一種消息歸一化處理方法及系統(tǒng)技術(shù)方案

本發(fā)明專利技術(shù)提供一種消息歸一化處理方法，所述方法包括：接收局域網(wǎng)控制中心發(fā)送的原始消息；根據(jù)所述原始消息確定回填屬性和提取屬性，所述回填屬性為根據(jù)原始消息生成且在原始消息中沒有包含的屬性，所述提取屬性為根據(jù)原始消息直接提取的屬性；將所述回填屬性和提取屬性合并生成歸一化屬性；根據(jù)所述歸一化屬性確定第一回填屬性，并將所述第一回填屬性和所述歸一化屬性合并生成歸一化事件。本發(fā)明專利技術(shù)所提供的消息歸一化處理方法，將不同廠商以及不同設備之間的系統(tǒng)消息進行歸一化的處理，生成歸一化事件表，供系統(tǒng)進行集中監(jiān)控管理，以及供第三方業(yè)務平臺進行各種業(yè)務分析使用。

Message normalization processing method and system

The invention provides a normalized message processing method, the method includes: the original message sending and receiving LAN control center; according to the original message to determine the attribute and the attribute extraction of backfill, the backfill property is based on the original message is generated and the original message does not contain the attribute, the attribute according to the attribute extraction for the original message direct extraction; the backfill attribute and attribute extraction combined to generate normalized attributes; according to the normalized property to determine the first backfill properties, and combining the first attribute and the attribute backfilling normalized combined to generate normalized events. The normalized message processing method provided by the invention, different manufacturers and system messages between different devices are normalized, normalized to generate the event table for centralized monitoring and management system, as well as for the third party service platform for business analysis.

【技術(shù)實現(xiàn)步驟摘要】

本專利技術(shù)涉及計算機
，具體涉及一種消息歸一化處理方法及系統(tǒng)。
技術(shù)介紹
在計算機技術(shù)高速發(fā)展的今天，各行各業(yè)的企事業(yè)單位普遍部署有局域網(wǎng)，而一個企業(yè)的計算機系統(tǒng)包含了多個局域網(wǎng)的情況也非常多見，由于組成局域網(wǎng)的硬件設備包括交換機，路由器，防火墻，服務器等，對局域網(wǎng)設備的管理是整個系統(tǒng)集中監(jiān)控和管理中重要的組成部分。具體的，傳感器發(fā)送基于TCP協(xié)議或者UDP協(xié)議的Syslog、SNMP Trap等類型的系統(tǒng)消息，系統(tǒng)消息負責記錄一個設備中包括運行程序和系統(tǒng)軟件的執(zhí)行情況以及硬件的運行情況，通過分析這些系統(tǒng)消息，可追蹤和掌握系統(tǒng)中設備的運轉(zhuǎn)情況。但由于組成局域網(wǎng)的設備種類繁多，型號多變，又由于生產(chǎn)廠商的不同，各自遵循不同生產(chǎn)廠商的企業(yè)標準，即使一個相同事件的系統(tǒng)消息經(jīng)由不同廠商生產(chǎn)的同類型設備發(fā)出也可能完全不同，系統(tǒng)消息從編碼方法，事件的語句表達，事件級別定義等各方面千差萬別，如何從根本上統(tǒng)一系統(tǒng)消息的格式，管理系統(tǒng)中的系統(tǒng)消息，實現(xiàn)對系統(tǒng)內(nèi)所有設備的集中監(jiān)控管理，是計算機
亟待解決的問題。
技術(shù)實現(xiàn)思路
本專利技術(shù)所要解決的技術(shù)問題是針對現(xiàn)有技術(shù)中所存在的上述缺陷，提供一種消息歸一化處理方法及系統(tǒng)，用以解決現(xiàn)有技術(shù)中存在的包含多個局域網(wǎng)的系統(tǒng)中所有系統(tǒng)消息的集中監(jiān)控和管理問題。為實現(xiàn)上述目的，本專利技術(shù)提供一種消息歸一化處理方法，所述方法包括：接收局域網(wǎng)控制中心發(fā)送的原始消息；根據(jù)所述原始消息確定回填屬性和提取屬性，所述回填屬性為根據(jù)原始消息生成且在原始消息中沒有包含的屬性，所述提取屬性為根據(jù)原始消息直接提取的屬性；將所述回填屬性和提取屬性合并生成歸一化屬性；根據(jù)所述歸一化屬性確定第一回填屬性，并將所述第一回填屬性和所述歸一化屬性合并生成歸一化事件。優(yōu)選的，根據(jù)所述歸一化屬性確定第一回填屬性，包括：識別所述歸一化屬性的業(yè)務類型；根據(jù)預設的業(yè)務分析規(guī)則和所述歸一化屬性的業(yè)務類型，確定所述原始消息的第一回填屬性，所述預設的業(yè)務分析規(guī)則為根據(jù)業(yè)務類型將所述歸一化屬性進行歸類的規(guī)則的集合。優(yōu)選的，所述回填屬性包括第二回填屬性和第三回填屬性，所述第二回填屬性為對傳感器進行標識的回填屬性，所述第三回填屬性為對原始消息中的原始事件進行標識的回填屬性；第二回填屬性包括廠商事件標識和傳感器類型；第三回填屬性包括事件類型、事件子類型、事件擴展分類、源資產(chǎn)標識，源資產(chǎn)IP歸屬，目的資產(chǎn)標識，目的資產(chǎn)IP歸屬。優(yōu)選的，所述第三回填屬性為對原始消息中的原始事件進行標識的回填屬性，其回填方法包括：根據(jù)第二回填屬性中的廠商事件標識、傳感器類型，以及預設的事件歸一化對應關(guān)系，確定所述第三回填屬性中的原始消息的事件類型、事件子類型和事件擴展分類；所述預設的事件歸一化對應關(guān)系是所述第二回填屬性中的廠商事件標識、傳感器類型，和事件歸一化后的所述第三回填屬性中的事件類型、事件子類型和事件擴展分類之間一一對應的關(guān)系。優(yōu)選的，所述第三回填屬性為對原始消息中的原始事件進行標識的回填屬性，其回填方法還包括：根據(jù)原始消息的源IP地址和目的IP地址，查找系統(tǒng)IP段信息對應關(guān)系，確定所述第三回填屬性中的資源資產(chǎn)標識、源資產(chǎn)IP歸屬、目的資產(chǎn)標識和目的資產(chǎn)IP歸屬，所述系統(tǒng)IP段信息對應關(guān)系是系統(tǒng)內(nèi)資產(chǎn)的標識、IP歸屬與資產(chǎn)IP地址之間的對應關(guān)系。本專利技術(shù)還提供一種消息歸一化處理系統(tǒng)，包括：接收模塊，用于接收局域網(wǎng)控制中心發(fā)送的原始消息；數(shù)據(jù)處理模塊，用于根據(jù)所述原始消息確定回填屬性和提取屬性，所述回填屬性為根據(jù)原始消息生成且在原始消息中沒有包含的屬性，所述提取屬性為根據(jù)原始消息直接提取的屬性；并將所述回填屬性和提取屬性合并生成歸一化屬性；分析模塊，用于根據(jù)所述歸一化屬性確定第一回填屬性，并將所述第一回填屬性和所述歸一化屬性合并生成歸一化事件。優(yōu)選的，所述分析模塊，具體用于識別所述歸一化屬性的業(yè)務類型；根據(jù)預設的業(yè)務分析規(guī)則和所述歸一化屬性的業(yè)務類型，確定所述原始消息的第一回填屬性，所述預設的業(yè)務分析規(guī)則為根據(jù)業(yè)務類型將所述歸一化屬性進行歸類的規(guī)則的集合。優(yōu)選的，所述數(shù)據(jù)處理模塊，具體用于確定所述回填屬性，所述回填屬性包括第二回填屬性和第三回填屬性，所述第二回填屬性為對傳感器進行標識的回填屬性，所述第三回填屬性為對原始消息中的原始事件進行標識的回填屬性；第二回填屬性包括廠商事件標識和傳感器類型；第三回填屬性包括事件類型、事件子類型、事件擴展分類、源資產(chǎn)標識，源資產(chǎn)IP歸屬，目的資產(chǎn)標識，目的資產(chǎn)IP歸屬。優(yōu)選的，所述數(shù)據(jù)處理模塊，具體用于根據(jù)第二回填屬性中的廠商事件標識、傳感器類型，以及預設的事件歸一化對應關(guān)系，確定所述第三回填屬性中的原始消息的事件類型、事件子類型和事件擴展分類；所述預設的事件歸一化對應關(guān)系是所述第二回填屬性中的廠商事件標識、傳感器類型，和事件歸一化后的所述第三回填屬性中的事件類型、事件子類型和事件擴展分類之間一一對應的關(guān)系。優(yōu)選的，所述數(shù)據(jù)處理模塊，具體用于根據(jù)原始消息的源IP地址和目的IP地址，查找系統(tǒng)IP段信息對應關(guān)系，確定所述第三回填屬性中的資源資產(chǎn)標識、源資產(chǎn)IP歸屬、目的資產(chǎn)標識和目的資產(chǎn)IP歸屬，所述系統(tǒng)IP段信息對應關(guān)系是系統(tǒng)內(nèi)資產(chǎn)的標識、IP歸屬與資產(chǎn)IP地址之間的對應關(guān)系。本專利技術(shù)所提供的消息歸一化處理方法及系統(tǒng)，通過接收局域網(wǎng)發(fā)送的各種系統(tǒng)消息，將不同廠商以及不同設備之間的系統(tǒng)消息進行歸一化的處理，生成具有統(tǒng)一的事件類型分類、事件內(nèi)容分析屬性的歸一化事件表，可以供系統(tǒng)進行集中監(jiān)控管理，以及供第三方業(yè)務平臺進行各種業(yè)務分析時使用，其歸一化的歸類方法簡單，但內(nèi)容完備，其中，將不同廠商的原件進行統(tǒng)一的分類標識，以及將系統(tǒng)消息中涉及到的系統(tǒng)中的資產(chǎn)也進行了詳細的標識，進行使整個系統(tǒng)中的復雜的系統(tǒng)消息都被很好的歸類，能夠方便的進行后續(xù)的各種應用。附圖說明為了更清楚的說明本專利技術(shù)實施例中的技術(shù)方案，下面將對實施例描述中所需要使用的附圖做簡單地介紹，顯而易見地，下面描述中的附圖是本專利技術(shù)的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他附圖。圖1為本專利技術(shù)提供的消息歸一化處理方法的流程示意圖；圖2為本專利技術(shù)提供的消息歸一化處理系統(tǒng)的結(jié)構(gòu)示意圖；圖3為本專利技術(shù)提供的采用消息歸一化處理方法獲取的歸一化事件集合；圖4為本專利技術(shù)提供的消息歸一化處理方法中事件類型的回填流程；圖5為本專利技術(shù)提供的消息歸一化處理方法中資產(chǎn)的回填流程。具體實施方式為使本領(lǐng)域技術(shù)人員更好地理解本專利技術(shù)的技術(shù)方案，下面結(jié)合附圖和實施例對本專利技術(shù)作進一步詳細描述。顯然，所描述的實施例是本專利技術(shù)一部分實施例，而不是全部的實施例。基于本專利技術(shù)中的實施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本專利技術(shù)保護的范圍。在一個局域網(wǎng)中，需要進行管理的設備，包括交換機，路由器，防火墻，服務器等設備，均能夠發(fā)送系統(tǒng)消息，為更好的說明本專利技術(shù)的方法，將發(fā)送系統(tǒng)消息的設備統(tǒng)稱為傳感器，而本專利技術(shù)中的消息收集器，相當于局域網(wǎng)中的網(wǎng)關(guān)，主要完成收集局域網(wǎng)內(nèi)的系統(tǒng)消息并向系統(tǒng)進行轉(zhuǎn)發(fā)的功能。本領(lǐng)域技術(shù)人員很容易理解的是，根據(jù)系統(tǒng)的實際配置情況或管理的需求，傳感器輸出的系統(tǒng)消息，可以由消息收集器負責轉(zhuǎn)發(fā)至系統(tǒng)進行管理，也可以在消息收集器本文檔來自技高網(wǎng)...

【技術(shù)保護點】
一種消息歸一化處理方法，其特征在于，所述方法包括：接收局域網(wǎng)控制中心發(fā)送的原始消息；根據(jù)所述原始消息確定回填屬性和提取屬性，所述回填屬性為根據(jù)原始消息生成且在原始消息中沒有包含的屬性，所述提取屬性為根據(jù)原始消息直接提取的屬性；將所述回填屬性和提取屬性合并生成歸一化屬性；根據(jù)所述歸一化屬性確定第一回填屬性，并將所述第一回填屬性和所述歸一化屬性合并生成歸一化事件。

【技術(shù)特征摘要】
1.一種消息歸一化處理方法，其特征在于，所述方法包括：接收局域網(wǎng)控制中心發(fā)送的原始消息；根據(jù)所述原始消息確定回填屬性和提取屬性，所述回填屬性為根據(jù)原始消息生成且在原始消息中沒有包含的屬性，所述提取屬性為根據(jù)原始消息直接提取的屬性；將所述回填屬性和提取屬性合并生成歸一化屬性；根據(jù)所述歸一化屬性確定第一回填屬性，并將所述第一回填屬性和所述歸一化屬性合并生成歸一化事件。2.如權(quán)利要求1所述的消息歸一化處理方法，其特征在于，根據(jù)所述歸一化屬性確定第一回填屬性，包括：識別所述歸一化屬性的業(yè)務類型；根據(jù)預設的業(yè)務分析規(guī)則和所述歸一化屬性的業(yè)務類型，確定所述原始消息的第一回填屬性，所述預設的業(yè)務分析規(guī)則為根據(jù)業(yè)務類型將所述歸一化屬性進行歸類的規(guī)則的集合。3.如權(quán)利要求1所述的消息歸一化處理方法，其特征在于：所述回填屬性包括第二回填屬性和第三回填屬性，所述第二回填屬性為對傳感器進行標識的回填屬性，所述第三回填屬性為對原始消息中的原始事件進行標識的回填屬性；第二回填屬性包括廠商事件標識和傳感器類型；第三回填屬性包括事件類型、事件子類型、事件擴展分類、源資產(chǎn)標識，源資產(chǎn)IP歸屬，目的資產(chǎn)標識，目的資產(chǎn)IP歸屬。4.如權(quán)利要求3所述的消息歸一化處理方法，其特征在于，所述第三回填屬性為對原始消息中的原始事件進行標識的回填屬性，其回填方法包括：根據(jù)第二回填屬性中的廠商事件標識、傳感器類型，以及預設的事件歸一化對應關(guān)系，確定所述第三回填屬性中的原始消息的事件類型、事件子類型和事件擴展分類；所述預設的事件歸一化對應關(guān)系是所述第二回填屬性中的廠商事件標識、傳感器類型，和事件歸一化后的所述第三回填屬性中的事件類型、事件子類型和事件擴展分類之間一一對應的關(guān)系。5.如權(quán)利要求3所述的消息歸一化處理方法，其特征在于，所述第三回填屬性為對原始消息中的原始事件進行標識的回填屬性，其回填方法還包括：根據(jù)原始消息的源IP地址和目的IP地址，查找系統(tǒng)IP段信息對應關(guān)系，確定所述第三回填屬性中的資源資產(chǎn)標識、源資產(chǎn)IP歸屬、目的資產(chǎn)標識和目的資產(chǎn)IP歸屬，所述系統(tǒng)IP段信息對應關(guān)系是系統(tǒng)內(nèi)資產(chǎn)的標識、IP歸屬與資產(chǎn)IP地...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：劉鵬，廖飛鳴，王萍，
申請(專利權(quán))人：中電長城網(wǎng)際系統(tǒng)應用有限公司，
類型：發(fā)明
國別省市：北京;11