网络信息处理方法及系统、网络管理设备、网络监控设备与流程

本发明属于通信技术领域，特别涉及一种网络信息处理方法及系统、网络管理设备、网络监控设备。

背景技术：

随着计算机技术和网络技术的快速发展，网络组成也越来越复杂，复杂的网络造成了管理和安全上的诸多隐患，因此催生出了专门的网络安全管理平台也称统一安全管理平台。安全管理平台可以作为网络管理节点，能够很好的感知网络拓扑变化，收集网络中各监控节点的事件，并进行简单的分析和预处理。帮助网络管理员及时的获知当前的网络安全状态。

现有的安全管理平台在感知到网络受到的威胁之后，通常能够快速的给出告警提示，并通过发邮件等形式告知管理员。如果管理员没有及时获知网络威胁情况，就无法及时对威胁采取解决措施，使得网络存在安全隐患。

技术实现要素：

本发明提供了网络信息处理方法及系统、网络管理设备、网络监控设备，用于解决现有的安全管理平台只能够向管理员发送威胁警告，在管理员没有及时获知警告的情况下容易造成网络安全隐患的缺陷。

第一方面，本发明提供了一种网络信息处理方法，包括：

网络管理设备若判断获知网络中的网络监控设备当前处于非安全状态，则生成相应的告警信息；

网络管理设备获取所述非安全状态对应的解决措施信息，并将所述告警信息以及所述解决措施信息发送至所述网络监控设备，以使所述网络监控设备获知当前处于非安全状态，并根据所述解决措施信息执行对应的解决措施。

可选地，所述方法还包括：

网络管理设备若判断获知当前时刻距离上一次向网络监控设备发送告警信息以及解决措施信息的时长大于或等于预设的超时时间，则向所述网络监控设备发送删除信息，以使所述网络监控设备在接收到所述删除信息后，认为当前已恢复为安全状态，并停止执行所述解决措施。

可选地，所述网络管理设备若判断获知网络中的网络监控设备当前处于非安全状态，则生成相应的告警信息，包括：

网络管理设备在接收到网络监控设备上报的网络安全事件时，若判断获知当前累计的所述网络监控设备上报的网络安全事件已满足触发告警的条件，则确认所述网络监控设备当前处于非安全状态，并生成相应的告警信息。

可选地，所述若判断获知当前累计的所述网络监控设备上报的网络安全事件已满足触发告警的条件，包括：

若判断获知当前累计的所述网络监控设备上报的网络安全事件与预设的安全事件规则相匹配，则根据所述安全事件规则中包含的安全事件的优先级以及安全事件的可靠性，判断所述当前累计的网络安全事件是否满足触发告警的条件。

可选地，所述方法还包括：

若判断获知当前累计的所述网络监控设备上报的网络安全事件与预设的安全事件规则相匹配，则备份匹配结果。

第二方面，本发明提供了一种网络信息处理方法，包括：

网络监控设备在检测到当前的网络状态为疑似非安全状态时，向网络管理设备上报的网络安全事件，所述网络安全事件中包括当前网络状态的信息，以使所述网络管理设备若判断获知网络中的网络监控设备当前处于非安全状态，则生成相应的告警信息，并获取所述非安全状态对应的解决措施信息，并将所述告警信息以及所述解决措施信息发送至所述网络监控设备；

网络监控设备在接收到所述告警信息以及所述解决措施信息后，获知当前处于非安全状态，并根据所述解决措施信息执行对应的解决措施。

可选地，包括：

网络监控设备在接收到删除信息后，认为当前已恢复为安全状态，并停止执行所述解决措施；

其中，所述删除信息，为所述网络管理设备在判断获知当前时刻距离上一次向网络监控设备发送告警信息以及解决措施信息的时长大于或等于预设的超时时间时，向所述网络监控设备发送的信息。

第三方面，本发明提供了一种网络管理设备，包括：

判断单元，用于在判断获知网络中的网络监控设备当前处于非安全状态时，生成相应的告警信息；

获取单元，用于获取所述非安全状态对应的解决措施信息；

发送单元，用于将所述告警信息以及所述解决措施信息发送至所述网络监控设备，以使所述网络监控设备获知当前处于非安全状态，并根据所述解决措施信息执行对应的解决措施。

第四方面，本发明提供了一种网络监控设备，包括：

上报单元，用于在检测到当前的网络状态为疑似非安全状态时，向网络管理设备上报的网络安全事件，所述网络安全事件中包括当前网络状态的信息，以使所述网络管理设备若判断获知网络中的网络监控设备当前处于非安全状态，则生成相应的告警信息，并获取所述非安全状态对应的解决措施信息，将所述告警信息以及所述解决措施信息发送至所述网络监控设备；

执行单元，用于在接收到所述告警信息以及所述解决措施信息后，获知当前处于非安全状态，并根据所述解决措施信息执行对应的解决措施。

第五方面，本发明提供了一种网络信息处理系统，包括网络管理设备以及若干个网络监控设备；

所述网络管理设备为权利要求8所述的网络管理设备，所述网络监控设备为权利要求9所述的网络监控设备。

本发明提供一种网络信息处理方法及系统、网络管理设备、网络监控设备，该方法中，网络管理设备在判断网络监控设备当前处于非安全状态时生成告警信息，并获取相应的解决措施，将告警信息与解决措施一并发送至网络监控设备，以使网络监控设备可以获知当前自身的不安全情况，同时能够及时采取相应的解决措施，智能处理网络不安全事件，从而能够减少维护人力的投入，为维护网络的稳定性及可靠性提供有力支持。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些示例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明提供的一种网络信息处理方法实施例流程图；

图2是本发明提供的另一种网络信息处理方法实施例流程图；

图3是本发明提供的一种网络管理设备实施例结构示意图；

图4是本发明提供的一种网络监控设备实施例结构示意图；

图5是本发明提供的一种网络信息处理系统实施例结构示意图；

图6是本发明提供的网络信息处理系统中网络管理设备执行方法流程图；

图7是本发明提供的网络信息处理系统中网络监控设备执行方法流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

第一方面，本发明实施例提供了一种网络信息处理方法，如图1所示，包括：

S101、网络管理设备若判断获知网络中的网络监控设备当前处于非安全状态，则生成相应的告警信息；

S102、网络管理设备获取非安全状态对应的解决措施信息，并将告警信息以及解决措施信息发送至网络监控设备，以使网络监控设备获知当前处于非安全状态，并根据解决措施信息执行对应的解决措施。

本发明实施例提供的网络信息处理方法中，网络管理设备在判断网络监控设备当前处于非安全状态时生成告警信息，并获取相应的解决措施，将告警信息与解决措施一并发送至网络监控设备，以使网络监控设备可以获知当前自身的不安全情况，同时能够及时采取相应的解决措施，智能处理网络不安全事件，从而能够减少维护人力的投入，为维护网络的稳定性及可靠性提供有力支持。

在实际应用中，这里的网络管理设备以及网络监控设备可以为各类主机、服务器、路由器、交换机，还可以为各类防火墙产品如IDS、IPS、抗DDOS设备等，本发明对此不作具体限定。每个网络中的网络管理设备可以有一个，网络监控设备可以有若干个。

这里的非安全状态可以理解为该网络监控设备当前所处的网络受到的威胁，例如遭受到各类网络攻击、异常登录、异常访问、暴力破解、恶意侵犯等等，当然还可以包括其他不易于网络安全稳定的威胁，本发明对此不作具体限定。

这里的告警信息可以包含该网络监控设备当前所处网络的异常情况以及该异常情况将要导致的后果，当然还可以包含其他有助于网络监控设备判断当前状态的信息，本发明对此不作具体限定。

这里的解决措施可以为针对某一不安全状态采取的专用解决措施。比如，针对某类抗DDOS事件，可以采取对某个源IP地址进行流量阻断的措施。再比如，针对P2P下载事件，可以采取对该协议进行限速的措施。不难理解的是，这些解决措施可以为管理员根据网络部署情况事先设置好的措施，也可以为根据当前网络的规则默认设置的解决措施，本发明对此不作具体限定。

在具体实施时，上述方法实施例中的步骤S101可以通过多种方式实现，下面对其中一种可选的实施方式进行详细说明。

S1011、网络管理设备在接收到网络监控设备上报的网络安全事件时，基于所述网络监控设备当前上报的网络安全事件以及历史上报的网络安全事件，若判断获知当前的网络安全事件已满足触发告警的条件，则确认网络监控设备当前处于非安全状态，并生成相应的告警信息。

具体来说，网络管理设备在接收到网络监控设备上报的网络安全事件后，会根据网络安全事件中包含的网络监控设备的标识信息查询该网络监控设备当前已上报的所有网络安全事件。可以理解的是，这里的网络安全事件可以为多个类型的网络安全事件。如果当前累计的网络安全事件中某些同类型的网络安全事件已经满足了告警触发的条件，此时网络管理设备判断该网络监控设备当前所处的网络状态为不安全的网络状态，因此生成相应的告警信息。

进一步地，步骤S11中，判断当前累计的网络监控设备上报的网络安全事件是否满足触发告警的条件可以通过多种方式实施，其中一种可选的实施方式包括：

S1011a、网络管理设备基于网络监控设备当前上报的网络安全事件以及历史上报的网络安全事件，若判断获知当前上报的网络安全事件与预设的安全事件规则相匹配，则根据安全事件规则中包含的安全事件的优先级以及安全事件的可靠性，判断当前累计的网络安全事件是否满足触发告警的条件。

相应地，步骤S1011还可以包括：

S1011b、若判断获知当前上报的网络安全事件与预设的安全事件规则相匹配，则备份匹配结果。

具体来说，网络管理设备在接收到网络监控设备上报的网络安全事件后，会将该网络监控设备当前累计上报的网络安全事件与在规则库中存储的若干个安全事件规则相匹配。这里的规则库中的各个规则可以具有相同的xml格式。对于这一xml格式的各个字段，也即每个规则的不同设置情况，可以根据当前网络需求由网络管理员自定义进行设置。

为便于理解的上面的规则匹配过程，下面结合代码中示出的一种规则的xml格式，对规则匹配进行说明。

其中，这里的priority代表该规则的优先级，reliability代表该规则的可靠性，这两个因素是决定该规则中安全事件等级的决定性因素；这里的occurrence表示事件产生次数；这里的time_out表示事件的超时时间；这里的plugin_id代表网络中监测节点的唯一编号，plugin_sid代表某监测节点事件的编号，一般有多个；这里的from、to、port_from、port_to、protocol是匹配的五元组信息(通常是指源IP地址，源端口，目的IP地址，目的端口和传输层协议)。

若当前累计的网络安全事件与上述规则相匹配，则将这条规则进行备份。例如，网络管理设备已经第三次接收到该类型的网络安全事件，该网络安全事件对应的规则中occurrence字段为3，则当前的网络安全事件与该规则相匹配。同时网络管理设备将这一条规则进行备份。

在网络管理设备进行了备份之后，再继续根据该规则中设置的该网络安全事件的优先级以及可靠性来计算当前网络状态告警的风险值。具体的风险值计算可以参见式(1)。

风险值＝可靠性*优先级*网络监控设备重要等级/25 (1)

其中，网络监控设备重要性等级的取值范围为1～5；可靠性的取值范围为1～5；优先级的取值范围为1～10；风险值的取值范围为1～10。风险值越高说明风险越大。

若计算之后的风险值大于或等于预设值，例如预设值可以为1，则认为当前累计的网络安全事件已经满足触发告警的条件，则生成相应的告警信息；若风险值小于预设值，则认为当前累计的网络安全事件还未构成威胁事件，不满足触发告警的条件，则网络管理设备等待接收下一条网络安全事件并重复上述判断的步骤。

这样做的好处是，能够根据实际的网络情况设置安全事件的匹配规则，网络管理设备就可以针对不同的网络情况进行不同类型或不同程度的告警检测，提高了网络安全检测的灵活性和适用性。

在具体实施时，可以理解的是，在网络监控设备对当前的网络威胁执行了相应的解决措施一段时间之后，一般的网络威胁均可以被解除，因此，为了在威胁解除后使得网络监控设备停止执行相应的解决措施，本发明提供的方法还包括：

S103、网络管理设备若判断获知当前时刻距离上一次向网络监控设备发送告警信息以及解决措施信息的时长大于或等于预设的超时时间，则向网络监控设备发送删除信息，以使网络监控设备在接收到删除信息后，认为当前已恢复为安全状态，并停止执行解决措施。

具体来说，网络管理设备在已经下发了告警信息以及解决措施信息之后会定期判断当前时刻与上一次下发给网络监控设备上述信息的时长是否超时，也即是否超过预设的时长。若已经超时，则认为网络监控设备采取的措施已经能够解除当前的网络威胁，则向网络监控设备发送删除信息，删除信息中包含停止执行解决措施的指令，以使网络监控设备在接收到删除信息后，认为当前已恢复为安全状态，并停止执行解决措施。

这样做的好处是，网络管理设备在威胁解除时能够及时控制网络监控设备停止执行解决措施，避免网络监控设备执行无用的操作，浪费网络资源。

第二方面，本发明实施例还提供了一种网络信息处理方法，如图2所示，包括：

S201、网络监控设备在检测到当前的网络状态为疑似非安全状态时，向网络管理设备上报的网络安全事件，网络安全事件中包括当前网络状态的信息，以使网络管理设备若判断获知网络中的网络监控设备当前处于非安全状态，则生成相应的告警信息，并获取非安全状态对应的解决措施信息，并将告警信息以及解决措施信息发送至网络监控设备；

S202、网络监控设备在接收到告警信息以及解决措施信息后，获知当前处于非安全状态，并根据解决措施信息执行对应的解决措施。

本发明实施例提供的网络信息处理方法中，网络监控设备在检测到当前的网络状态为疑似非安全状态时，向网络管理设备上报的网络安全事件，以使网络管理设备在判断当前为非安全状态时生成告警信息，并将告警信息与对应的解决措施一并发送给网络监控设备，从而网络监控设备可以获知当前自身的不安全情况，同时能够及时采取相应的解决措施，智能处理网络不安全事件，从而能够减少维护人力的投入，为维护网络的稳定性及可靠性提供有力支持。

在具体实施时，上述方法实施例还可以包括：

S203、网络监控设备在接收到删除信息后，认为当前已恢复为安全状态，并停止执行解决措施；

具体来说，网络管理设备在判断获知当前时刻上一次下发告警信息以及解决措施信息的时长大于或等于预设的超时时间时，则认为当前的威胁已解除，无需再执行解决措施，因此向网络监控设备发送删除信息，删除信息中包含停止执行措施的指令。网络监控设备在接收到删除信息后，认为当前已恢复为安全状态，并停止执行解决措施。

这样做的好处是，网络监控设备在接收到删除信息判断已经解除威胁时，能够及时停止执行相应的解决措施，避免执行无用的操作，浪费网络资源。

第三方面，本发明实施例还提供了一种网络管理设备，如图3所示，包括：判断单元301、获取单元302以及发送单元303。

其中，判断单元301用于在判断获知网络中的网络监控设备当前处于非安全状态时，生成相应的告警信息；获取单元302用于获取非安全状态对应的解决措施信息；发送单元303用于将告警信息以及解决措施信息发送至网络监控设备，以使网络监控设备获知当前处于非安全状态，并根据解决措施信息执行对应的解决措施。

在具体实施时，判断单元301若判断获知当前时刻距离上一次向网络监控设备发送告警信息以及解决措施信息的时长大于或等于预设的超时时间，则向网络监控设备发送删除信息，以使网络监控设备在接收到删除信息后，认为当前已恢复为安全状态，并停止执行解决措施。

在具体实施时，判断单元301在接收到网络监控设备上报的网络安全事件时，若判断获知当前累计的网络监控设备上报的网络安全事件已满足触发告警的条件，则确认网络监控设备当前处于非安全状态，并生成相应的告警信息。

在具体实施时，判断单元301若判断获知当前累计的网络监控设备上报的网络安全事件与预设的安全事件规则相匹配，则根据安全事件规则中包含的安全事件的优先级以及安全事件的可靠性，判断当前累计的网络安全事件是否满足触发告警的条件。

在具体实施时，判断单元301若判断获知当前累计的网络监控设备上报的网络安全事件与预设的安全事件规则相匹配，则备份匹配结果。

第四方面，本发明实施例还提供了一种网络监控设备，如图4所示，包括：上报单元401以及执行单元402。

其中，上报单元401用于在检测到当前的网络状态为疑似非安全状态时，向网络管理设备上报的网络安全事件，网络安全事件中包括当前网络状态的信息，以使网络管理设备若判断获知网络中的网络监控设备当前处于非安全状态，则生成相应的告警信息，并获取非安全状态对应的解决措施信息，将告警信息以及解决措施信息发送至网络监控设备；执行单元402用于在接收到告警信息以及解决措施信息后，获知当前处于非安全状态，并根据解决措施信息执行对应的解决措施。

不难理解的是，由于上述第三方面以及第四方面介绍的网络管理设备以及网络监控设备为可以执行本发明实施例中的网络信息处理方法的装置，故而基于本发明实施例中所介绍的网络信息处理方法，本领域所属技术人员能够了解本实施例的网络管理设备以及网络监控设备的具体实施方式以及其各种变化形式，所以在此对于该网络管理设备以及网络监控设备如何实现本发明实施例中的网络信息处理方法不再详细介绍。只要本领域所属技术人员实施本发明实施例中网络信息处理方法所采用的装置，都属于本申请所欲保护的范围。

第五方面，本发明实施例还提供了一种网络信息处理系统，如图5所示，包括网络管理设备501以及若干个网络监控设备502。其中，这里的网络管理设备501为第三方面所述的网络管理设备，这里的网络监控设备502为第四方面所述的网络监控设备。为便于理解本发明提供的网络信息处理系统的工作原理，下面结合附图进行完整的说明。

图6示出了网络管理设备501的工作流程，图7示出了每一个网络监控设备502的工作流程。在网络监控设备502检测到当前的网络状态为疑似非安全网络状态时，将当前的情况上报给网络管理设备501。网络管理设备501在接收到这一网络安全事件时，首先将信息的格式进行封装，结构化为同一的格式。接着将结构化后的事件循环匹配规则库中的规则，如果匹配上某条规则，则会结合规则和事件信息生成一条备份规则。如果未匹配上则直接走其他业务。如果生成了备份规则，则根据备份规则上的各个字段信息初始化告警信息并根据优先级、可靠性等字段计算该条事件的风险值。告警信息可以如下所示，

alarmid＝1 eventid＝2 risk＝2 directiveid＝3 detectorip＝1.1.1.1 activeid＝4 setflag＝1 description＝“this is an alarm test”

alarmid:该条告警的id

eventid:产生该条告警的事件id,用于关联事件

risk:该条告警的风险值,用于判断是否告警

directiveid:产生该条告警的规则id,用于关联规则

detectorip:产生事件的检测节点ip地址，用于封装配置

activeid:匹配该条告警的动作id,用于封装配置

setflag:下发配置或取消配置标记,用于封装配置

description:该条告警的描述信息,一般表明产生该条告警的威胁

其中，告警信息中一般包括告警类型，事件五元组，风险值，告警描述，下发配置或取消配置标记等。不难理解的是，这里的告警字段可以根据具体需求进行增减，不限定于上述字段。

当网络管理设备501判断告警的风险值小于预设值1时，则等待超时。并在判断获知已经超时时，读取备份的匹配结果，看是否已经下发了告警信息，如果没有，则认为该威胁在该时间段内不构成威胁，因此删除备份的匹配结果。

当网络管理设备501判断告警的风险值大于或等于预设值1时，则已经触发了告警的条件，此时网络管理设备501会查询对应的解决措施信息，并将告警信息与解决措施信息封装一同发送给网络监控设备502。网络监控设备502在接收到这一信息时，可以判断当前自身的网络状态受到了威胁，因此根据信息中的解决措施信息执行相应的解决措施。

在网络监控设备502执行了一段时间的措施后，网络管理设备501会判断当前是否超时，如果超时则读取备份的匹配信息，如果已经下发了告警信息，则认为该威胁已被解决，下发删除信息。网络监控设备502在接收到删除信息后，停止执行相应的解决措施，并继续检测是否有疑似的非安全事件。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。