专利名称:一种网络事件分析管理系统的制作方法
技术领域:
本发明涉及网络事件管理技术领域,特别涉及一种网络事件分析管理系统。
背景技术:
目前,随着应用系统的日趋庞大,例如基于J2EE、 .NET构架的应用增长 以及网络结构的日益复杂,造成了网络事件的管理困难。各种设备和应用系统 都会在运行时产生大量的事件,据统计在一个普通企业网络中平均每秒可以产 生6000条以上的事件,这样大量的事件根本无法在短时间内靠人工来完成分 析工作,而像SQL Warn这样的网络病毒则可以在几分钟内蔓延到全世界。提 高对网络事件的快速响应能力,已成为保障业务正常运行的关键。
为了有效的处理企业的海量事件,提高企业对事件快速响应能力,网络事 件分析管理系统应运而生。目前普遍使用的网络事件分析管理系统架构方法是 以数据库为核心的架构方案。收集、分析及保存是这类管理系统基本处理步骤 和功能,目前市场的系统多采用以数据库为核心的架构。系统中多个分析处理 进程(或线程)通过数据库完成数据的协同分析。为了达到一定的实时性多个 分析处理模块会频繁的对数据库中的数据进行访问。
如图l所示,为现有的以数据库为核心的网络事件分析管理系统架构。该 系统包括数据采集模块和分析处理模块,其中,数据采集模块,以多种不同的 方式采集不同网络设备和系统产生的事件;分析处理模块,针对不同的事件及 数据进行分析,并且分析模块产生的分析结果可能成为别的分析模块的分析源 数据。
但是,上述以数据库为核心的架构方案存在如下缺点由于采用的是"拉 模式"的架构,分析模块定期地访问数据库获取当前数据,其实时性受到模块 访问频率的影响,并且高频率的访问数据库会导致大量的1/0操作及数据库的 锁才喿作严重影响系统的性能,难于实现大量数据的高效实时分析。
发明内容
本发明的目的在于,提供一种网络事件分析管理系统,通过新的架构提高 网络事件分析处理系统的实时性和性能。
本发明的网络事件分析管理系统,包括分析处理模块和数据采集模块,其 特征在于,还包括消息中间件,用于接收数据采集模块收集到的数据,并工作
在发布订阅模式,以将其上的数据转发给相应的分析处理模块;所述分析处理 模块,用于接收所述消息中间件转发的数据,并进行各自的分析和处理。
其中,所述分析处理模块,进一步用于将其分析处理结果发送到所述消息 中间件,由所述消息中间件转发给其他分析处理模块,实现各个分析处理模块 间的数据交互。
其中,所述消息中间件工作在发布-订阅模式,将数据信息传递给相应的 消息主题,然后将数据信息的副本传递给相应主题的订阅者。
此外,所述消息中间件工作在点对点模式,将数据发送给相应的分析处理 模块。
本发明的网络事件分析管理系统,可以进一步包括数据持久化模块,其为 消息中间件的订阅者,用于将消息中间件转发来事件数据保存至数据库。
此外,还可以进一步包括历史数据分析模块,用于对一段时间以来存储的 数据进行统计分析。
本发明的有益效果是依照本发明的网络事件分析管理系统,由于采用消 息中间件做为系统的核心,以事件驱动的"推模式"取代原有的"拉模式"工 作方式,解决了数据库访问频率引起的系统实时性和性能的矛盾,系统的事件 处理实时性大大提高,解决了传统方案导致的系统性能问题。
图1为现有的以数据库为核心的网络事件分析管理系统架构; 图2为本发明的以消息中间件为核心实现网络事件分析管理系统的架构。
具体实施例方式
以下,参考附图l-2详细描述本发明的网络事件分析管理系统。 本发明的核心思想是以消息中间件模块为整个架构的核心,系统工作在 "推模式"下,采用事件驱动的方式。如图2所示,为本发明的以消息中间件为核心实现网络事件分析管理系统 的架构。在该系统架构中包括消息中间件、分析处理模块、数据采集模块。
其中,消息中间件,用于接收数据采集模块采集到的事件,并工作在发布 订阅模式,即将其上的数据转发给相应的订阅者;
分析处理模块,作为上述事件数据的订阅者会收到消息中间件转发的数 据,并进行各自的分析和处理,同时分析处理模块也可将自己的分析处理结果 发送到消息中间件,由消息中间件转发给其他分析处理^^莫块,实现各个模块间 的数据交互。
此外,消息中间件的主要作用是在不同的系统间提供数据传输服务,其工 作模式通常有以下两种
1、 发布-订阅模式
这种模式下,消息中间件是将数据信息传递给相应的消息主题,然后将数 据信息的副本传递给相应主题的订阅者。
2、 点对点模式
这种情况下,只能有一个发送者和一个接收者,即消息中间件作为发送者 将数据发送给相应的分析处理模块消息。
由于消息中间件不负责进行数据的持久化,这样如果要进行事后分析必须 将数据持久化至数据库中,这就是数据持久化模块的作用,其本身也是消息中 间件的订阅者。因此,本发明的网络事件分析管理系统可以进一步包括数据持 久化模块,为消息中间件的订阅者,用于将消息中间件转发来事件数据保存至 数据库。
此外,可以进一步包括历史数据分析模块,用于对一段时间以来存储的数 据进行统计分析。
综上所述,依照本发明的网络事件分析管理系统,由于釆用消息中间件做 为系统的核心,以事件驱动的"推模式"取代原有的"拉模式"工作方式,解 决了数据库访问频率引起的系统实时性和性能的矛盾,系统的事件处理实时性 大大提高,解决了传统方案导致的系统性能问题。
以上是为了使本领域普通技术人员理解本发明,而对本发明所进行的详细 描述,但可以想到,在不脱离本发明的权利要求所涵盖的范围内还可以做出其 它的变化和修改,这些变化和修改均在本发明的保护范围内。
权利要求
1. 一种网络事件分析管理系统,包括分析处理模块和数据采集模块,其特征在于,还包括消息中间件,用于接收数据采集模块收集到的数据,并工作在发布订阅模式,以将其上的数据转发给相应的分析处理模块;所述分析处理模块,用于接收所述消息中间件转发的数据,并进行各自的分析和处理。
2. 如权利要求1所述的网络事件分析管理系统,其特征在于,所述分析 处理模块,进一步用于将其分析处理结果发送到所述消息中间件,由所述消息 中间件转发给其他分析处理模块,实现各个分析处理模块间的数据交互。
3. 如权利要求1或2所述的网络事件分析管理系统,其特征在于,所述 消息中间件工作在发布-订阅模式,将数据信息传递给相应的消息主题,然后 将数据信息的副本传递给相应主题的订阅者。
4. 如权利要求1或2所述的网络事件分析管理系统,其特征在于,所述消息中间件工作在点对点模式,将数据发送给相应的分析处理模块。
5. 如权利要求1所述的网络事件分析管理系统,其特征在于,进一步包括数据持久化模块,其为消息中间件的订阅者,用于将消息中间件转发来事件 数据保存至数据库。
6. 如权利要求1所述的网络事件分析管理系统,其特征在于,进一步包 括历史数据分析模块,用于对一段时间以来存储的数据进行统计分析。
全文摘要
本发明提供一种网络事件分析管理系统,包括分析处理模块和数据采集模块,其中,还包括消息中间件,用于接收数据采集模块收集到的数据,并工作在发布订阅模式,以将其上的数据转发给相应的分析处理模块;所述分析处理模块,用于接收所述消息中间件转发的数据,并进行各自的分析和处理。本发明的网络事件分析管理系统,能够提高网络事件分析处理系统的实时性和性能。
文档编号H04L12/54GK101471846SQ20071030476
公开日2009年7月1日 申请日期2007年12月29日 优先权日2007年12月29日
发明者超 蔡 申请人:北京天融信网络安全技术有限公司