CN116909854A - 告警数据处理方法、装置、设备、介质和计算机程序产品 - Google Patents

告警数据处理方法、装置、设备、介质和计算机程序产品 Download PDF

Info

Publication number
CN116909854A
CN116909854A CN202310859835.1A CN202310859835A CN116909854A CN 116909854 A CN116909854 A CN 116909854A CN 202310859835 A CN202310859835 A CN 202310859835A CN 116909854 A CN116909854 A CN 116909854A
Authority
CN
China
Prior art keywords
alarm
data
alarm data
time
matching result
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310859835.1A
Other languages
English (en)
Inventor
叶睿显
欧阳宇宏
曾诗钦
李曼
车向北
康文倩
王立宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Power Supply Co ltd
Original Assignee
Shenzhen Power Supply Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Power Supply Co ltd filed Critical Shenzhen Power Supply Co ltd
Priority to CN202310859835.1A priority Critical patent/CN116909854A/zh
Publication of CN116909854A publication Critical patent/CN116909854A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/32Monitoring with visual or acoustical indication of the functioning of the machine
    • G06F11/324Display of status information
    • G06F11/327Alarm or error message display
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/302Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/22Matching criteria, e.g. proximity measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Computing Systems (AREA)
  • Quality & Reliability (AREA)
  • Mathematical Physics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Alarm Systems (AREA)

Abstract

本申请涉及一种告警数据处理方法、装置、设备、介质和计算机程序产品。所述方法包括:获取电力系统中设备的告警数据和对设备的操作数据;将告警数据对应的告警位置信息和操作数据对应的操作位置信息进行匹配,得到位置匹配结果,将告警数据对应的告警时间信息和操作数据对应的操作时间信息进行匹配,得到时间匹配结果;若位置匹配结果或时间匹配结果表示存在不匹配的情况,则输出告警数据。本申请采用上述方法,通过将告警数据与操作数据进行匹配,确定告警数据是否异常产生,若告警数据是异常产生,则输出告警数据,若告警数据是正常产生,则无需特别处理,从而减少告警数据的处理量,提升告警数据的处理效率和可靠性。

Description

告警数据处理方法、装置、设备、介质和计算机程序产品
技术领域
本申请涉及电力系统告警数据处理的技术领域,特别是涉及一种告警数据处理方法、装置、设备、介质和计算机程序产品。
背景技术
随着网络攻击手段的不断升级,为了保证电力系统内部数据的安全,在电力系统监测到告警数据时,需对监测到的告警数据及时处理。但对电力系统内部中的电脑主机、路由器等设备进行常规操作时,也不可避免地会产生告警数据,当电力系统规模较大时,由于需要处理的告警数据量很大,使得数据处理难度大,处理效率不高。
传统技术中当电力系统监测到告警数据时,会基于告警场景的识别对告警数据进行处理,通过告警场景的识别可以减少需要人为处置的告警数据量,从而解决了对告警数据处理效率低的问题。然而,传统方法对于未识别出告警场景的告警数据无法进行处理,可靠性低,处理效率低。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提升处理告警数据可靠性和处理效率的告警数据处理方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
第一方面,本申请提供了一种告警数据处理方法。方法包括:
获取电力系统中设备的告警数据和对设备的操作数据;
将告警数据对应的告警位置信息和操作数据对应的操作位置信息进行匹配,得到位置匹配结果,将告警数据对应的告警时间信息和操作数据对应的操作时间信息进行匹配,得到时间匹配结果;
若位置匹配结果或时间匹配结果表示存在不匹配的情况,则输出告警数据。
在其中一个实施例中,该方法还包括:
在位置匹配结果和时间匹配结果均表示匹配的情况下,确定固定时间段内告警数据的告警频率;
根据告警频率判断告警数据是否异常,若告警数据异常,则输出异常的告警数据。
在其中一个实施例中,告警数据包括告警类型标识,输出告警数据包括:
获取告警数据对应的告警类型标识,并根据告警类型标识在预设的告警误报映射关系表中查询,以确定告警类型标识对应的告警数据是否异常产生;
若告警数据非异常产生,则输出告警数据。
在其中一个实施例中,该方法还包括:
若位置匹配结果或时间匹配结果表示存在不匹配的情况,确定操作数据是否存在遗漏;
在操作数据存在遗漏的情况下,获取遗漏的附加操作数据,并将附加操作数据对应的附加位置信息、附加时间信息与告警数据进行匹配;
输出告警数据,包括:
若附加位置信息、附加时间信息与告警数据不匹配,则输出告警数据。
在其中一个实施例中,该方法还包括:
在位置匹配结果和时间匹配结果均表示匹配的情况下,判断告警数据中是否存在目标位置的访问信息;
若存在访问信息,则根据告警数据的位置信息和访问信息,确定告警数据是否首次产生;
输出告警数据,包括:
若告警数据是首次产生,则输出告警数据。
在其中一个实施例中,在获取电力系统中设备的告警数据之后,该方法还包括:
获取告警数据对应的告警类型标识,查询告警类型标识是否处于预设的告警场景映射关系表中;
若告警类型标识不存在对应的告警场景,则将告警数据对应的告警位置信息和操作数据对应的操作位置信息进行匹配,将告警数据对应的告警时间信息和操作数据对应的操作时间信息进行匹配。
第二方面,本申请还提供了一种告警数据处理装置。该装置包括:
告警数据获取模块,用于获取电力系统中设备的告警数据和对设备的操作数据;
告警数据处理模块,用于将告警数据对应的告警位置信息和操作数据对应的操作位置信息进行匹配,得到位置匹配结果,将告警数据对应的告警时间信息和操作数据对应的操作时间信息进行匹配,得到时间匹配结果;
告警数据输出模块,用于若位置匹配结果或时间匹配结果表示存在不匹配的情况,则输出告警数据。
第三方面,本申请还提供了一种计算机设备。计算机设备包括存储器和处理器,存储器存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
获取电力系统中设备的告警数据和对设备的操作数据;
将告警数据对应的告警位置信息和操作数据对应的操作位置信息进行匹配,得到位置匹配结果,将告警数据对应的告警时间信息和操作数据对应的操作时间信息进行匹配,得到时间匹配结果;
若位置匹配结果或时间匹配结果表示存在不匹配的情况,则输出告警数据。
第四方面,本申请还提供了一种计算机可读存储介质。计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以下步骤:
获取电力系统中设备的告警数据和对设备的操作数据;
将告警数据对应的告警位置信息和操作数据对应的操作位置信息进行匹配,得到位置匹配结果,将告警数据对应的告警时间信息和操作数据对应的操作时间信息进行匹配,得到时间匹配结果;
若位置匹配结果或时间匹配结果表示存在不匹配的情况,则输出告警数据。
第五方面,本申请还提供了一种计算机程序产品。计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
获取电力系统中设备的告警数据和对设备的操作数据;
将告警数据对应的告警位置信息和操作数据对应的操作位置信息进行匹配,得到位置匹配结果,将告警数据对应的告警时间信息和操作数据对应的操作时间信息进行匹配,得到时间匹配结果;
若位置匹配结果或时间匹配结果表示存在不匹配的情况,则输出告警数据。
上述告警数据处理方法、装置、设备、介质和计算机程序产品,获取电力系统中设备的告警数据和对设备的操作数据;将告警数据对应的告警位置信息和操作数据对应的操作位置信息进行匹配,得到位置匹配结果,将告警数据对应的告警时间信息和操作数据对应的操作时间信息进行匹配,得到时间匹配结果;若位置匹配结果或时间匹配结果表示存在不匹配的情况,则输出告警数据。本申请采用上述方法,将告警数据对应的告警时间信息与操作数据对应的操作时间信息进行匹配,以确定告警数据是否产生在操作时间信息对应的时间范围内,将告警数据对应的告警位置信息与操作数据对应的操作位置信息进行匹配,以确定告警数据的产生位置是否在操作位置信息对应的地理区域内,当位置匹配结果或时间匹配结果表示告警数据与操作数据不匹配的情况下,表明告警数据可能是异常产生,则输出告警数据,以便后续对告警数据进行处理;当告警数据与操作数据匹配时,表明该告警数据可能是根据正常的设备操作动作产生,无需特别处理,从而减少告警数据的处理量,进而提升告警数据的处理效率和可靠性。
附图说明
图1为一个实施例中告警数据处理方法的应用环境图;
图2为一个实施例中告警数据处理方法的流程图;
图3为一个实施例中根据告警频率确定告警数据是否异常的流程图;
图4为一个实施例中根据告警类型标识确定告警数据是否异常产生的流程图;
图5为一个实施例中根据附加操作数据判断告警数据与操作数据是否匹配的流程图;
图6为一个实施例中根据告警数据的位置信息和访问信息确定告警数据是否首次产生的流程图;
图7为一个实施例中根据告警类型标识判断告警数据是否存在对应的告警场景的流程图;
图8为一个实施例中告警数据处理装置的结构框图;
图9为一个实施例中计算机设备的内部结构图;
图10为另一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例提供的告警数据处理方法,可以应用于如图1所示的应用环境中。其中,终端102通过网络与服务器104进行通信。数据存储系统可以存储服务器104需要处理的数据。数据存储系统可以集成在服务器104上,也可以放在云上或其他网络服务器上。其中,终端102可以但不限于是电力系统中变电站、通信主站内的电脑、电脑主机、路由器、交换机等能产生告警数据的设备,服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。当电力系统内部管理人员进入变电站或通信主站内时,会对终端102进行相关操作,例如,通过在变电站内的电脑主机上插拔USB,实现对电脑主机内相关数据的复制和导出,由于电力系统内部的数据对安全性具有较高的要求,当电脑主机存在插拔USB的情况时,操作系统会自动监测到该事件,并触发相应告警程序,产生告警数据。
在一个实施例中,如图2所示,以该方法应用于图1中的终端为例进行说明,可以理解的是,该方法也可以应用于服务器,还可以应用于包括终端和服务器的系统,并通过终端和服务器的交互实现。本实施例中,该方法包括以下步骤:
步骤202,获取电力系统中设备的告警数据和对设备的操作数据。
其中,设备是电力系统中能够产生告警数据的设备,例如,路由器、交换机、电脑主机、加密装置等,这些设备通常配备了日志记录功能,可以记录关键的系统事件和网络活动,当监测到异常情况、网络攻击或其他安全事件时,会产生相应的告警数据,并通过日志或警报系统进行发布。告警数据包括告警位置信息和告警时间信息。操作数据表征对设备执行的操作信息,可以是电力系统内部的管理人员进入电力系统内部对设备进行操作的信息,例如对路由器的网络连接、对电脑主机的IO端口进行连接等操作,操作数据包括表征执行操作的操作位置信息和操作时间信息,其中,告警位置信息和操作位置信息均可以通过坐标表示。
步骤204,将告警数据对应的告警位置信息和操作数据对应的操作位置信息进行匹配,得到位置匹配结果,将告警数据对应的告警时间信息和操作数据对应的操作时间信息进行匹配,得到时间匹配结果。
其中,告警位置信息是产生告警数据的设备位置信息,告警时间信息是告警数据的产生时刻信息。位置匹配结果用于表征告警位置信息是否与操作位置信息匹配,时间匹配结果用于表征告警时间信息是否与操作时间信息匹配。
示例性的,当变电站01内的电脑主机01在2023年7月1日8:00产生告警数据时,该告警数据对应的告警位置信息是变电站01内的电脑主机01,该告警数据对应的告警时间信息是2023年7月1日8:00。操作位置信息是被操作的设备的所属地理区域信息,通常是变电站、通信主站等的位置信息,操作时间信息是电力系统内部的管理人员进入变电站、通信主站等并对其内部的设备进行操作的时间范围信息,例如,电力系统内部管理人员于2023年7月1日8:00进入某变电站内对电脑主机02进行相关操作并登记,且登记的操作结束时间为2023年7月1日11:00,则产生的操作数据的操作位置信息是某变电站内的电脑主机02,该操作数据的操作时间信息是2023年7与1日8:00-2023年7月1日11:00。
此外,告警位置信息还可以是产生告警数据的设备的经纬度坐标信息,操作位置信息也可以是被操作的设备的所属地理区域的中心点的经纬度坐标信息,所属地理区域为以该中心点的经纬度坐标为中心点,并以1KM作为直径向外辐射的地理区域,所属地理区域的直径大小的取值需使得所属地理区域能覆盖整个变电站或通信主站等。当产生告警数据的设备的经纬度坐标位于所属地理区域的范围内时,则判定告警位置信息与操作位置信息匹配。
具体地,在获取到告警数据和操作数据后,将告警数据对应的告警位置信息和操作数据对应的操作位置信息进行匹配,将告警数据对应的告警时间信息和操作数据对应的操作时间进行匹配,当告警位置信息对应的设备位置在操作位置信息对应的地理区域内时,表明告警位置信息与操作位置信息是匹配的,例如,告警位置信息为变电站01内的主机01,若操作位置信息为变电站01,则表明告警位置信息与操作位置信息匹配。当告警时间信息对应的时刻在操作时间对应的时间范围内时,表明告警时间信息与操作时间信息是匹配的,例如,告警时间信息为2023年7月1日8:00,操作时间信息为2023年7月1日7:00-12:00,则表明告警时间信息对应的时刻在操作时间信息对应的时间范围内,即表明告警时间信息与操作时间信息匹配。
步骤206,若位置匹配结果或时间匹配结果表示存在不匹配的情况,则输出告警数据。
示例性的,当位置匹配结果表示不匹配时,表明告警数据的产生位置不在操作位置信息对应的地理区域内,即表明告警数据存在非正常产生的可能,需要特别处理,当时间匹配结果表示不匹配时,表明告警数据的产生时刻不在操作时间信息对应的时间范围内,即表明告警数据也存在非正常产生的可能,需要特别处理,此时,输出告警数据,以便对非正常产生的告警数据进行特别处理。
上述告警数据处理方法中,将告警数据对应的告警时间信息与操作数据对应的操作时间信息进行匹配,以确定告警数据是否产生在操作时间信息对应的时间范围内,将告警数据对应的告警位置信息与操作数据对应的操作位置信息进行匹配,以确定告警数据的产生位置是否在操作位置信息对应的地理区域内,当位置匹配结果或时间匹配结果表示不匹配时,表明该告警数据可能是异常产生,需特别处理,则输出该告警数据,以便后续对该告警数据进行特别处理;当告警数据与操作数据不匹配时,表明该告警数据可能是根据正常的设备操作动作产生,无需特别处理,从而减少告警数据的处理量,进而提升告警数据的处理效率和可靠性。
在一个实施例中,如图3所示,该告警数据处理方法还包括:
步骤302,在位置匹配结果和时间匹配结果均表示匹配的情况下,确定固定时间段内告警数据的告警频率。
示例性的,告警频率是指固定时间段内,设备发生故障或异常情况时所产生的告警数量,告警频率通常以每单位时间内的告警次数来表示,单位可以是每小时、每天、每周等,例如,告警频率为10次/小时,表示每小时告警数据产生10次。
步骤304,根据告警频率判断告警数据是否异常,若告警数据异常,则输出异常的告警数据。
示例性的,如果告警数据的告警频率在一定范围内波动,表明该告警数据具有一定的周期性,具有周期性的告警数据通常是某些设备可能会在固定的时间间隔内执行特定的任务或计划性操作产生的,例如备份、数据同步等,这些操作可能会触发一些告警,例如备份失败、同步错误等,在每次执行任务时都会产生周期性的告警数据。此外,设备故障或配置问题也可能会产生周期性的告警数据,所以当产生周期性的告警数据时,可以判定该告警数据异常,异常的告警数据需要及时输出,以便后续进行特别处理。
本实施例中,在位置匹配结果和时间匹配结果均表示匹配的情况下,将具有周期性的告警数据定义为异常的告警数据,并将异常的告警数据输出,有助于减少需要处理的告警数据的错漏量,从而保证告警数据处理的可靠性。
在一个实施例中,如图4所示,告警数据包括告警类型标识,输出告警数据包括:
步骤402,获取告警数据对应的告警类型标识,并根据告警类型标识在预设的告警误报映射关系表中查询,以确定告警类型标识对应的告警数据是否异常产生。
其中,告警类型标识用于表征告警数据的类型,告警类型标识可以是具体的告警名称,例如,USB插拔告警、管理系统登录告警、网口插拔告警、关键文件变更告警等告警类型标识。其中,USB插拔告警是针对电脑主机USB接口被插拔的事件所产生的告警;管理系统登录告警是针对用户登录行为产生的告警,且无论登录成功或失败都会产生告警;网口插拔告警是针对网络接口的状态变化,主要是网络流量变化达到一定阈值产生的告警;关键文件变更告警是针对关键文件的内容或属性变化产生的告警,比如修改账号的登录密码时会产生告警数据。
具体的告警类型标识的识别通常是通过监测、分析系统日志或安全事件日志而实现。例如,系统或设备通常会生成相应的日志记录,用于记录发生的事件和活动,这些日志可能包含有关USB插拔、管理系统登录、网口插拔事件等相关信息,通过对这些日志进行分析,可以区分和识别不同的告警类型。另外,系统或安全管理平台可以配置特定的告警规则和策略,用于监测和触发特定类型的告警,例如,针对USB插拔事件,可以设置规则以监测插入和拔出的动作,并触发相应的告警。
预设的告警误报映射关系表中包括误报的告警数据对应的告警类型标识,比如鼠标切换告警、网络闪断告警、传感器异常告警、软件故障告警、配置错误告警等,其中,鼠标切换告警是在同一鼠标在可控制多台电脑终端显示屏的情况下,由于切换屏幕导致的告警;网络闪断告警是有时网络连接可能会出现短暂的闪断,导致网络设备或系统生成网络连接中断的告警;传感器异常告警是由一些设备或系统使用传感器来监测物理或环境参数产生,如果传感器本身存在问题或者受到干扰,可能会导致错误的异常告警数据,包括温度、湿度、压力等传感器的误报;软件故障报警是指在一些情况下,软件可能会出现错误,例如监控软件可能出现错误地识别或解释某些指标,导致错误的告警数据产生;配置错误告警是在系统或设备的配置错误情况下导致的误报的告警数据,例如,无法正确配置阈值或规则,导致某些正常行为被错误地触发告警。
示例性的,在获取到告警数据对应的告警类型标识后,根据告警类型标识在预设的告警误报映射关系表中查询,当告警类型标识存在于预设的告警误报映射关系表中时,表明该告警数据是误报,即该告警数据是异常产生;当告警类型标识不存在于预设的告警误报映射关系表中时,表明该告警数据不是误报,即该告警数据是正常产生。
步骤404,若告警数据非异常产生,则输出告警数据。
示例性的,由上述内容可知,当告警数据是非异常产生时,表明该告警数据是正常产生且需特别处理的,则需要输出该告警数据,以便后续对该告警数据进行特别处理。
本实施例中,通过对误报的告警数据的识别,减少需特别处理的告警数据量,从而提升告警数据的处理效率。
在一个实施例中,如图5所示,该告警数据处理方法还包括:
步骤502,若位置匹配结果或时间匹配结果表示存在不匹配的情况,确定操作数据是否存在遗漏。
示例性的,当位置匹配结果或时间匹配结果表示存在不匹配的情况时,表明告警数据与操作数据是不匹配的,但是不匹配的情况也可能是操作数据的遗漏导致的,所以在告警数据与操作数据不匹配的情况下,需对操作数据是否遗漏进行判断。
步骤504,在操作数据存在遗漏的情况下,获取遗漏的附加操作数据,并将附加操作数据对应的附加位置信息、附加时间信息与告警数据进行匹配。
其中,附加操作数据是对遗漏的操作数据进行补充的数据,附件操作数据中对应的附加位置信息是补充的操作位置信息,附加时间信息是补充的操作时间信息。
示例性的,当操作数据遗漏时,获取遗漏的附加操作数据,若能获取到遗漏的附加操作数据,则将附加操作数据对应的附加位置信息与告警数据的告警位置信息匹配,将附加操作数据对应的附加时间信息与告警数据的时间信息匹配。
步骤506,若附加位置信息、附加时间信息与告警数据不匹配,则输出告警数据。
示例性的,根据附加操作数据对告警数据是否匹配进一步判定,在判定时,将附加操作数据中的附加位置信息与告警数据中的告警位置信息匹配,将附加操作数据中的附加时间信息与告警数据中的告警时间信息匹配,如果附加位置信息与告警位置信息不匹配,或者附加时间信息与告警时间信息不匹配,则表明告警数据与附加操作数据不匹配,即表明该告警数据异常,则需输出该告警数据。
本实施例中,通过附加操作数据对告警数据是否需特别处理进一步判断,以减少异常的需要处理的告警数据的缺漏,从而保证告警数据处理的可靠性。
在一个实施例中,如图6所示,该告警数据处理方法还包括:
步骤602,在位置匹配结果和时间匹配结果均表示匹配的情况下,判断告警数据中是否存在目标位置的访问信息。
示例性的,由前述内容可知,告警数据中存在告警位置信息,告警位置信息是产生告警数据的设备位置信息,而目标位置的访问信息是被访问的另一台设备位置信息,当一台设备需要访问另一台设备中的数据时,如果两台设备位于不同的网络中,则就需要跨过防火墙进行访问。防火墙主要起到监控和控制的作用,会检查进入和离开网络的数据流量,并根据预定义的规则和策略来决定访问请求是否允许通过,对于一些特定业务,经核实后,防火墙会允许访问请求通过。
步骤604,若存在访问信息,则根据告警数据的位置信息和访问信息,确定告警数据是否首次产生。
示例性的,当存在目标位置的访问信息时,表明告警数据可能是特殊业务,此时根据告警数据的位置信息和访问信息,在预设的数据库中查询该告警数据是否首次产生,若是首次产生,则表明该告警数据是特殊业务,预设的数据库中存储有历史告警数据记录以及对应的处置记录。
步骤606,若告警数据是首次产生,则输出告警数据。
示例性的,由上述内容可知,若告警数据是首次产生,则表明该告警数据是特殊业务,需特别处理,则需要输出告警数据,以便后续对该告警数据进行特别处理。
本实施例中,当告警数据中存在访问信息时,根据告警数据中的位置信息和访问信息,确定告警数据是否首次产生,若告警数据是首次产生,则表明告警数据可能是特殊业务,此时,输出告警数据,以减少对特殊业务产生的告警数据的错漏,从而保证告警数据处理的可靠性。
在一个实施例中,如图7所示,在获取电力系统中设备的告警数据之后,该告警数据处理方法还包括:
步骤702,获取告警数据对应的告警类型标识,查询告警类型标识是否处于预设的告警场景映射关系表中。
其中,由上述内容可知,告警类型标识用于表征告警数据类型,除了误报的告警数据类型、需特别处理的告警数据类型,其余的是无需特别处理、可以自动处理或屏蔽的告警数据。预设的告警场景映射关系表中包括的就是无需特别处理、可以自动处理或屏蔽的告警类型标识,这些告警类型标识包括定期性通知产生的告警、已知的误报告警、可信的白名单告警、已知的恶意软件或攻击产生的告警、可靠的自动修复产生的告警等,其中,定期性通知产生的告警是系统定期生成的通知,而不是实际的安全时间,这些通知可以包括系统运行状况、备份状态、日志清理等信息,这些告警数据可以被认为无需干预;已知的误报告警是有些告警数据可能是由于系统或设备的配置问题,导致误报的情况,这些误报是已知的,并且不会对系统安全造成威胁;可信的白名单告警是在一些情况下,某些网络或设备上的特定活动可能被认定为正常和可信的,不需要触发告警,通过建立白名单,将这些可信的活动列入自动处理或屏蔽的范围;已知的恶意软件或攻击产生的告警是一些已知的恶意软件或攻击行为可以通过特定的规则和模式识别出来,对于这些已知的威胁,可以建立自动化的处理机制,例如阻止恶意IP地址或自动隔离受感染的设备;可靠的自动修复产生的告警是对于一些已知的问题或故障,系统中存在可靠的自动修复机制,在这种情况下,告警数据可以被自动处理,无需干预。
示例性的,当获取到告警数据对应的告警类型标识后,在预设的告警场景映射关系表中查询该告警类型标识是否存在,若该告警类型标识存在,则表明该告警数据是常规告警场景,可被自动处理或屏蔽,无需干预。
步骤704,若告警类型标识不存在对应的告警场景,则将告警数据对应的告警位置信息和操作数据对应的操作位置信息进行匹配,将告警数据对应的告警时间信息和操作数据对应的操作时间信息进行匹配。
示例性的,当告警类型标识不存在对应的告警场景,表明该告警类型标识对应的告警数据不是常规告警场景下的告警数据,此时,将告警数据对应的位置信息和操作数据对应的操作位置信息进行匹配,以确定告警数据产生的位置是否在操作位置信息对应的区域范围内,将告警数据对应的告警时间信息和操作数据对应的操作时间信息进行匹配,以确定告警数据的产生时刻是否在操作时间信息对应的时间范围内,从而确定不符合常规告警场景的告警数据是否与操作数据匹配。
本实施例中,通过对符合常规告警场景的告警数据自动处理或屏蔽,对不符合常规告警场景的告警数据,将其与操作数据进行匹配,以减少需要特别处理的告警数据量,从而提高告警数据的处理效率。
本实施例采用上述方法,将告警数据对应的告警时间信息与操作数据对应的操作时间信息进行匹配,以确定告警数据是否产生在操作时间信息对应的时间范围内,将告警数据对应的告警位置信息与操作数据对应的操作位置信息进行匹配,以确定告警数据的产生位置是否在操作位置信息对应的地理区域内,当位置匹配结果或时间匹配结果表示存在不匹配的情况时,表明该告警数据是异常产生,则输出该告警数据,以便后续对该告警数据进行特别处理;当告警数据与操作数据不匹配时,表明该告警数据是正常产生,无需特别处理,从而减少告警数据的处理量,提升告警数据的处理效率和可靠性。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的告警数据处理方法的告警数据处理装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个告警数据处理装置实施例中的具体限定可以参见上文中对于告警数据处理方法的限定,在此不再赘述。
在一个实施例中,如图8所示,提供了一种告警数据处理装置,包括:告警数据获取模块802、告警数据处理模块804和告警数据输出模块806,其中:
告警数据获取模块802,用于获取电力系统中设备的告警数据和对设备的操作数据。
告警数据处理模块804,用于将告警数据对应的告警位置信息和操作数据对应的操作位置信息进行匹配,得到位置匹配结果,将告警数据对应的告警时间信息和操作数据对应的操作时间信息进行匹配,得到时间匹配结果。
告警数据输出模块806,用于若位置匹配结果或时间匹配结果表示存在不匹配的情况,则输出告警数据。
在一个实施例中,告警数据处理装置还用于:在位置匹配结果和时间匹配结果均表示匹配的情况下,确定固定时间段内告警数据的告警频率;根据告警频率判断告警数据是否异常,若告警数据异常,则输出异常的告警数据。
在一个实施例中,告警数据输出模块806还用于:获取告警数据对应的告警类型标识,并根据告警类型标识在预设的告警误报映射关系表中查询,以确定告警类型标识对应的告警数据是否异常产生;若告警数据非异常产生,则输出告警数据。
在一个实施例中,告警数据处理装置还用于:若位置匹配结果或时间匹配结果表示存在不匹配的情况,确定操作数据是否存在遗漏;在操作数据存在遗漏的情况下,获取遗漏的附加操作数据,并将附加操作数据对应的附加位置信息、附加时间信息与告警数据进行匹配;输出告警数据,包括:若附加位置信息、附加时间信息与告警数据不匹配,则输出告警数据。
在一个实施例中,告警数据处理装置还用于:在位置匹配结果和时间匹配结果均表示匹配的情况下,判断告警数据中是否存在目标位置的访问信息;若存在访问信息,则根据告警数据的位置信息和访问信息,确定告警数据是否首次产生;输出告警数据,包括:若告警数据是首次产生,则输出告警数据。
在一个实施例中,告警数据处理装置还用于:获取告警数据对应的告警类型标识,查询告警类型标识是否处于预设的告警场景映射关系表中;若告警类型标识不存在对应的告警场景,则将告警数据对应的告警位置信息和操作数据对应的操作位置信息进行匹配,将告警数据对应的告警时间信息和操作数据对应的操作时间信息进行匹配。
在一个实施例中,告警数据处理装置还包括用于采集电力系统中的告警数据的模块和记录告警数据处理结果的模块。
上述告警数据处理装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图10所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储告警数据及对应的处理记录。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种告警数据处理方法。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图10所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、移动蜂窝网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种告警数据处理方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图9和图10中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。

Claims (10)

1.一种告警数据处理方法,其特征在于,所述方法包括:
获取电力系统中设备的告警数据和对所述设备的操作数据;
将所述告警数据对应的告警位置信息和所述操作数据对应的操作位置信息进行匹配,得到位置匹配结果,将所述告警数据对应的告警时间信息和所述操作数据对应的操作时间信息进行匹配,得到时间匹配结果;
若所述位置匹配结果或所述时间匹配结果表示存在不匹配的情况,则输出所述告警数据。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在所述位置匹配结果和所述时间匹配结果均表示匹配的情况下,确定固定时间段内所述告警数据的告警频率;
根据所述告警频率判断所述告警数据是否异常,若所述告警数据异常,则输出异常的告警数据。
3.根据权利要求1所述的方法,其特征在于,所述告警数据包括告警类型标识,所述输出所述告警数据包括:
获取所述告警数据对应的告警类型标识,并根据所述告警类型标识在预设的告警误报映射关系表中查询,以确定所述告警类型标识对应的告警数据是否异常产生;
若所述告警数据非异常产生,则输出所述告警数据。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述位置匹配结果或所述时间匹配结果表示存在不匹配的情况,确定所述操作数据是否存在遗漏;
在所述操作数据存在遗漏的情况下,获取遗漏的附加操作数据,并将所述附加操作数据对应的附加位置信息、附加时间信息与所述告警数据进行匹配;
所述输出所述告警数据,包括:
若所述附加位置信息、所述附加时间信息与所述告警数据不匹配,则输出所述告警数据。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在所述位置匹配结果和所述时间匹配结果均表示匹配的情况下,判断所述告警数据中是否存在目标位置的访问信息;
若存在所述访问信息,则根据所述告警数据的位置信息和所述访问信息,确定所述告警数据是否首次产生;
所述输出所述告警数据,包括:
若所述告警数据是首次产生,则输出所述告警数据。
6.根据权利要求1所述的方法,其特征在于,在所述获取电力系统中设备的告警数据之后,所述方法还包括:
获取所述告警数据对应的告警类型标识,查询所述告警类型标识是否处于预设的告警场景映射关系表中;
若所述告警类型标识不存在对应的告警场景,则将所述告警数据对应的告警位置信息和所述操作数据对应的操作位置信息进行匹配,将所述告警数据对应的告警时间信息和所述操作数据对应的操作时间信息进行匹配。
7.一种告警数据处理装置,其特征在于,所述装置包括:
告警数据获取模块,用于获取电力系统中设备的告警数据和对所述设备的操作数据;
告警数据处理模块,用于将所述告警数据对应的告警位置信息和所述操作数据对应的操作位置信息进行匹配,得到位置匹配结果,将所述告警数据对应的告警时间信息和所述操作数据对应的操作时间信息进行匹配,得到时间匹配结果;
告警数据输出模块,用于若所述位置匹配结果或所述时间匹配结果表示存在不匹配的情况,则输出所述告警数据。
8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
CN202310859835.1A 2023-07-13 2023-07-13 告警数据处理方法、装置、设备、介质和计算机程序产品 Pending CN116909854A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310859835.1A CN116909854A (zh) 2023-07-13 2023-07-13 告警数据处理方法、装置、设备、介质和计算机程序产品

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310859835.1A CN116909854A (zh) 2023-07-13 2023-07-13 告警数据处理方法、装置、设备、介质和计算机程序产品

Publications (1)

Publication Number Publication Date
CN116909854A true CN116909854A (zh) 2023-10-20

Family

ID=88350494

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310859835.1A Pending CN116909854A (zh) 2023-07-13 2023-07-13 告警数据处理方法、装置、设备、介质和计算机程序产品

Country Status (1)

Country Link
CN (1) CN116909854A (zh)

Similar Documents

Publication Publication Date Title
US11797684B2 (en) Methods and systems for hardware and firmware security monitoring
CN112073389B (zh) 云主机安全态势感知系统、方法、设备及存储介质
CN111274583A (zh) 一种大数据计算机网络安全防护装置及其控制方法
CN113660224B (zh) 基于网络漏洞扫描的态势感知防御方法、装置及系统
JP2016503936A (ja) アプリケーション及びファイル脆弱性を識別して報告するためのシステム及び方法
CN110602135B (zh) 网络攻击处理方法、装置以及电子设备
CN112039894B (zh) 一种网络准入控制方法、装置、存储介质和电子设备
JP2011175639A (ja) ネットワークにおけるセキュリティ保全のための方法及びシステム
CN105678193B (zh) 一种防篡改的处理方法和装置
CN111885210A (zh) 一种基于最终用户环境的云计算网络监控系统
CN112818307A (zh) 用户操作处理方法、系统、设备及计算机可读存储介质
WO2021121382A1 (en) Security management of an autonomous vehicle
US9456001B2 (en) Attack notification
CN109784051B (zh) 信息安全防护方法、装置及设备
CN107045605A (zh) 一种实时度量方法及装置
US11251976B2 (en) Data security processing method and terminal thereof, and server
CN112422527B (zh) 变电站电力监控系统的威胁评估系统、方法和装置
CN114625074A (zh) 一种用于火电机组dcs系统的安全防护系统及方法
CN116909854A (zh) 告警数据处理方法、装置、设备、介质和计算机程序产品
CN114969744A (zh) 进程拦截方法及系统、电子设备、存储介质
CN116204876A (zh) 异常检测方法、设备以及存储介质
CN114268481A (zh) 内网终端违规外联信息处理方法、装置、设备和介质
CN114640529B (zh) 攻击防护方法、装置、设备、存储介质和计算机程序产品
CN111092886A (zh) 一种终端防御方法、系统、设备及计算机可读存储介质
CN113518055A (zh) 数据安全防护的处理方法及装置、存储介质、终端

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination