本申請屬于網絡安全,尤其涉及一種異常行為監測方法、系統及介質。
背景技術:
1、隨著互聯網的迅猛發展,通信安全也成為保障網絡穩定性的重要環節。為及時發現網絡異常狀態和避免內容分發網絡(content?delivery?network,cdn)設備受到異常行為的攻擊,需要實時監測用戶行為。
2、相關技術中,通常直接對cdn的用戶請求進行監控,會占用大量的網絡帶寬資源,尤其是在網絡業務處于高峰期時,導致網絡設備壓力過大,對網絡能力評價降低而無法準確識別異常行為類型,并且會干擾網絡設備的正常使用,影響用戶服務體驗。
技術實現思路
1、本申請實施例提供一種異常行為監測方法、系統及介質,能夠提高鏈接效率。
2、第一方面,本申請實施例提供一種異常行為監測方法,應用于內容分發網絡cdn,所述cdn的中心節點設置有cdn服務器、采集服務器和分析服務器;
3、所述方法包括:
4、響應于用戶向cdn發起數據請求,通過所述cdn服務器生成所述數據請求的鏡像流量,并將所述鏡像流量發送至所述采集服務器;
5、通過所述采集服務器根據所述鏡像流量生成地址日志和用戶行為日志,并將所述地址日志和用戶行為日志發送至所述分析服務器;
6、通過所述分析服務器根據第一預設條件對所述地址日志和用戶行為日志進行判斷,確定是否存在異常行為;
7、在存在異常行為的情況下,通過所述分析服務器根據所述地址日志和用戶行為日志與異常庫中異常數據的匹配結果,確定異常行為類型。
8、第二方面,本申請實施例提供了一種異常行為監測系統,應用于內容分發網絡cdn;
9、所述異常行為監測系統包括cdn服務器、采集服務器和分析服務器;
10、所述cdn服務器,用于響應于用戶向cdn發起數據請求,生成所述數據請求的鏡像流量,并將所述鏡像流量發送至所述采集服務器;
11、所述采集服務器,用于根據所述鏡像流量生成地址日志和用戶行為日志,并將所述地址日志和用戶行為日志發送至所述分析服務器;
12、所述分析服務器,用于根據第一預設條件對所述地址日志和用戶行為日志進行判斷,確定是否存在異常行為;在存在異常行為的情況下,根據所述地址日志和用戶行為日志與異常庫中異常數據的匹配結果,確定異常行為類型。
13、第三方面,本申請實施例提供了一種計算機可讀存儲介質,計算機可讀存儲介質上存儲有計算機程序指令,計算機程序指令被處理器執行時實現如第一方面的任一項實施例中所述的異常行為監測方法的步驟。
14、本申請實施例的異常行為監測方法、系統及介質,在內容分發網絡cdn中部署cdn服務器、采集服務器和分析服務器,通過cdn服務器將用戶請求流通過鏡像的方式傳輸到采集服務器,以通過采集服務器生成地址日志和用戶行為日志,由于利用鏡像的方式進行用戶請求的實時監測,不會對cdn的正常使用和運行造成影響;從而,通過分析服務器根據地址日志和用戶行為日志進行是否存在異常行為的判斷,并在存在異常行為的情況下,基于與異常庫中異常數據的匹配結果進一步確定異常行為類型,保障cdn安全。
1.一種異常行為監測方法,其特征在于,應用于內容分發網絡cdn,所述cdn的中心節點設置有cdn服務器、采集服務器和分析服務器;
2.根據權利要求1所述的方法,其特征在于,所述通過所述cdn服務器生成所述數據請求的鏡像流量,包括:
3.根據權利要求2所述的方法,其特征在于,所述第二預設條件包括:會話標識符相同、會話源地址為用戶地址、會話目的地址為所述中心節點的地址。
4.根據權利要求1所述的方法,其特征在于,所述數據請求為流媒體數據請求;
5.根據權利要求1所述的方法,其特征在于,所述第一預設條件包括:所述用戶在預設周期內的請求次數小于或等于預設閾值、統一資源定位符url與標準格式相匹配。
6.根據權利要求5所述的方法,其特征在于,所述通過所述分析服務器根據第一預設條件對所述地址日志和用戶行為日志進行判斷,確定是否存在異常行為,包括:
7.根據權利要求1所述的方法,其特征在于,所述通過所述分析服務器根據所述地址日志和用戶行為日志與異常庫中異常數據的匹配結果,確定異常行為類型,包括:
8.根據權利要求7所述的方法,其特征在于,在所述通過所述分析服務器根據所述地址日志和用戶行為日志,在預先建立的異常庫中查詢是否存在相匹配的異常數據之后,所述方法還包括:
9.一種異常行為監測系統,其特征在于,應用于內容分發網絡cdn;
10.一種計算機可讀存儲介質,其特征在于,所述計算機可讀存儲介質上存儲有計算機程序指令,所述計算機程序指令被處理器執行時實現如權利要求1-8中任意一項所述的異常行為監測方法。