实时警报通知:微信告警通知的重要性解析
669
2023-03-31
告警关联分析技术(告警关联分析技术包括)
本站部分文章、图片属于网络上可搜索到的公开信息,均用于学习和交流用途,不能代表睿象云的观点、立场或意见。我们接受网民的监督,如发现任何违法内容或侵犯了您的权益,请第一时间联系小编邮箱jiasou666@gmail.com 处理。
本篇文章给大家谈谈告警关联分析技术,以及告警关联分析技术包括对应的知识点,希望对各位有所帮助,不要忘了收藏本站喔。
今天给各位分享告警关联分析技术的知识,其中也会对告警关联分析技术包括进行解释,如果能碰巧解决你现在面临的问题,别忘了关注本站,现在开始吧!
随着数据网络的快速发展和移动业务的迅猛增长,很多原本从事传输网络运行维护、组织管理,甚至是产品研发、生产和销售的人们,突然找不准网络发展的节奏,因此很多人对传输网络的未来充满了忧虑。作为传输网管系统,如何跟随网络发展的步伐更好地发挥其作用成为必须思考和解决的问题。
网络的可靠性、可用性和易维护性是传统电信运营商非常关心的几个要素。其中,网络的易维护性很大程度上取决于网管系统。对于电信运营商而言,网管系统是其提供电信级服务质量不可缺少的重要保障机制。判别网管系统存在价值的大小的依据是,它能够在多大程度上辅助运营商的运维活动,降低OPEX,从而实现网络运维活动的增值。各大电信运营商的维护体制改革不论采用什么样的形式,根本上都是为了改善网络运维组织的工作效率。
2、现阶段传输网络和网管的基本情况
2.1 传输网络的基本情况
DWDM系统为长途干线和本地网提供了巨大容量,SDH(包括MSTP)设备提供了业务的快速自愈能力,微波传输和PDH设备作为快速解决用户接入的一种辅助手段仍在使用。而正在推广使用的ASON设备结合了IP的灵活性,为传输网提供了前所未有的分布式智能,但提供业务的灵活性远不及IP承载网。虽然ASON设备已经被广泛使用,但多是利用其超大容量的特点组成SDH环路,ASON的维护管理仍不成熟。
另外,随着2007年中美海缆的开工建设,国际通信传输网络的容量和安全性将得到巨大提升,但我国通信运营企业仍需提高在国际通信传输市场的地位。
据预测,在未来的25年内IP骨干网和城域网的带宽将每6个月翻一番。这对于分布广泛、网络拓扑复杂、业务类型多样的城域网来说,问题更加突出。对此需要运用多种流量模型进行预测,需要在网络的扩展性和运行维护的便利性间寻求平衡。
2.2 传输网管的基本情况
目前,各设备提供商的网管系统基本上都能够管理从SDH、DWDM到ASON的全系列产品,现有的传输网管系统仍然继承和发扬了其传统功能,即配置管理、性能管理、故障管理、计费管理和安全管理。同时,国内运营企业纷纷通过北向接口建设了上层的综合网管系统,力图解决“七国八制”的传输网络给网络运行维护带来的种种弊端,但实施效果远未达到预期目标。
值得一提的是,为了能够迅速解决光缆线路中断后抢修难度大、故障修复历时长的问题,基于光信号检测的OLP(光纤自动倒换)系统得到了广泛使用。OLP系统的网管也能对在用纤芯的光功率进行简单的监测,并能通过网管发布指令进行一些简单的倒换操作。
目前,运营商网络中共存着设备提供商的网管系统、集成服务商的网管系统、应用管理的网管系统、综合网管系统等,传输网管机房内因此摆满了各种网管设备。比较尴尬的是,企业自己开发建设的综合网管系统可以辅助运行维护工作,但离不开各类设备提供商的网管系统。维护人员的日常工作虽然已经有了较为成熟的模式,但不得不奔忙在各套网管系统之间,距离管理的自动化和简单化目标还很远。
3、现有传输网管存在的主要问题
(1)日益扩大的网络规模与网管易读性之间的矛盾
现有的各类传输网管基本上都是在早期SDH网管的基础上完善和改进的,功能越来越多且越来越复杂,处理能力较早期确实大大得到提高,但却忽视了简化网管、净化界面的重要性。这种网管功能的堆砌往往造成维护过程中信息过多,导致网管整体效率下降。传输网络的故障处理很大程度上仍然依赖于操作维护人员的经验积累。
解决这个矛盾,笔者认为网管系统应实现以下功能。
●要求网管系统既能快速、准确地上报告警,又能直观地反映出故障的真正位置。不是维护人员在告警堆里找故障,而是要求网管系统具备告警关联分析和故障呈现功能。
●在故障出现的同时,要求网管系统能够迅速提供简要的分析(如业务是否中断、业务中断比例等),指导故障恢复工作。
●要求网管系统能够对关键动态运行参数(如网络的可用率,网络的整体性能偏离情况等)、网络资源进行自动统计和分析。
●要求网管系统提供类似于Windows桌面整理助手的工具,对于长期不用的交叉连接、端口进行清理提示。
(2)越来越复杂的网管和降低维护人力成本之间的矛盾
从降低企业运行成本的角度考虑,需要降低维护人员的素质门槛要求或者减少维护人员的数量。就目前设备商提供的网管系统而言,很难实现这一点。运营商的网络的规模在迅速扩大,人力成本却相对降低了,这多是以加大现有维护人员工作强度并提高维护人员的工作效率来实现的。例如引入智能光网络后,不仅在原有网管的基础上引入了很多新的理念,还要求维护人员能够熟练地运用一些专用分析工具,才能完成一些最基本的网络操作维护(如割接的审批、网络质量的评价等),这无形之中提高了对维护人员的要求。
(3)用户接入的多样性与通过网管快速反应之间的矛盾
随着业务创新力度的不断加大,要求传输网络特别是城域网有足够的灵活性和可扩展性,尤其是快速的业务开通和故障处理能力,而网管系统的能力在这方面起着关键作用。城域网采用了FTTx、MSTP、城域以太网、T-MPLS、VPN-FRR等多种技术,但最终用户并不关心运营商网络中采用的技术、网络性能、设备成本等,最终用户需要的是高质量的业务和可靠、迅速的服务。而现有的网管系统基本上还是“以我为主”,以“网络设备”为中心。只有网管能够直接反映出“最终用户的直观感受”,以客户为中心,才能真正拥有技术手段上的支持。
(4)集中式网管与分布式处理、设备现场操作之间的矛盾
从网络负荷平衡和网络健壮性角度来看,分布式处理是未来网管的发展方向,而且可以满足网络对伸缩性的要求。
随着网络规模的日益扩大,集中式网管系统必然导致系统处理负荷急剧增加。集中网管的最大问题是指挥人员和现场操作人员的信息不对称,现有网管系统基本上都不能直观地呈现设备现场的具体情况(如线缆连接情况、机盘告警等),对现场操作人员的指挥和指导很容易出现疏漏或错误。
(5)设备厂商的网管系统与综合网管系统之间的矛盾
开发综合网管系统的目的之一是将目前的多厂商网管系统统一起来,简化和规范目前的维护工作,给网络管理者提供准确、快速的数据和分析。从目前的使用情况来看,还是存在以下一些问题。
●综合网管系统与设备厂商网管系统功能重复较多。综合网管系统利用设备厂商网管系统北向接口提供的各类信息,也提供了告警管理、拓扑管理、性能管理等功能。综合网管系统要想实现与设备厂商网管系统基本一致的实时告警呈现是非常困难的事情,更何况这种实时管理极其消耗综合网管系统的资源。
●综合网管系统自身的局限性决定了其自身维护工作量太大。为保障综合网管系统的稳定工作,首先要保证其连接的设备厂商网管系统接口长期稳定工作,需要及时地处理接口故障,需要在设备软硬件升级后及时进行相应的升级开发工作。另外,由于北向接口自身的局限性,很多信息做不到自动识别和刷新,在每次网络调整后甚至是正常的网络维护作业后,需要人工维护这些信息(包括大量的静态资源信息)。
4、对现有传输网管工作的建议
(1)合理的传输网管组织形式
●减少设备提供商的数量,采用集中式的网管监控方式和集中的数据制作。实现网管数据的集中,可以减少数据的交互,有利于提高网管系统的性能,实现并发挥数据的价值。采用集中管理方式特别要注意的是,不仅要赋予集中网管更大的责任,还要赋予它们更大的管理权。
●根据实际情况,合理配置EMS和NMS。EMS和NMS各有优缺点,很多底层功能重复。配置网管时不能生搬硬套,而要结合实际的维护体制和综合网管要实现的功能进行配置。其中EMS相对来说功能基本满足需求,北向接口功能丰富;而NMS相对来说功能较为丰富,且支持OSS。
●避免网管带外DCN重复建设,保障带外DCN的稳定运行。
●根据传输网络全程全网的特点组织网管,不能人为地按照管理制度割裂网络,至少要保证一张网内的各个业务单元可以实时“看”到全局情况。
(2)充分、有效地发挥综合网管的作用
综合网管系统的开发、建设和使用的目的不应是替代设备厂商网管系统,而应是能够屏蔽厂商差异和规范局数据的快速制作等。与此同时,综合网管系统不宜求全,尽量避免与原设备厂商网管系统的功能重复,应该利用有限的资源集中精力解决突出的一些问题。
●在维护管理上建立高效、规范的维护管理机制,实现运维管理流程自动化,能够适应运营商业务流程的灵活调整。
●通过实现告警信息与客户业务电路的关联,及时提示工作人员对受影响的大客户和高等级业务电路进行应急处理和管理。对实现SLA业务提供技术和手段上的保障。
●重点解决静态、动态的资源管理,解决好资源整合问题。
●解决好跨专业多种业务系统的协作问题。
5、未来传输网管系统的发展方向
现阶段电信运营企业正在寻找新的盈利模式,朝着综合服务运营商转型的过程中,新型的运营模式对网管系统提出了更高的要求,即网管系统的智能化、综合化、简单化和个性化。
●网管的智能化是指繁杂的维护工作由网管系统自动完成,降低人为干预的工作量和工作难度。这种智能包括网络设备之间的信息交互智能、网络设备与网络管理者之间的信息交互智能。
●网管的综合化要求网管系统能够提供面向网络、业务、用户等多个功能的统一管理。而实现网管的综合化的前提是网管系统必须能够处理更大的信息量和更复杂的业务行为,更便于集中化的管理。
●网管的简单化是指通过减少操作人员的工作难度,降低对操作人员的要求,提高运行维护工作的整体运行效率。
●网管的个性化管理是企业精细化运营的必然结果,运营商需要深入了解用户和业务的细节,提供最贴近用户的深度感知。这就要求网管系统必须具备灵活的扩展能力,其管理功能可以根据运营商管理的设备类型、管理范围、网络规模、管理形式、业务类型等方便地进行界面定制和模块调整。
6、结束语
传输网管系统发展到今天已经比较完善和成熟,但仍然需要跟着运营商转型的步伐,创新网管开发理念,以满足精细化运维管理的需要。
好处是不用天天往外跑,坏处是全天候工作,经常加班。工资不会差的
服务拒绝攻击企图通过使你的服务计算机崩溃或把它压跨来阻止你提供服务,服务拒绝攻击是最容易实施的攻击行为,主要包括:
死亡之ping (ping of death)
概览:由于在早期的阶段,路由器对包的最大尺寸都有限制,许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区,当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方当机。
防御:现在所有的标准TCP/IP实现都已实现对付超大尺寸的包,并且大多数防火墙能够自动过滤这些攻击,包括:从windows98之后的windows,NT(service pack 3之后),linux、Solaris、和Mac OS都具有抵抗一般ping of death攻击的能力。此外,对防火墙进行配置,阻断ICMP以及任何未知协议,都讲防止此类攻击。
泪滴(teardrop)
概览:泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息,某些TCP/IP(包括service pack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。
防御:服务器应用最新的服务包,或者在设置防火墙时对分段进行重组,而不是转发它们。
UDP洪水(UDP flood)
概览:各种各样的假冒攻击利用简单的TCP/IP服务,如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成在两台主机之间的足够多的无用数据流,如果足够多的数据流就会导致带宽的服务攻击。
防御:关掉不必要的TCP/IP服务,或者对防火墙进行配置阻断来自Internet的请求这些服务的UDP请求。
SYN洪水(SYN flood)
概览:一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息,因为他们只有有限的内存缓冲区用于创建连接,如果这一缓冲区充满了虚假连接的初始信息,该服务器就会对接下来的连接停止响应,直到缓冲区里的连接企图超时。在一些创建连接不受限制的实现里,SYN洪水具有类似的影响。
防御:在防火墙上过滤来自同一主机的后续连接。
未来的SYN洪水令人担忧,由于释放洪水的并不寻求响应,所以无法从一个简单高容量的传输中鉴别出来。
Land攻击
概览:在Land攻击中,一个特别打造的SYN包它的原地址和目标地址都被设置成某一个服务器地址,此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉,对Land攻击反应不同,许多UNIX实现将崩溃,NT变的极其缓慢(大约持续五分钟)。
防御:打最新的补丁,或者在防火墙进行配置,将那些在外部接口上入站的含有内部源地址滤掉。(包括 10域、127域、192.168域、172.16到172.31域)
Smurf攻击
概览:一个简单的smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包来淹没受害主机的方式进行,最终导致该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞,比ping of death洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者,最终导致第三方雪崩。
防御:为了防止黑客利用你的网络攻击他人,关闭外部路由器或防火墙的广播地址特性。为防止被攻击,在防火墙上设置规则,丢弃掉ICMP包。
Fraggle攻击
概览:Fraggle攻击对Smurf攻击作了简单的修改,使用的是UDP应答消息而非ICMP
防御:在防火墙上过滤掉UDP应答消息
电子邮件炸弹
概览:电子邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断的大量的向同一地址发送电子邮件,攻击者能够耗尽接受者网络的带宽。
防御:对邮件地址进行配置,自动删除来自同一主机的过量或重复的消息。
畸形消息攻击
概览:各类操作系统上的许多服务都存在此类问题,由于这些服务在处理信息之前没有进行适当正确的错误校验,在收到畸形的信息可能会崩溃。
防御:打最新的服务补丁。
2、利用型攻击
利用型攻击是一类试图直接对你的机器进行控制的攻击,最常见的有三种:
口令猜测
概览:一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户帐号,成功的口令猜测能提供对机器的控制。
防御:要选用难以猜测的口令,比如词和标点符号的组合。确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。如果该服务支持锁定策略,就进行锁定。
特洛伊木马
概览:特洛伊木马是一种或是直接由一个黑客,或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限,安装此程序的人就可以直接远程控制目标系统。最有效的一种叫做后门程序,恶意程序包括:NetBus、BackOrifice和BO2k,用于控制系统的良性程序如:netcat、VNC、pcAnywhere。理想的后门程序透明运行。
防御:避免下载可疑程序并拒绝执行,运用网络扫描软件定期监视内部主机上的监听TCP服务。
缓冲区溢出
概览:由于在很多的服务程序中大意的程序员使用象strcpy(),strcat()类似的不进行有效位检查的函数,最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾,这样当发生缓冲区溢出时,返回指针指向恶意代码,这样系统的控制权就会被夺取。
防御:利用SafeLib、tripwire这样的程序保护系统,或者浏览最新的安全公告不断更新操作系统。
3、信息收集型攻击
信息收集型攻击并不对目标本身造成危害,如名所示这类攻击被用来为进一步入侵提供有用的信息。主要包括:扫描技术、体系结构刺探、利用信息服务
扫描技术
地址扫描
概览:运用ping这样的程序探测目标地址,对此作出响应的表示其存在。
防御:在防火墙上过滤掉ICMP应答消息。
端口扫描
概览:通常使用一些软件,向大范围的主机连接一系列的TCP端口,扫描软件报告它成功的建立了连接的主机所开的端口。
防御:许多防火墙能检测到是否被扫描,并自动阻断扫描企图。
反响映射
概览:黑客向主机发送虚假消息,然后根据返回“host unreachable”这一消息特征判断出哪些主机是存在的。目前由于正常的扫描活动容易被防火墙侦测到,黑客转而使用不会触发防火墙规则的常见消息类型,这些类型包括:RESET消息、SYN-ACK消息、DNS响应包。
防御:NAT和非路由代理服务器能够自动抵御此类攻击,也可以在防火墙上过滤“host unreachable”ICMP应答。
慢速扫描
概览:由于一般扫描侦测器的实现是通过监视某个时间桢里一台特定主机发起的连接的数目(例如每秒10次)来决定是否在被扫描,这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。
防御:通过引诱服务来对慢速扫描进行侦测。
体系结构探测
概览:黑客使用具有已知响应类型的数据库的自动工具,对来自目标主机的、对坏数据包传送所作出的响应进行检查。由于每种操作系统都有其独特的响应方法(例NT和Solaris的TCP/IP堆栈具体实现有所不同),通过将此独特的响应与数据库中的已知响应进行对比,黑客经常能够确定出目标主机所运行的操作系统。
防御:去掉或修改各种Banner,包括操作系统和各种应用服务的,阻断用于识别的端口扰乱对方的攻击计划。
利用信息服务
DNS域转换
概览:DNS协议不对转换或信息性的更新进行身份认证,这使得该协议被人以一些不同的方式加以利用。如果你维护着一台公共的DNS服务器,黑客只需实施一次域转换操作就能得到你所有主机的名称以及内部IP地址。
防御:在防火墙处过滤掉域转换请求。
Finger服务
概览:黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。
防御:关闭finger服务并记录尝试连接该服务的对方IP地址,或者在防火墙上进行过滤。
LDAP服务
概览:黑客使用LDAP协议窥探网络内部的系统和它们的用户的信息。
防御:对于刺探内部网络的LDAP进行阻断并记录,如果在公共机器上提供LDAP服务,那么应把LDAP服务器放入DMZ。
4、假消息攻击
用于攻击目标配置不正确的消息,主要包括:DNS高速缓存污染、伪造电子邮件。
DNS高速缓存污染
概览:由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证,这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。
防御:在防火墙上过滤入站的DNS更新,外部DNS服务器不应能更改你的内部服务器对内部机器的认识。
伪造电子邮件
概览:由于SMTP并不对邮件的发送者的身份进行鉴定,因此黑客可以对你的内部客户伪造电子邮件,声称是来自某个客户认识并相信的人,并附带上可安装的特洛伊木马程序,或者是一个引向恶意网站的连接。
防御:使用PGP等安全工具并安装电子邮件证书。
所以,在告警发生的时候,可以使用告警优先级推荐算法来分析处理问题。根据规律特征进行判别,看是否需要立即关注。再配合自动化工具,将推荐等级与原始等级都高的告警加上筛选规则,进行自动化开单处置。发现推荐等级与原始等级有背离的部分,可以筛选出来做复盘,对告警原始的等级进行优化,或者转化成升降级的规则逻辑来处置告警等级。擎创告警辨析中心4.0是擎创科技研发的新一代智能告警管理、分析及处置平台,可配置能力更成熟,具有更开放的集成能力,可以将数据中心的监控系统、ITSM流程平台系统、自动化引擎系统、知识库系统、通知类平台等系统无缝集成,并驱动整个数据中心运维体系更快、更智能、更流畅运行。不仅可以满足科技能力及数据治理较强的企业需求,同时也可以通过智能化手段满足科技及数据治理较差企业的需求。
本文目录一览:
- 1、急急急!!!兄弟急问联通工作得事情!!
- 2、网络攻击类型
- 3、如何快速、灵活的实现告警通知,第一时间解决问题?
- 4、李之棠的发表论文
- 5、基于大数据审计的信息安全日志分析法
- 6、相比传统运维工具,AIOps的优势在哪里
急急急!!!兄弟急问联通工作得事情!!
1、引言随着数据网络的快速发展和移动业务的迅猛增长,很多原本从事传输网络运行维护、组织管理,甚至是产品研发、生产和销售的人们,突然找不准网络发展的节奏,因此很多人对传输网络的未来充满了忧虑。作为传输网管系统,如何跟随网络发展的步伐更好地发挥其作用成为必须思考和解决的问题。
网络的可靠性、可用性和易维护性是传统电信运营商非常关心的几个要素。其中,网络的易维护性很大程度上取决于网管系统。对于电信运营商而言,网管系统是其提供电信级服务质量不可缺少的重要保障机制。判别网管系统存在价值的大小的依据是,它能够在多大程度上辅助运营商的运维活动,降低OPEX,从而实现网络运维活动的增值。各大电信运营商的维护体制改革不论采用什么样的形式,根本上都是为了改善网络运维组织的工作效率。
2、现阶段传输网络和网管的基本情况
2.1 传输网络的基本情况
DWDM系统为长途干线和本地网提供了巨大容量,SDH(包括MSTP)设备提供了业务的快速自愈能力,微波传输和PDH设备作为快速解决用户接入的一种辅助手段仍在使用。而正在推广使用的ASON设备结合了IP的灵活性,为传输网提供了前所未有的分布式智能,但提供业务的灵活性远不及IP承载网。虽然ASON设备已经被广泛使用,但多是利用其超大容量的特点组成SDH环路,ASON的维护管理仍不成熟。
另外,随着2007年中美海缆的开工建设,国际通信传输网络的容量和安全性将得到巨大提升,但我国通信运营企业仍需提高在国际通信传输市场的地位。
据预测,在未来的25年内IP骨干网和城域网的带宽将每6个月翻一番。这对于分布广泛、网络拓扑复杂、业务类型多样的城域网来说,问题更加突出。对此需要运用多种流量模型进行预测,需要在网络的扩展性和运行维护的便利性间寻求平衡。
2.2 传输网管的基本情况
目前,各设备提供商的网管系统基本上都能够管理从SDH、DWDM到ASON的全系列产品,现有的传输网管系统仍然继承和发扬了其传统功能,即配置管理、性能管理、故障管理、计费管理和安全管理。同时,国内运营企业纷纷通过北向接口建设了上层的综合网管系统,力图解决“七国八制”的传输网络给网络运行维护带来的种种弊端,但实施效果远未达到预期目标。
值得一提的是,为了能够迅速解决光缆线路中断后抢修难度大、故障修复历时长的问题,基于光信号检测的OLP(光纤自动倒换)系统得到了广泛使用。OLP系统的网管也能对在用纤芯的光功率进行简单的监测,并能通过网管发布指令进行一些简单的倒换操作。
目前,运营商网络中共存着设备提供商的网管系统、集成服务商的网管系统、应用管理的网管系统、综合网管系统等,传输网管机房内因此摆满了各种网管设备。比较尴尬的是,企业自己开发建设的综合网管系统可以辅助运行维护工作,但离不开各类设备提供商的网管系统。维护人员的日常工作虽然已经有了较为成熟的模式,但不得不奔忙在各套网管系统之间,距离管理的自动化和简单化目标还很远。
3、现有传输网管存在的主要问题
(1)日益扩大的网络规模与网管易读性之间的矛盾
现有的各类传输网管基本上都是在早期SDH网管的基础上完善和改进的,功能越来越多且越来越复杂,处理能力较早期确实大大得到提高,但却忽视了简化网管、净化界面的重要性。这种网管功能的堆砌往往造成维护过程中信息过多,导致网管整体效率下降。传输网络的故障处理很大程度上仍然依赖于操作维护人员的经验积累。
解决这个矛盾,笔者认为网管系统应实现以下功能。
●要求网管系统既能快速、准确地上报告警,又能直观地反映出故障的真正位置。不是维护人员在告警堆里找故障,而是要求网管系统具备告警关联分析和故障呈现功能。
●在故障出现的同时,要求网管系统能够迅速提供简要的分析(如业务是否中断、业务中断比例等),指导故障恢复工作。
●要求网管系统能够对关键动态运行参数(如网络的可用率,网络的整体性能偏离情况等)、网络资源进行自动统计和分析。
●要求网管系统提供类似于Windows桌面整理助手的工具,对于长期不用的交叉连接、端口进行清理提示。
(2)越来越复杂的网管和降低维护人力成本之间的矛盾
从降低企业运行成本的角度考虑,需要降低维护人员的素质门槛要求或者减少维护人员的数量。就目前设备商提供的网管系统而言,很难实现这一点。运营商的网络的规模在迅速扩大,人力成本却相对降低了,这多是以加大现有维护人员工作强度并提高维护人员的工作效率来实现的。例如引入智能光网络后,不仅在原有网管的基础上引入了很多新的理念,还要求维护人员能够熟练地运用一些专用分析工具,才能完成一些最基本的网络操作维护(如割接的审批、网络质量的评价等),这无形之中提高了对维护人员的要求。
(3)用户接入的多样性与通过网管快速反应之间的矛盾
随着业务创新力度的不断加大,要求传输网络特别是城域网有足够的灵活性和可扩展性,尤其是快速的业务开通和故障处理能力,而网管系统的能力在这方面起着关键作用。城域网采用了FTTx、MSTP、城域以太网、T-MPLS、VPN-FRR等多种技术,但最终用户并不关心运营商网络中采用的技术、网络性能、设备成本等,最终用户需要的是高质量的业务和可靠、迅速的服务。而现有的网管系统基本上还是“以我为主”,以“网络设备”为中心。只有网管能够直接反映出“最终用户的直观感受”,以客户为中心,才能真正拥有技术手段上的支持。
(4)集中式网管与分布式处理、设备现场操作之间的矛盾
从网络负荷平衡和网络健壮性角度来看,分布式处理是未来网管的发展方向,而且可以满足网络对伸缩性的要求。
随着网络规模的日益扩大,集中式网管系统必然导致系统处理负荷急剧增加。集中网管的最大问题是指挥人员和现场操作人员的信息不对称,现有网管系统基本上都不能直观地呈现设备现场的具体情况(如线缆连接情况、机盘告警等),对现场操作人员的指挥和指导很容易出现疏漏或错误。
(5)设备厂商的网管系统与综合网管系统之间的矛盾
开发综合网管系统的目的之一是将目前的多厂商网管系统统一起来,简化和规范目前的维护工作,给网络管理者提供准确、快速的数据和分析。从目前的使用情况来看,还是存在以下一些问题。
●综合网管系统与设备厂商网管系统功能重复较多。综合网管系统利用设备厂商网管系统北向接口提供的各类信息,也提供了告警管理、拓扑管理、性能管理等功能。综合网管系统要想实现与设备厂商网管系统基本一致的实时告警呈现是非常困难的事情,更何况这种实时管理极其消耗综合网管系统的资源。
●综合网管系统自身的局限性决定了其自身维护工作量太大。为保障综合网管系统的稳定工作,首先要保证其连接的设备厂商网管系统接口长期稳定工作,需要及时地处理接口故障,需要在设备软硬件升级后及时进行相应的升级开发工作。另外,由于北向接口自身的局限性,很多信息做不到自动识别和刷新,在每次网络调整后甚至是正常的网络维护作业后,需要人工维护这些信息(包括大量的静态资源信息)。
4、对现有传输网管工作的建议
(1)合理的传输网管组织形式
●减少设备提供商的数量,采用集中式的网管监控方式和集中的数据制作。实现网管数据的集中,可以减少数据的交互,有利于提高网管系统的性能,实现并发挥数据的价值。采用集中管理方式特别要注意的是,不仅要赋予集中网管更大的责任,还要赋予它们更大的管理权。
●根据实际情况,合理配置EMS和NMS。EMS和NMS各有优缺点,很多底层功能重复。配置网管时不能生搬硬套,而要结合实际的维护体制和综合网管要实现的功能进行配置。其中EMS相对来说功能基本满足需求,北向接口功能丰富;而NMS相对来说功能较为丰富,且支持OSS。
●避免网管带外DCN重复建设,保障带外DCN的稳定运行。
●根据传输网络全程全网的特点组织网管,不能人为地按照管理制度割裂网络,至少要保证一张网内的各个业务单元可以实时“看”到全局情况。
(2)充分、有效地发挥综合网管的作用
综合网管系统的开发、建设和使用的目的不应是替代设备厂商网管系统,而应是能够屏蔽厂商差异和规范局数据的快速制作等。与此同时,综合网管系统不宜求全,尽量避免与原设备厂商网管系统的功能重复,应该利用有限的资源集中精力解决突出的一些问题。
●在维护管理上建立高效、规范的维护管理机制,实现运维管理流程自动化,能够适应运营商业务流程的灵活调整。
●通过实现告警信息与客户业务电路的关联,及时提示工作人员对受影响的大客户和高等级业务电路进行应急处理和管理。对实现SLA业务提供技术和手段上的保障。
●重点解决静态、动态的资源管理,解决好资源整合问题。
●解决好跨专业多种业务系统的协作问题。
5、未来传输网管系统的发展方向
现阶段电信运营企业正在寻找新的盈利模式,朝着综合服务运营商转型的过程中,新型的运营模式对网管系统提出了更高的要求,即网管系统的智能化、综合化、简单化和个性化。
●网管的智能化是指繁杂的维护工作由网管系统自动完成,降低人为干预的工作量和工作难度。这种智能包括网络设备之间的信息交互智能、网络设备与网络管理者之间的信息交互智能。
●网管的综合化要求网管系统能够提供面向网络、业务、用户等多个功能的统一管理。而实现网管的综合化的前提是网管系统必须能够处理更大的信息量和更复杂的业务行为,更便于集中化的管理。
●网管的简单化是指通过减少操作人员的工作难度,降低对操作人员的要求,提高运行维护工作的整体运行效率。
●网管的个性化管理是企业精细化运营的必然结果,运营商需要深入了解用户和业务的细节,提供最贴近用户的深度感知。这就要求网管系统必须具备灵活的扩展能力,其管理功能可以根据运营商管理的设备类型、管理范围、网络规模、管理形式、业务类型等方便地进行界面定制和模块调整。
6、结束语
传输网管系统发展到今天已经比较完善和成熟,但仍然需要跟着运营商转型的步伐,创新网管开发理念,以满足精细化运维管理的需要。
好处是不用天天往外跑,坏处是全天候工作,经常加班。工资不会差的
网络攻击类型
1、服务拒绝攻击服务拒绝攻击企图通过使你的服务计算机崩溃或把它压跨来阻止你提供服务,服务拒绝攻击是最容易实施的攻击行为,主要包括:
死亡之ping (ping of death)
概览:由于在早期的阶段,路由器对包的最大尺寸都有限制,许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区,当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方当机。
防御:现在所有的标准TCP/IP实现都已实现对付超大尺寸的包,并且大多数防火墙能够自动过滤这些攻击,包括:从windows98之后的windows,NT(service pack 3之后),linux、Solaris、和Mac OS都具有抵抗一般ping of death攻击的能力。此外,对防火墙进行配置,阻断ICMP以及任何未知协议,都讲防止此类攻击。
泪滴(teardrop)
概览:泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息,某些TCP/IP(包括service pack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。
防御:服务器应用最新的服务包,或者在设置防火墙时对分段进行重组,而不是转发它们。
UDP洪水(UDP flood)
概览:各种各样的假冒攻击利用简单的TCP/IP服务,如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成在两台主机之间的足够多的无用数据流,如果足够多的数据流就会导致带宽的服务攻击。
防御:关掉不必要的TCP/IP服务,或者对防火墙进行配置阻断来自Internet的请求这些服务的UDP请求。
SYN洪水(SYN flood)
概览:一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息,因为他们只有有限的内存缓冲区用于创建连接,如果这一缓冲区充满了虚假连接的初始信息,该服务器就会对接下来的连接停止响应,直到缓冲区里的连接企图超时。在一些创建连接不受限制的实现里,SYN洪水具有类似的影响。
防御:在防火墙上过滤来自同一主机的后续连接。
未来的SYN洪水令人担忧,由于释放洪水的并不寻求响应,所以无法从一个简单高容量的传输中鉴别出来。
Land攻击
概览:在Land攻击中,一个特别打造的SYN包它的原地址和目标地址都被设置成某一个服务器地址,此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉,对Land攻击反应不同,许多UNIX实现将崩溃,NT变的极其缓慢(大约持续五分钟)。
防御:打最新的补丁,或者在防火墙进行配置,将那些在外部接口上入站的含有内部源地址滤掉。(包括 10域、127域、192.168域、172.16到172.31域)
Smurf攻击
概览:一个简单的smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包来淹没受害主机的方式进行,最终导致该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞,比ping of death洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者,最终导致第三方雪崩。
防御:为了防止黑客利用你的网络攻击他人,关闭外部路由器或防火墙的广播地址特性。为防止被攻击,在防火墙上设置规则,丢弃掉ICMP包。
Fraggle攻击
概览:Fraggle攻击对Smurf攻击作了简单的修改,使用的是UDP应答消息而非ICMP
防御:在防火墙上过滤掉UDP应答消息
电子邮件炸弹
概览:电子邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断的大量的向同一地址发送电子邮件,攻击者能够耗尽接受者网络的带宽。
防御:对邮件地址进行配置,自动删除来自同一主机的过量或重复的消息。
畸形消息攻击
概览:各类操作系统上的许多服务都存在此类问题,由于这些服务在处理信息之前没有进行适当正确的错误校验,在收到畸形的信息可能会崩溃。
防御:打最新的服务补丁。
2、利用型攻击
利用型攻击是一类试图直接对你的机器进行控制的攻击,最常见的有三种:
口令猜测
概览:一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户帐号,成功的口令猜测能提供对机器的控制。
防御:要选用难以猜测的口令,比如词和标点符号的组合。确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。如果该服务支持锁定策略,就进行锁定。
特洛伊木马
概览:特洛伊木马是一种或是直接由一个黑客,或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限,安装此程序的人就可以直接远程控制目标系统。最有效的一种叫做后门程序,恶意程序包括:NetBus、BackOrifice和BO2k,用于控制系统的良性程序如:netcat、VNC、pcAnywhere。理想的后门程序透明运行。
防御:避免下载可疑程序并拒绝执行,运用网络扫描软件定期监视内部主机上的监听TCP服务。
缓冲区溢出
概览:由于在很多的服务程序中大意的程序员使用象strcpy(),strcat()类似的不进行有效位检查的函数,最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾,这样当发生缓冲区溢出时,返回指针指向恶意代码,这样系统的控制权就会被夺取。
防御:利用SafeLib、tripwire这样的程序保护系统,或者浏览最新的安全公告不断更新操作系统。
3、信息收集型攻击
信息收集型攻击并不对目标本身造成危害,如名所示这类攻击被用来为进一步入侵提供有用的信息。主要包括:扫描技术、体系结构刺探、利用信息服务
扫描技术
地址扫描
概览:运用ping这样的程序探测目标地址,对此作出响应的表示其存在。
防御:在防火墙上过滤掉ICMP应答消息。
端口扫描
概览:通常使用一些软件,向大范围的主机连接一系列的TCP端口,扫描软件报告它成功的建立了连接的主机所开的端口。
防御:许多防火墙能检测到是否被扫描,并自动阻断扫描企图。
反响映射
概览:黑客向主机发送虚假消息,然后根据返回“host unreachable”这一消息特征判断出哪些主机是存在的。目前由于正常的扫描活动容易被防火墙侦测到,黑客转而使用不会触发防火墙规则的常见消息类型,这些类型包括:RESET消息、SYN-ACK消息、DNS响应包。
防御:NAT和非路由代理服务器能够自动抵御此类攻击,也可以在防火墙上过滤“host unreachable”ICMP应答。
慢速扫描
概览:由于一般扫描侦测器的实现是通过监视某个时间桢里一台特定主机发起的连接的数目(例如每秒10次)来决定是否在被扫描,这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。
防御:通过引诱服务来对慢速扫描进行侦测。
体系结构探测
概览:黑客使用具有已知响应类型的数据库的自动工具,对来自目标主机的、对坏数据包传送所作出的响应进行检查。由于每种操作系统都有其独特的响应方法(例NT和Solaris的TCP/IP堆栈具体实现有所不同),通过将此独特的响应与数据库中的已知响应进行对比,黑客经常能够确定出目标主机所运行的操作系统。
防御:去掉或修改各种Banner,包括操作系统和各种应用服务的,阻断用于识别的端口扰乱对方的攻击计划。
利用信息服务
DNS域转换
概览:DNS协议不对转换或信息性的更新进行身份认证,这使得该协议被人以一些不同的方式加以利用。如果你维护着一台公共的DNS服务器,黑客只需实施一次域转换操作就能得到你所有主机的名称以及内部IP地址。
防御:在防火墙处过滤掉域转换请求。
Finger服务
概览:黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。
防御:关闭finger服务并记录尝试连接该服务的对方IP地址,或者在防火墙上进行过滤。
LDAP服务
概览:黑客使用LDAP协议窥探网络内部的系统和它们的用户的信息。
防御:对于刺探内部网络的LDAP进行阻断并记录,如果在公共机器上提供LDAP服务,那么应把LDAP服务器放入DMZ。
4、假消息攻击
用于攻击目标配置不正确的消息,主要包括:DNS高速缓存污染、伪造电子邮件。
DNS高速缓存污染
概览:由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证,这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。
防御:在防火墙上过滤入站的DNS更新,外部DNS服务器不应能更改你的内部服务器对内部机器的认识。
伪造电子邮件
概览:由于SMTP并不对邮件的发送者的身份进行鉴定,因此黑客可以对你的内部客户伪造电子邮件,声称是来自某个客户认识并相信的人,并附带上可安装的特洛伊木马程序,或者是一个引向恶意网站的连接。
防御:使用PGP等安全工具并安装电子邮件证书。
如何快速、灵活的实现告警通知,第一时间解决问题?
数据中心产生告警噪音,一般由两个大的原因所引起:1、存在大量重复的告警:大多数监控系统关注的点在快速、无遗漏地将异常告警抛出。2、大量的告警因为服务组件之间的相互依赖关系、相互影响,而产生的大量的关联告警。所以,在告警发生的时候,可以使用告警优先级推荐算法来分析处理问题。根据规律特征进行判别,看是否需要立即关注。再配合自动化工具,将推荐等级与原始等级都高的告警加上筛选规则,进行自动化开单处置。发现推荐等级与原始等级有背离的部分,可以筛选出来做复盘,对告警原始的等级进行优化,或者转化成升降级的规则逻辑来处置告警等级。擎创告警辨析中心4.0是擎创科技研发的新一代智能告警管理、分析及处置平台,可配置能力更成熟,具有更开放的集成能力,可以将数据中心的监控系统、ITSM流程平台系统、自动化引擎系统、知识库系统、通知类平台等系统无缝集成,并驱动整个数据中心运维体系更快、更智能、更流畅运行。不仅可以满足科技能力及数据治理较强的企业需求,同时也可以通过智能化手段满足科技及数据治理较差企业的需求。
李之棠的发表论文
41 李之棠 王莉 李东 . 一种新的在线攻击意图识别方法研究. 小型微型计算机系统, 2008, 29 (07): 1347-1352
40 黄庆凤 李之棠 陆垂伟 王卫东 . DHT抖动处理代价的分析. 计算机研究与发展, 2008, (S1):
39 黄庆凤 李之棠 陆垂伟 王卫东 . DHT抖动处理代价的分析. 计算机研究与发展, 2008, (S1):
38 黄庆凤 李之棠 陆垂伟 王卫东 . DHT抖动处理代价的分析. 计算机研究与发展, 2008, (01):
37 王卫东 李之棠 . 树链混合组播源认证协议. 计算机科学, 2008, 35 (06): 99-102 36 李伟明 李之棠 . 一种基于神经网络的垃圾收集调度方法. 小型微型计算机系统, 2007, 28 (07): 1173-1176
35 李之棠 刘刚 肖凌 . 一种与IPSec兼容的基于有线/无线混合网络的TCP性能优化机制. 小型微型计算机系统, 2007, 28 (10): 1760-1763
34 曾斌 李之棠 徐帆江 . 面向卫星网络的TCP代理. 软件学报, 2007, 18 (07): 1695-1704
33 李之棠 梅松 . 一种新的支持组播隧道的VPN系统模型分析. 小型微型计算机系统, 2007, 28 (05): 774-778
32 肖凌 李之棠 梅松 . 一种基于虚拟网卡的WindowsVPN体系结构研究. 小型微型计算机系统, 2007, 28 (09): 1586-1590
31 曾斌 李之棠 王威 刘海庆 . 面向天基实时系统的QoS监控算法研究. 计算机科学, 2007, 34 (01): 74-77
30 林怀清 李之棠 黄庆凤 . P2P系统中的一种信任关系管理协议. 计算机工程, 2007, 33 (18): 20-22
29 梅松 李之棠 . 一种新的基于IPSec over Http协议的VPN通信研究. 小型微型计算机系统, 2007, 28 (06): 1021-1025
28 林怀清 李之棠 . P2P信任模型关键技术的研究进展. 小型微型计算机系统, 2007, 28 (09): 1599-1603
27 柳斌 李之棠 李战春 周丽娟 . 一种基于Netfilter的BitTorrent流量测量方法. 计算机科学, 2007, 34 (04): 38-41 26 梅松 李之棠 . 一种新的高性能VPN系统的模型分析. 小型微型计算机系统, 2006, 27 (05): 793-797
25 刘兰 李之棠 李家春 梅成刚 . 基于异构系统的统一网络安全监控体系模型. 小型微型计算机系统, 2006, 27 (09): 1682-1686
24 龚明 李之棠 . Y-00协议LO-KO攻击的研究. 小型微型计算机系统, 2006, 27 (12): 2276-2279 22 李家春 李之棠 . 分布式入侵告警关联分析. 计算机研究与发展, 2004, 41 (11): 1919-1923
21 石曙东 李之棠 . 一种新型的安全协议分析逻辑. 小型微型计算机系统, 2004, 25 (12): 2182-2185 20 李之棠 郭涛 谭运猛 吴世忠 . 联合签名及其在电子现金中的应用. 小型微型计算机系统, 2003, 24 (08): 1542-1545
19 曾斌 邢继峰 李之棠 . 自适应的网络服务质量支撑框架. 计算机工程, 2003, 29 (22): 124-126 18 李之棠 李家春 . 模糊神经网络在入侵检测中的应用. 小型微型计算机系统, 2002, 23 (10): 1235-1238
17 梅松 李之棠 . 一种直接基于IP封装的VPN模型. 计算机研究与发展, 2002, 39 (07): 775-780
16 李之棠 尹恒 . VPN组策略的理论研究. 小型微型计算机系统, 2002, 23 (05): 532-535
15 蒋屹新 李之棠 . 防火墙SNMP代理的设计与实现. 小型微型计算机系统, 2002, 23 (06): 679-682
14 李之棠 舒承椿 . 基于信息冗余分散的两种系统可存活性模型. 计算机研究与发展, 2002, 39 (07): 769-774 13 李之棠 黄辉龙 李非 . 并行PC:一种以交换网络为中心的新型PC体系结构设计. 小型微型计算机系统, 2001, 22 (12): 1421-1424
12 李之棠 黄辉龙 李非 . 基于并行PC结构的操作系统模型研究. 计算机科学, 2001, 28 (04): 42-46
11 李之棠 郑宏忠 . 一种优化计费模型IAS的研究. 小型微型计算机系统, 2001, 22 (03): 355-357 10 徐福泉 李之棠 . 基于千兆网多媒体服务器的流量分析. 计算机工程, 2000, (01):
9 涂浩 李之棠 肖凌 . 基于IPv6的新闻系统的实现研究. 计算机工程, 2000, (01): 7 李之棠 . 多级光互连多计算机系统结构设计. 小型微型计算机系统, 1997, 18 (02): 21-25
6 李之棠 . 光动态直接全互连多计算机系统结构设计. 计算机研究与发展, 1997, 34 (03): 166-171 5 赵跃龙 张江陵 李之棠 . 关于条式磁盘阵列中长短数据混合存取的研究. 计算机学报, 1995, 18 (10): 789-793
4 李之棠 李汉菊 李冬 . 分布式磁盘陈列的性能分析. 计算机研究与发展, 1995, (11):
3 李之棠 李汉菊 李冬 . 集中式磁盘阵列的性能分析. 计算机研究与发展, 1995, 32 (11): 55-60
2 李汉菊 程鹏 李之棠 . Hash位阵列消重算法及性能分析. 计算机工程, 1995, (01): 1 李之棠 李汉菊 . 适合功能磁盘系统解决的两类问题. 计算机研究与发展, 1993, 30 (08): 13-18
基于大数据审计的信息安全日志分析法
噪声数据随着经济和信息技术的不断发展,许多企业开始引入了ERP等系统,这些系统使得企业的众多活动数据可以实时记录,形成了大量有关企业经营管理的数据仓库。从这些海量数据中获取有用的审计数据是目前计算机审计的一个应用。接下来我为你带来基于大数据审计的信息安全日志分析法,希望对你有帮助。
大数据信息安全日志审计分析方法
1.海量数据采集。
大数据采集过程的主要特点和挑战是并发数高,因此采集数据量较大时,分析平台的接收性能也将面临较大挑战。大数据审计平台可采用大数据收集技术对各种类型的数据进行统一采集,使用一定的压缩及加密算法,在保证用户数据隐私性及完整性的前提下,可以进行带宽控制。
2.数据预处理。
在大数据环境下对采集到的海量数据进行有效分析,需要对各种数据进行分类,并按照一定的标准进行归一化,且对数据进行一些简单的清洗和预处理工作。对于海量数据的预处理,大数据审计平台采用新的技术架构,使用基于大数据集群的分布式计算框架,同时结合基于大数据集群的复杂事件处理流程作为实时规则分析引擎,从而能够高效并行地运行多种规则,并能够实时检测异常事件。
3.统计及分析。
按照数据分析的实时性,分为实时数据分析和离线数据分析。大数据平台在数据预处理时使用的分布式计算框架Storm就非常适合对海量数据进行实时的统计计算,并能够快速反馈统计结果。Storm框架利用严格且高效的事件处理流程保证运算时数据的准确性,并提供多种实时统计接口以使用。
4.数据挖掘。
数据挖掘是在没有明确假设的前提下去挖掘信息、发现知识,所以它所得到的信息具有未知、有效、实用三个特征。与传统统计及分析过程不同的是,大数据环境下的数据挖掘一般没有预先设定好的主题,主要是在现有数据上面进行基于各种算法的计算,从而起到预测的效果,并进一步实现一些高级别数据分析的需求。
大数据分析信息安全日志的解决方案
统一日志审计与安全大数据分析平台能够实时不间断地将用户网络中来自不同厂商的安全设备、网络设备、主机、操作系统、数据库系统、用户业务系统的日志和警报等信息汇集到管理中心,实现全网综合安全审计;同时借助大数据分析和挖掘技术,通过各种模型场景发现各种网络行为、用户异常访问和操作行为。
1.系统平台架构。
以国内某大数据安全分析系统为例,其架构包括大数据采集平台、未知威胁感知系统、分布式实时计算系统(Storm)、复杂事件处理引擎(Esper)、Hadoop平台、分布式文件系统(HDFS)、分布式列数据库(Hbase)、分布式并行计算框架(Map/Reduce、Spark)、数据仓库(Hive)、分布式全文搜索引擎(ElasticSearch)、科学计算系统(Euler)。这些技术能够解决用户对海量事件的采集、处理、分析、挖掘和存储的需求。
如图1所示,系统能够实时地对采集到的不同类型的信息进行归一化和实时关联分析,通过统一的控制台界面进行实时、可视化的呈现,协助安全管理人员迅速准确地识别安全事件,提高工作效率。
2.实现功能。
系统能够实现的功能包括:审计范围覆盖网络环境中的全部网络设备、安全设备、服务器、数据库、中间件、应用系统,覆盖200多种设备和应用中的上万类日志,快速支持用户业务系统日志审计;系统收集企业和组织中的所有安全日志和告警信息,通过归一化和智能日志关联分析引擎,协助用户准确、快速地识别安全事故;通过系统的'安全事件并及时做出安全响应操作,为用户的网络环境安全提供保障;通过已经审计到的各种审计对象日志,重建一段时间内可疑的事件序列,分析路径,帮助安全分析人员快速发现源;整个Hadoop的体系结构主要通过分布式文件系统(HDFS)来实现对分布式存储的底层支持。
3.应用场景。
上述系统可解决传统日志审计无法实现的日志关联分析和智能定位功能。如在企业的网络系统中,大范围分布的网络设备、安全设备、服务器等实时产生的日志量非常大,要从其中提取想要的信息非常困难,而要从设备之间的关联来判断设备故障也将是一大难点。例如,某企业定位某设备与周围直连设备的日志消息相关联起来判断该设备是否存在异常或故障,如对于其中一台核心交换机SW1,与之直连的所有设备如果相继报接口down的日志,则可定位该设备SWl为故障设备,此时应及时做出响应。而传统数据难以通过周围设备的关联告警来定位该故障,大数据审计平台则是最好的解决方法。
大数据分析方法可以利用实体关联分析、地理空间分析和数据统计分析等技术来分析实体之间的关系,并利用相关的结构化和非结构化的信息来检测非法活动。对于集中存储起来的海量信息,可以让审计人员借助历史分析工具对日志进行深度挖掘、调查取证、证据保全。
相比传统运维工具,AIOps的优势在哪里
所谓的AIOps,简单理解就是基于自动化运维,将AI和运维很好的结合起来。
AIOps的落地在多方面直击传统运维的痛点,AI算法承担起分析海量运维数据的重任,能够自动、准确地发现和定位问题,从决策层面提高运营效率,为企业运营和运维工作在成本、质量和效率方面的优化提供了重要支持。
可见,AIOps 在企业中的作用正在进一步放大。但事实上,很多企业对于AIOps 能解决什么问题并不清晰,今天我们就以博睿数据的AIOps 的三大场景和算法说起。
博睿数据的AIOps 实践
作为中国领先的智能可观测平台,在AIOps实践方面,多年来博睿数据积极拥抱人工智能、机器学习等新技术变革的浪潮,并基于AI和机器学习技术,自主研发了“数据接入、处理、存储与分析技术”核心技术体系,全面布局智能基线、异常检测、智能告警、关联分析、根因分析等丰富且广泛的智能运维功能,并将AIOps能力融入端到端全栈监控产品线,可为传统企业提供强大的数据处理、存储和分析的软件工具,帮助客户整合各类IT运维监控数据,实现数据的统一存储和关联分析,打破数据孤岛,构建统一的IT运维管理平台,让企业的IT运维更加智能化、自动化。
在此基础上,博睿数据还依托完整的IT运维监控能力,利用大数据和机器学习技术持续构建先进的智能运维监控产品,2021年先后推出了搭载了AI能力的新一代APM产品Server7.0和新版的统一智能运维平台Dataview,不断落地智能异常检测、根因分析、故障预测等场景。基于人工智能的能力实现运维监控场景的信息整合、特征关联和业务洞察,帮助企业确保数字化业务平稳运行,并保障良好的数字化体验。
目前,博睿数据在AIOps 技术方面主要落地了三大场景。即智能基线预测、异常检测及告警收敛。
随着企业业务规模扩大,云原生与微服务的兴起,企业IT架构复杂性呈现指数级增长。而传统的IT运维手段面临故障发生后,查找故障原因困难,故障平均修复时间周期长,已无法满足新的运维要求。因此运用人工智能赋能运维,去取代缓慢易错的人力决策,快速给出运维决策建议,降低问题的影响并提前预警问题就成为了必然。AIOps作为目前运维发展的最高阶目标,未来将会赋能运维带给用户全新的体验。
但需要注意的是,当前智能运维的很多产品和项目在企业侧落地效果并不理想,究其原因可归类为三点:一是数据采集与AI平台割裂,多源数据之间的关联关系缺失导致AI平台缺乏高质量的数据,进而导致模型训练效果不佳;二是数据采集以metric和log为主,导致应用场景较窄且存在数据孤岛问题;三是AI平台能力尚有提升空间。当前落地的场景多以异常检测与智能告警为主,未来需要进一步提升根因分析与故障预测的能力。
因此,未来企业首先要建设一体化监控运维平台,一体化是智能化的基础。基于一体化监控运维平台采集的高质量的可观测数据数据以及数据之间的关联关系,进一步将AIOps的能力落地到一体化监控运维平台中,从而实现问题精准定位与见解能力。
此外,在实际应用中,依据信通院的相关调查,其受访企业中只有不足20%的企业具有智能化监控和运维决策能力,超过70%的企业在应用系统出现故障的10分钟内一筹莫展。
各行业的数字化转型正在改变这一现状,不仅互联网企业,更多传统企业的数字化转型为智能运维开拓了更广阔的市场,智能运维有着巨大的发展空间,这也是博睿数据等行业领先企业发力的大好时机。
提升创新能力,推广智能运维不仅是相关服务商自身发展的要求,也是提升我国企业应用管理和运维水平的使命。
中国企业数字化转型加速,无论是前端的应用服务迭代更新,还是后端IT运维架构的复杂度提升,都在加速培育智能运维的成长。
关于告警关联分析技术和告警关联分析技术包括的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站。 告警关联分析技术的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于告警关联分析技术包括、告警关联分析技术的信息别忘了在本站进行查找喔。
相关文章
发表评论
暂时没有评论,来抢沙发吧~