[发明专利]基于动态加载机制的告警系统及告警方法

权利要求书

1.一种基于动态加载机制的告警系统，其特征在于，是基于网络流量数据进行告警的告警系统，包括获取模块、基于消息队列的消息集群服务器、第一处理模块、告警引擎、黑名单引擎、白名单引擎、动态加载机制、监控模块以及资产管理模块；所述获取模块配置为采集所述网络流量数据并进行解析以获得协议数据，创建包括所述协议数据的协议消息并将所述协议消息发送至所述消息集群服务器；所述消息集群服务器配置为通过分布式方式部署，用于接收所述协议消息、存储所述协议消息、以及为所述第一处理模块提供所述协议消息中的协议数据；所述第一处理模块配置为从所述消息集群服务器读取所述协议消息中的协议数据，通过所述告警引擎、所述黑名单引擎和所述白名单引擎对所述协议数据进行检测以获取包括所述协议数据和检测信息的分析数据并将所述分析数据关联资产信息和地理信息，其中，若存在所述检测信息，所述检测信息包括告警信息、黑名单标签和白名单标签中的至少一种；所述告警引擎包括规则引擎、情报引擎、以及攻击来源引擎，所述规则引擎配置为利用监控规则对所述协议数据进行规则匹配以获取第一告警信息，所述情报引擎配置为利用情报信息对所述协议数据进行情报匹配以获取第二告警信息，所述攻击来源引擎配置为将所述协议数据的来源地址与攻击来源进行匹配以获取第三告警信息，其中，所述告警信息包括所述第一告警信息、所述第二告警信息和所述第三告警信息，所述监控规则包括第一监控规则和第二监控规则，所述第一监控规则为启动所述规则引擎前设定好的监控规则，所述第一监控规则在所述规则引擎启动时自动加载，所述第二监控规则为启动所述规则引擎后用户通过可视化界面进行自定义的监控规则，所述第二监控规则通过所述动态加载机制进行加载；所述黑名单引擎配置为基于黑名单对所述协议数据进行标记以获取所述黑名单标签；所述白名单引擎配置为基于白名单对所述协议数据进行标记以获取所述白名单标签；所述动态加载机制配置为监测规则信息的变化，并重新加载规则信息，其中，所述规则信息包括所述监控规则、所述白名单、所述黑名单和所述攻击来源；所述监控模块配置为获取所述分析数据、以及所述分析数据关联的资产信息和地理信息并进行输出，所述监控模块还配置为若所述检测信息中存在所述告警信息和所述白名单标签，则判断存在误报的协议数据并突出该检测信息对应的分析数据以识别被误报的协议数据，若所述检测信息中不存在所述告警信息且存在所述黑名单标签，则判断存在漏报的协议数据并突出该检测信息对应的分析数据以识别被漏报的协议数据；所述资产管理模块配置为管理所述资产信息。

2.根据权利要求1所述的告警系统，其特征在于：

所述第一监控规则以文件的形式存储，所述规则引擎启动时加载所述第一监控规则对应的文件以加载所述第一监控规则；所述第二监控规则基于所述动态加载机制并通过接口方式进行加载。

3.根据权利要求1所述的告警系统，其特征在于：

所述第一监控规则包括协议类型、规则编号、数据流向、告警内容、规则内容、评分和匹配字段；所述第二监控规则包括规则名称、规则编号、规则告警等级、匹配范围、匹配字段和匹配值。

4.根据权利要求1所述的告警系统，其特征在于：

所述情报信息的恶意互联网协议地址和恶意域名以MD5加盐的方式进行存储，在所述情报引擎进行所述情报匹配时，所述情报引擎配置为对所述协议数据中的互联网协议地址和域名进行MD5加盐后再与所述情报信息的以MD5加盐的方式存储的恶意互联网协议地址和恶意域名进行匹配以获取所述第二告警信息。

5.根据权利要求1所述的告警系统，其特征在于：

所述告警系统还包括第二处理模块，所述第二处理模块配置为从所述消息集群服务器读取所述协议消息中的协议数据，对所述协议数据依次进行序列化和压缩处理以获取压缩协议数据。

6.根据权利要求5所述的告警系统，其特征在于：

所述第一处理模块将获得的第一预设时间内的分析数据和所述分析数据关联的资产信息和地理信息存储至第一存储单元中，所述第二处理模块将获得的第二预设时间内的压缩协议数据存储至第二存储单元中，其中，所述第一存储单元支持全文检索，所述第一预设时间小于所述第二预设时间。