 보안서비스 제공 시스템 | |
| Shivhare et al. | Addressing Security Issues of Small and Medium Enterprises through Enhanced SIEM Technology | |
| CN115622898A (zh) | 一种内部网络行为审计系统及审计方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |