[发明专利]一种SSR上主动防御日志告警方法

权利要求书

1.一种SSR上主动防御日志告警方法，其特征在于：结合SSR的特点利用客户端生成主动防御违规日志，并对主动防御违规日志进行解析得到违规数量和违规时间，记录到客户端的告警数据缓存中，告警模块依据主动防御告警策略定时进行实时告警判断，发出告警信息；所述告警判断依据除了数量还有时间点，记录了时间点-数量这样的键值对，进行告警判断时对时间点-数量键值对的集合进行判断，使告警条件满足一定时间范围内的要求。

2.根据权利要求1所述的SSR上主动防御日志告警方法，其特征在于：在SSR集中管理平台中通过主动防御告警策略设置主动防御告警阈值；通过Agent实现主动防御功能，当在客户端的操作触发主动防御规则时会生成主动防御违规日志发送到SSR集中管理平台，SSR集中管理平台接收到主动防御违规日志后，对其进行解析得到违规数量和违规时间，记录到客户端的告警数据缓存中；另有一定时任务，告警模块依据主动防御告警策略定时将告警数据缓存与内存中记录的主动防御告警阈值进行比较，产生告警。

3.根据权利要求2所述的SSR上主动防御日志告警方法，其特征在于，所述告警模块分为三部分：第一部分是告警策略设置，对每一个客户端设置主动防御告警条件，告警条件分为高、中、低三个等级；第二部分是，收到主动防御违规日志解析的数据后，在内存中累计客户端的违规日志告警数据，安装时间、数量键值对记录，以时间降序排序；第三部分是告警判断，判断条件是一个时间段内数量超过多少，先通过这个时间段得到一个临界时间点，再从内存中记录的数据中统计时间大于或等于临界时间点的数量和，最后用所述数量和与判断条件中的数量做比较，数量和大于或等于判断条件中的数量时产生告警；当产生告警条件中的高级违规日志告警时，所述SSR集中管理平台会清空之前累计的数据，产生中级和低级告警时，则不清除。

4.根据权利要求1-3任意一项所述的SSR上主动防御日志告警方法，其特征在于，所述告警模块通过日志和邮件两种方式发出告警信息。