本发明涉及安全监控领域,更具体的,涉及一种集群安全报警处理方法。
背景技术:
目前是数据化的时代,在服务器端存储的数据必须保证数据的安全性,其数据安全主要涉及到服务器硬件的稳定性和防护软件的可靠性,监控对象分布到云数据中心的各个层面。云数据中心的监控系统应当能够直接采集到物理机和虚拟机的包括cpu和内存在内的计算资源、网络资源、存储资源、防火墙等的使用情况。。目前的状态监控主要是采用设定参考门限值的方法进行监控,当某一个指标超过设定的门限值时,便会发出预警通知或者采取相应的措施。而门限值设定的大小则直接影响了每个节点或者每个模块上报预警的可能,也影响了数据安全性。当门限值设定较小的时候,则每个节点或者模块可能触发上报的可能性就越大,上报的次数可能就越多,此时监控中心则需要对全局的节点或者模块进行整体情况的判断,而这种情况必然会造成网络负载过大;如当检测中心对全局的情况进行判断发现监控对象处于安全状态,则此次的节点异常状况上报和监控中心收集全局状况就显得无意义。所以如何设计一种高效可靠的状态监控方法是亟不可待的。
技术实现要素:
本发明旨在至少解决现有技术中存在的技术问题之一。
为此,本发明的目的在于,通过设计一种集群安全报警处理方法,减少了每个监控节点上报状态信息的次数,可减少网络负载量,并且还提高了整个系统中数据安全监控的可靠性,降低了误报和错报的几率。
为实现上述目的,本发明提供一种集群安全报警处理方法,包括以下步骤:
步骤一,状态监控节点收集监控对象的运行状态值,并转化为监控值;
步骤二,状态监控节点对所述监控值和自身保存的监控门限值进行比较,若所述监控值大于所述自身保存的监控门限值则向状态监控中心发送状态信息;
步骤三,状态监控中心根据收集到的状态监控节点的状态信息判断整体安全强度,当超过整体安全强度后,则轮流查询所有状态监控节点的监控值;
步骤四,所述状态监控中心根据所述轮流查询到的所有状态监控节点的监控值判断是否需要报警处理。
具体的,所述状态监控节点对所述监控值和自身保存的监控门限值进行比较,若所述监控值大于所述自身保存的监控门限值则向状态监控中心发送状态信息具体为:
所述状态监控节点自身保存有一个连续超越累计值si(t)和跨界量门限值hi;当监控值持续大于跨界量门限值hi,并且si(t)>hi时,状态监控节点将(w-1)hi至whi的时间消耗δt和安全强度li发送至集群监控中心;否则,持续对节点对象进行监控;其中w=1,2,3...,l。
具体的,所述si(t)表示状态监控节点i在t时刻的连续超越累计值,其计算公式如下:
其中,mi(x)表示状态监控节点i在时间点x所收集到的监控对象监控值,t0表示状态监控节点i的监控对象的监控值连续超过状态门限值的起始时刻,ti表示监控节点的监控对象的状态门限值,f为监控节点收集本地性能参数的频率。
具体的,所述li的计算公式如下:
其中,δt=tk-tk-1表示状态监控节点i的超越累计值si(t)从(w-1)hi至whi的时间消耗,tk、tk-1分别表示状态监控节点i的连续超越累计值si(t)超越第k个hi和超越第k-1个hi的时间点,sk、sk-1分别表示状态监控节点i的连续超越累计值si(t)超越第k个和第k-1个hi时的实际值。
更具体的,所述状态监控中心根据收集到的状态监控节点的状态信息判断安全强度,具体为:
计算时间区间(tk-δt,tk]中状态监控对象的整体安全强度,计算公式如下:
l(t)=l'(t)+li,t∈(tk-δt,tk];
其中,tk表示集群监控中心接收到某个监控节点发送的状态信息的时间点,δt是状态信息传递时间的消耗值,l'(t)是l(t)更新前的值。
具体的,所述根据所述轮流查询到的所有状态监控节点的监控值判断是否需要报警处理,具体为:
状态监控中心判断所有状态监控节点发送的监控值之和是否超过整体监控门限值fd;如果超过,则状态监控中心进行报警处理,否则,不进行报警。
更优的,所述整体监控门限值计算为:
fd=fb+2d
其中,fb为预设的第一时间门限值内的算数平均值,d为预设的第二时间门限值内的标准差。
具体的,所述监控对象为物理机和虚拟机的cpu和内存使用率、网络资源使用率、存储资源使用率、防火墙参数中的一种或几种。
通过本发明设计的一种集群安全报警处理方法,减少了每个监控节点上报状态信息的次数,可减少网络负载量,并且还提高了整个系统中数据安全监控的可靠性,降低了误报和错报的几率,降低了整个系统的资源消耗,可以有效的过滤短时间的或较低强度的超越门限值而触发的不必要的局部状态警告报告和全节点的轮流查询。
附图说明
图1示出了本发明一种集群安全报警处理方法的流程图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
图1示出了本发明一种集群安全报警处理方法的流程图。
如图1所示,根据本发明提供的一种集群安全报警处理方法,其步骤包括:
步骤一,状态监控节点收集监控对象的运行状态值,并转化为监控值;
步骤二,状态监控节点对所述监控值和自身保存的监控门限值进行比较,若所述监控值大于所述自身保存的监控门限值则向状态监控中心发送状态信息;
步骤三,状态监控中心根据收集到的状态监控节点的状态信息判断整体安全强度,当超过整体安全强度后,则轮流查询所有状态监控节点的监控值;
步骤四,所述状态监控中心根据所述轮流查询到的所有状态监控节点的监控值判断是否需要报警处理。
在步骤一中,状态监控节点定期收集对象的运行监控值,并将收集的监控值与预设的本地门限值进行比较。其收集间隔可以定为秒级或者分级;例如,收集间隔可以为1秒一次,或者1分一次;具体值可根据用户的经验需求而定,此处并不做限制。
监控门限值为状态监控节点自身保存的一个连续超越累计值si(t)和跨界量门限值hi。其中,si(t)受时间和超越量两个因素影响,初始值为0。当监控值持续大于跨界量hi,并且si(t)>hi时,状态监控节点将(w-1)hi至whi的时间消耗δt和跨界强度li发送至集群监控中心,其中w=1,2,3...,l。
其中si(t)表示状态监控节点i在t时刻的计算公式如下:
其中,mi(x)表示节点i在时间点x所收集到的监控对象监控值,t0表示监控节点i的监控对象的监控值连续超过状态门限值的起始时刻,ti表示监控节点的监控对象的状态门限值,f为监控节点收集本地性能参数的频率。由此可见,si(t)可表示为监控节点i从发生状态跨界开始,连续跨界量的积分近似值。
监控节点将(w-1)hi至whi的安全强度li的计算如下公式:
其中,δt=tk-tk-1表示监控节点i的超越累计值si(t)从(w-1)hi至whi的时间消耗,tk、tk-1分别表示监控节点i的连续超越累计值si(t)超越第k个hi和超越第k-1个hi的时间点,sk、sk-1分别表示监控节点i的连续超越累计值si(t)超越第k个和第k-1个hi时的实际值。
对于步骤三中状态监控中心根据收集到的状态监控节点的状态信息判断整体安全强度的具体计算描述如下:
计算时间区间(tk-δt,tk]中监控对象的整体安全强度如下:
l(t)=l'(t)+li,t∈(tk-δt,tk]
其中,tk表示集群监控中心接收到某个监控节点的跨界报告的时间点,δt是状态信息中传递时间的消耗值,l'(t)是l(t)更新前的值,也就是上一次更新的值。其中如果出现了某时间点同时收到了多个状态监控节点的状态报告信息的情况,则进行如下处理:若在某时间点,状态监控中心同时收到了多个监控节点的状态信息信息,则需要针对每一个监控节点的状态信息信息进行一次上述的计算,也就是说,在此种情况下,需要计算每个上报的状态监控节点的安全强度值。
若在任意时间点tk,集群监控中心更新了l(t)后,监控对象的整体跨界强度l(t)满足轮询条件,则集群监控中心便发起全局的轮询。这时候,所有的子监控节点将把当前最新的监控值发送至集群监控中心,集群监控中心判断所有子监控节点发送的监控值之和是否超过整体监控门限值。如果超过,则集群监控中心进行报警处理,否则,表明监控对象处于安全状态,不进行报警。
其中,所述整体监控门限值计算为:
fd=fb+2d;
fb为预设的第一时间门限值内的算数平均值,d为预设的第二时间门限值内的标准差。由于整体监控门限值依靠了最近一段时间的历史数据,所以采取此可变门限值选取方法可提高状态监控中心对系统整体的数据安全性判断的效率和准确性,避免了错报和误报的不必要麻烦。例如,第一时间门限值可以取一天,则其算数平均值为一天内的平均值;第二时间门限值可以取7天,则标准差d表示7天内标准差值。
通过本发明的实施例,可以减少每个监控节点上报状态信息的次数,可减少网络负载量,并且还提高了整个系统中数据安全监控的可靠性,降低了误报和错报的几率,降低了整个系统的资源消耗,可以有效的过滤短时间的或较低强度的超越门限值而触发的不必要的局部状态警告报告和全节点的轮流查询。例如,在某时刻网络的吞吐率为短暂的上升,而此上升并不是系统错误或者安全性导致的,此时状态监控节点监控到此时的吞吐率超过了门限值,但此刻并不需要上报至状态监控中心,而是通过本发明的监控方法进行进一步的判断,使其满足上报条件后则会上报至状态监控中心。状态监控中心再进一步判断是否需要进行报警处理。通过一系列的门限值和判断控制,可有效的降低上报的次数,能减少误报的概率,可间接的提高数据的安全性。
在本说明书的描述中,术语“一个实施例”、“一些实施例”、“具体实施例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或实例。而且,描述的具体特征、结构、材料或特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。