一种分布式告警处理方法及系统与流程

1.本发明属于系统告警领域，尤其涉及一种分布式告警处理方法及系统。


背景技术：

2.工业环境中存在网络隔离和区域隔离，使得各区域数据相互隔离，能够有效防止告警数据在不同区域间传递。
3.现有技术在每个隔离区域内对获取的数据做告警和处置，会失去发现各区域之间关联威胁的机会，而将大量的数据由底层采集器上传至中心服务器进行统一处理，又会产生告警延迟和处置延迟。
4.因此，如何降低告警处理过程中产生的告警延迟和处置延迟，提高告警处理效率是业界亟需解决的重要课题。


技术实现要素：

5.本发明提供的一种分布式告警处理方法及系统，用以解决现有技术在告警处理过程中会产生的告警延迟和处置延迟的缺陷，以提高告警处理的效率。
6.本发明提供一种分布式告警处理方法，所述方法包括：确定至少两个告警处理平台获取待处理数据；判定所述待处理数据匹配的预存规则为单节点规则，则将所述单节点规则分发至每个所述告警处理平台，以便各所述告警处理平台基于所述单节点规则对所述待处理数据进行处理，以得到单节点告警处理结果；判定所述待处理数据匹配的预存规则为关联规则，则将所述关联规则分至各所述告警处理平台或告警中心，以便各所述告警处理平台或所述告警中心基于所述关联规则对所述待处理数据进行处理，以得到关联告警处理结果。
7.根据本发明提供的一种分布式告警处理方法，所述方法还包括：基于所述单节点告警处理结果生成完全相同的第一告警处理结果和第二告警处理结果；将所述第一告警处理结果存储在本地平台中；将所述第二告警处理结果经过加密压缩处理后上传至告警中心服务器中存储。
8.判定所述关联规则为可拆解规则，则将所述关联规则进行拆解，以生成多个子关联规则；将各所述子关联规则按照预设的匹配规则下推至各所述告警处理平台中，并在各所述告警处理平台上，利用所述子关联规则对所述待处理数据进行处理，以得到关联告警处理结果。
9.基于所述关联告警处理生成完全相同的第三告警处理结果和第四告警处理结果；将所述第三告警处理结果存储在所述告警处理平台中；将所述第四告警处理结果经过加密压缩处理后上传至告警中心服务器中，并对所述第四告警处理结果进行合并，以得到合并结果；判定所述合并结果满足预设条件，则将所述合并结果存储在所述告警中心的服务器中。
10.判定所述关联规则为不可拆解规则，则将所述待处理数据上传至告警中心；在所
述告警中心中，基于所述不可拆解关联规则对所述待处理数据进行处理，以获取关联告警处理结果。
11.将所述关联告警处理结果存储在所述告警中心服务器中。
12.本发明还提供一种分布式告警处理系统，所述系统包括：确定单元，用于确定至少两个告警处理平台获取待处理数据；第一处理单元，用于判定所述待处理数据匹配的预存规则为单节点规则，则将所述单节点规则分发至每个所述告警处理平台，以便各所述告警处理平台基于所述单节点规则对所述待处理数据进行处理，以得到单节点告警处理结果；第二处理单元，用于判定所述待处理数据匹配的预存规则为关联规则，则将所述关联规则分至各所述告警处理平台或告警中心，以便各所述告警处理平台或所述告警中心基于所述关联规则对所述待处理数据进行处理，以得到关联告警处理结果。
13.本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述分布式告警处理方法的步骤。
14.本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述分布式告警处理方法的步骤。
15.本发明还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述任一种所述分布式告警处理方法的步骤。
16.本发明提供的一种分布式告警处理方法及系统，先确定至少两个告警处理平台获取待处理数据，然后判定待处理数据匹配的预存规则为单节点规则，则将单节点规则分发至每个告警处理平台，以便各告警处理平台基于单节点规则对待处理数据进行处理，以得到单节点告警处理结果，若判定所述待处理数据匹配的预存规则为关联规则，则将所述关联规则分至各所述告警处理平台或告警中心，以便各所述告警处理平台或所述告警中心基于所述关联规则对所述待处理数据进行处理，以得到关联告警处理结果；本发明所述方法能够降低数据在告警处理过程产生的告警延迟和处置延迟，提高了告警处理的效率。
附图说明
17.为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
18.图1是本发明实施例提供的分布式告警处理方法的流程示意图；图2是本发明实施例提供的分布式告警处理系统的结构示意图；图3是本发明提供的电子设备的结构示意图。
具体实施方式
19.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳
动前提下所获得的所有其他实施例，都属于本发明保护的范围。
20.下面结合图1描述本发明实施例提供的分布式告警处理方法，所述方法包括：步骤101、确定至少两个告警处理平台获取待处理数据。
21.可以理解的是，现代工业生产经常使用物理隔离将数据接收在不同的数据传输区域，以防止带有威胁的告警数据在不同区域间传递，而为了实现对不同区域传输的数据进行告警分析，会在不同的区域设置一个告警处理平台，然后利用预设的告警筛选规则从每个平台传输的数据中捕获告警数据；例如，在本实施例的每个数据传输区域中，若数据探针探测到该告警处理平台接收到待处理数据时，则启动对应的告警监测模块。
22.步骤102、判定所述待处理数据匹配的预存规则为单节点规则，则将所述单节点规则分发至每个所述告警处理平台，以便各所述告警处理平台基于所述单节点规则对所述待处理数据进行处理，以得到单节点告警处理结果。
23.具体的，当数据传输区间的告警处理平台接收到数据时会启动对应的告警监测模块，若待处理的数据匹配到单节点规则进行告警筛选时，则将预设的单点规则下发至各个区间，分别在个区间内进行告警数据筛选过程，筛选结束后得到单节点告警处理结果；需要说明的是，单节点处理规则是适用于不同区间数据进行告警筛选的通用规则，例如，对于某个单节点规则定义为：若当前区间包含的错误数据个数与总数据量的比值大于10%，则判定该区间内在当前时间段传输的数据为告警数据，该单节点筛选规则没有体现不同区间的数据的差异性，如某个数据传输区间传输的数据总量只有20个，而报错的数据仅有3个，另一个数据传输区间传输的数据总量为500个，错误数据为100个，基于上述单节点筛选规则，这两个区间的数据均属于告警数据。
24.步骤103、判定所述待处理数据匹配的预存规则为关联规则，则将所述关联规则分至各所述告警处理平台或告警中心，以便各所述告警处理平台或所述告警中心基于所述关联规则对所述待处理数据进行处理，以得到关联告警处理结果。
25.具体的，当数据传输区间的告警处理平台接收到数据时会启动对应的告警监测模块，若待处理的数据匹配到关联规则进行告警筛选时，则将预设的单点规则分发至各所述告警处理平台或告警中心，分别在个区间内或者在告警中心服务器根据预设的关联规则进行告警数据筛选过程，筛选结束后得到关联告警处理结果。
26.需要说明的是，关联规则可以结合不同区间的差异性来分析个区间数据中告警数据的分布特点。例如，若区间内传输总数据量不超过100时，若错误数据与总数据量的比值大于8%时，则判定该区间传输的数据为告警数据；若区间内传输总数据量超过100但不超过500时，若错误数据与总数据量的比值大于14%时，则判定该区间传输的数据为告警数据；若区间内传输总数据量超过500时，若错误数据与总数据量的比值大于20%时，则判定该区间传输的数据为告警数据；本实施例设置了不同的阈值区间来判断不同数据传输区间中告警数据的分布特点。
27.本发明所述方法能够降低数据在告警处理过程产生的告警延迟和处置延迟，提高了告警处理的效率。
28.可选的，基于所述单节点告警处理结果生成完全相同的第一告警处理结果和第二告警处理结果；将所述第一告警处理结果存储在本地平台中；将所述第二告警处理结果经过加密压缩处理后上传至告警中心服务器中存储。
29.可以理解的是，在利用上述单点规则对各数据传输区间的数据进行告警筛选后，将筛选的结果准备相同的两份，其中一份存储在本地，另一份则进行加密压缩，并将压缩后的筛选结果上传到告警中心服务器进行后续管理，这样，就能联合告警中心服务器以及各平台服务器的实现不同服务器间的分布式告警处理。
30.本实施例提供了一种将单节点告警结果进行分布式存储的方法，能够联合告警中心服务器以及各平台服务器的实现不同服务器间的分布式告警处理。
31.可选的，判定所述关联规则为可拆解规则，则将所述关联规则进行拆解，以生成多个子关联规则；将各所述子关联规则按照预设的匹配规则下推至各所述告警处理平台中，并在各所述告警处理平台上，利用所述子关联规则对所述待处理数据进行处理，以得到关联告警处理结果。
32.可以理解的是，由于关联规则可以结合不同区间的差异性来分析个区间数据中告警数据的分布特点，因此本实施例进行告警数据筛选的关联规则可以是一个包含不同阈值区间的判别式，每个阈值区间都包含一种匹配对应数据传输区间的子关联规则，例如，本实施例共有3个数据传输区间，每个区间都存在一个告警处理平台，预设的可拆解规则为r，当数据传输区间数据总量不超过数目a时，r对应的子关联规则为a；数据传输区间数据总量超过数目a但不超过b时，r对应的子关联规则为b；数据传输区间数据总量超过数目b时，r对应的子关联规则为c；结合实际数据区间在当前时段获取的待检测数据总量分析后，将规则b、a、c分别发送至第一告警处理平台、第二告警处理平台和第三告警处理平台，这三个平台根据各自适配的子关联规则对待检测数据进行告警筛选，以得到关联告警筛选结果。
33.本实施例提供了一种基于可拆解关联规则对各数据传输区间的数据进行规则处理的方法，用以得到关联告警筛选结果，为后续操作对上述告警结果进行分布式告警处理提供方便。
34.可选的，基于所述关联告警处理生成完全相同的第三告警处理结果和第四告警处理结果；将所述第三告警处理结果存储在所述告警处理平台中；将所述第四告警处理结果经过加密压缩处理后上传至告警中心服务器中，并对所述第四告警处理结果进行合并，以得到合并结果；判定所述合并结果满足预设条件，则将所述合并结果存储在所述告警中心的服务器中。
35.可以理解的是，当关联规则为可拆解规则时，利用可拆解规则对各数据传输区间的数据进行告警筛选，同时也将筛选的结果准备相同的两份，其中一份存储在本地作为备份数据，另一份则进行如上述实施例相同的加密压缩操作，并将压缩后的筛选结果上传至告警中心服务器，并将基于各子关联规则的得到的错误数据数目进行合并，得到一个错误数据总量，然后基于预设的阈值判断该错误数据总量是否在阈值范围内，若在，则说明上传到告警中心服务器的数据不属于告警数据，反之，则说明上传的数据为告警数据，并将该结果保存在告警中心服务器中进行后续管理。
36.本实施例提供了一种将基于可拆解规则获取的关联告警结果进行分布式存储的方法，能够联合告警中心服务器以及各平台服务器的实现不同服务器间的分布式告警处理。
37.可选的，判定所述关联规则为不可拆解规则，则将所述待处理数据上传至告警中心；在所述告警中心中，基于所述不可拆解关联规则对所述待处理数据进行处理，以获取关
联告警处理结果。
38.可以理解的是，若规则拆解分发至各平台后会产生负面效果而产生结果误差，则关联规则不应拆解；具体来讲，当关联规则的每个阈值区间并不是都包含一种匹配对应数据传输区间的子关联规则，这时只能利用子关联规则对符合区间阈值条件的部分数据进行规则处理，而其他一部分的数据无法匹配到合适的规则进行告警筛选，则本实施例先将各区间的待处理数据统一上传至告警中心服务器，然后利用上述预设的不可拆解规则对待处理数据进行告警筛选，以获取最终的筛选结果。
39.本实施例提供了一种基于不可拆解规则对各数据传输区间的数据进行规则处理的方法，能够应对各告警平台服务器无法根据预设关联规则对区间内数据进行告警筛选的情况，以得到关联告警筛选结果。
40.可选的，将所述关联告警处理结果存储在所述告警中心服务器中。
41.可以理解的是，当关联规则为不可拆解规则时，利用不可拆解规则将统一上传至告警中心服务器的数据进行告警筛选，同时也将筛选的结果保存在告警中心服务器中进行后续管理。
42.本实施例提供了一种将基于不可拆解规则获取的关联告警结果进行分布式存储的方法，能够联合告警中心服务器以及各平台服务器的实现不同服务器间的分布式告警处理。
43.结合图2对本发明实施例提供的一种分布式告警处理系统进行描述，下文描述的一种分布式告警处理系统与上文描述的一种分布式告警处理方法可相互对应参照。
44.本发明提供的一种分布式告警处理系统，包括：确定单元201，用于确定至少两个告警处理平台获取待处理数据；第一处理单元202，用于判定所述待处理数据匹配的预存规则为单节点规则，则将所述单节点规则分发至每个所述告警处理平台，以便各所述告警处理平台基于所述单节点规则对所述待处理数据进行处理，以得到单节点告警处理结果；第二处理单元203，用于判定所述待处理数据匹配的预存规则为关联规则，则将所述关联规则分至各所述告警处理平台或告警中心，以便各所述告警处理平台或所述告警中心基于所述关联规则对所述待处理数据进行处理，以得到关联告警处理结果。
45.本发明提供的一种分布式告警处理系统，先通过确定单元201确定至少两个告警处理平台获取待处理数据，然后通过第一处理单元202判定待处理数据匹配的预存规则为单节点规则，则将单节点规则分发至每个告警处理平台，以便各告警处理平台基于单节点规则对待处理数据进行处理，以得到单节点告警处理结果，接着通过第二处理单元203若判定所述待处理数据匹配的预存规则为关联规则时，将所述关联规则分至各所述告警处理平台或告警中心，以便各所述告警处理平台或所述告警中心基于所述关联规则对所述待处理数据进行处理，以得到关联告警处理结果；本实施例所述系统能够降低数据在告警处理过程产生的告警延迟和处置延迟，提高了告警处理的效率。
46.图3示例了一种电子设备的实体结构示意图，如图3所示，该电子设备可以包括：处理器(processor)310、通信接口(communications interface)320、存储器(memory)330和通信总线340，其中，处理器310，通信接口320，存储器330通过通信总线340完成相互间的通信。处理器310可以调用存储器330中的逻辑指令，以执行一种分布式告警处理方法，该方法
包括：确定至少两个告警处理平台获取待处理数据；判定所述待处理数据匹配的预存规则为单节点规则，则将所述单节点规则分发至每个所述告警处理平台，以便各所述告警处理平台基于所述单节点规则对所述待处理数据进行处理，以得到单节点告警处理结果；判定所述待处理数据匹配的预存规则为关联规则，则将所述关联规则分至各所述告警处理平台或告警中心，以便各所述告警处理平台或所述告警中心基于所述关联规则对所述待处理数据进行处理，以得到关联告警处理结果。
47.此外，上述的存储器330中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器（rom，read-only memory）、随机存取存储器（ram，random access memory）、磁碟或者光盘等各种可以存储程序代码的介质。
48.本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各方法提供的一种分布式告警处理方法，该方法包括：确定至少两个告警处理平台获取待处理数据；判定所述待处理数据匹配的预存规则为单节点规则，则将所述单节点规则分发至每个所述告警处理平台，以便各所述告警处理平台基于所述单节点规则对所述待处理数据进行处理，以得到单节点告警处理结果；判定所述待处理数据匹配的预存规则为关联规则，则将所述关联规则分至各所述告警处理平台或告警中心，以便各所述告警处理平台或所述告警中心基于所述关联规则对所述待处理数据进行处理，以得到关联告警处理结果。
49.本发明还提供一种计算机程序产品，所述计算机程序产品包括计算机程序，计算机程序可存储在非暂态计算机可读存储介质上，所述计算机程序被处理器执行时，计算机能够执行上述各方法所提供的一种分布式告警处理方法，该方法包括：确定至少两个告警处理平台获取待处理数据；判定所述待处理数据匹配的预存规则为单节点规则，则将所述单节点规则分发至每个所述告警处理平台，以便各所述告警处理平台基于所述单节点规则对所述待处理数据进行处理，以得到单节点告警处理结果；判定所述待处理数据匹配的预存规则为关联规则，则将所述关联规则分至各所述告警处理平台或告警中心，以便各所述告警处理平台或所述告警中心基于所述关联规则对所述待处理数据进行处理，以得到关联告警处理结果。
50.以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
51.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以软件产品的形式体现出来，该计
算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行各个实施例或者实施例的某些部分所述的方法。
52.最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。