本申請(qǐng)屬于網(wǎng)絡(luò)安全，尤其涉及一種異常行為監(jiān)測(cè)方法、系統(tǒng)及介質(zhì)。

背景技術(shù)：

1、隨著互聯(lián)網(wǎng)的迅猛發(fā)展，通信安全也成為保障網(wǎng)絡(luò)穩(wěn)定性的重要環(huán)節(jié)。為及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)異常狀態(tài)和避免內(nèi)容分發(fā)網(wǎng)絡(luò)(content?delivery?network，cdn)設(shè)備受到異常行為的攻擊，需要實(shí)時(shí)監(jiān)測(cè)用戶(hù)行為。

2、相關(guān)技術(shù)中，通常直接對(duì)cdn的用戶(hù)請(qǐng)求進(jìn)行監(jiān)控，會(huì)占用大量的網(wǎng)絡(luò)帶寬資源，尤其是在網(wǎng)絡(luò)業(yè)務(wù)處于高峰期時(shí)，導(dǎo)致網(wǎng)絡(luò)設(shè)備壓力過(guò)大，對(duì)網(wǎng)絡(luò)能力評(píng)價(jià)降低而無(wú)法準(zhǔn)確識(shí)別異常行為類(lèi)型，并且會(huì)干擾網(wǎng)絡(luò)設(shè)備的正常使用，影響用戶(hù)服務(wù)體驗(yàn)。

技術(shù)實(shí)現(xiàn)思路

1、本申請(qǐng)實(shí)施例提供一種異常行為監(jiān)測(cè)方法、系統(tǒng)及介質(zhì)，能夠提高鏈接效率。

2、第一方面，本申請(qǐng)實(shí)施例提供一種異常行為監(jiān)測(cè)方法，應(yīng)用于內(nèi)容分發(fā)網(wǎng)絡(luò)cdn，所述cdn的中心節(jié)點(diǎn)設(shè)置有cdn服務(wù)器、采集服務(wù)器和分析服務(wù)器；

3、所述方法包括：

4、響應(yīng)于用戶(hù)向cdn發(fā)起數(shù)據(jù)請(qǐng)求，通過(guò)所述cdn服務(wù)器生成所述數(shù)據(jù)請(qǐng)求的鏡像流量，并將所述鏡像流量發(fā)送至所述采集服務(wù)器；

5、通過(guò)所述采集服務(wù)器根據(jù)所述鏡像流量生成地址日志和用戶(hù)行為日志，并將所述地址日志和用戶(hù)行為日志發(fā)送至所述分析服務(wù)器；

6、通過(guò)所述分析服務(wù)器根據(jù)第一預(yù)設(shè)條件對(duì)所述地址日志和用戶(hù)行為日志進(jìn)行判斷，確定是否存在異常行為；

7、在存在異常行為的情況下，通過(guò)所述分析服務(wù)器根據(jù)所述地址日志和用戶(hù)行為日志與異常庫(kù)中異常數(shù)據(jù)的匹配結(jié)果，確定異常行為類(lèi)型。

8、第二方面，本申請(qǐng)實(shí)施例提供了一種異常行為監(jiān)測(cè)系統(tǒng)，應(yīng)用于內(nèi)容分發(fā)網(wǎng)絡(luò)cdn；

9、所述異常行為監(jiān)測(cè)系統(tǒng)包括cdn服務(wù)器、采集服務(wù)器和分析服務(wù)器；

10、所述cdn服務(wù)器，用于響應(yīng)于用戶(hù)向cdn發(fā)起數(shù)據(jù)請(qǐng)求，生成所述數(shù)據(jù)請(qǐng)求的鏡像流量，并將所述鏡像流量發(fā)送至所述采集服務(wù)器；

11、所述采集服務(wù)器，用于根據(jù)所述鏡像流量生成地址日志和用戶(hù)行為日志，并將所述地址日志和用戶(hù)行為日志發(fā)送至所述分析服務(wù)器；

12、所述分析服務(wù)器，用于根據(jù)第一預(yù)設(shè)條件對(duì)所述地址日志和用戶(hù)行為日志進(jìn)行判斷，確定是否存在異常行為；在存在異常行為的情況下，根據(jù)所述地址日志和用戶(hù)行為日志與異常庫(kù)中異常數(shù)據(jù)的匹配結(jié)果，確定異常行為類(lèi)型。

13、第三方面，本申請(qǐng)實(shí)施例提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上存儲(chǔ)有計(jì)算機(jī)程序指令，計(jì)算機(jī)程序指令被處理器執(zhí)行時(shí)實(shí)現(xiàn)如第一方面的任一項(xiàng)實(shí)施例中所述的異常行為監(jiān)測(cè)方法的步驟。

14、本申請(qǐng)實(shí)施例的異常行為監(jiān)測(cè)方法、系統(tǒng)及介質(zhì)，在內(nèi)容分發(fā)網(wǎng)絡(luò)cdn中部署cdn服務(wù)器、采集服務(wù)器和分析服務(wù)器，通過(guò)cdn服務(wù)器將用戶(hù)請(qǐng)求流通過(guò)鏡像的方式傳輸?shù)讲杉?wù)器，以通過(guò)采集服務(wù)器生成地址日志和用戶(hù)行為日志，由于利用鏡像的方式進(jìn)行用戶(hù)請(qǐng)求的實(shí)時(shí)監(jiān)測(cè)，不會(huì)對(duì)cdn的正常使用和運(yùn)行造成影響；從而，通過(guò)分析服務(wù)器根據(jù)地址日志和用戶(hù)行為日志進(jìn)行是否存在異常行為的判斷，并在存在異常行為的情況下，基于與異常庫(kù)中異常數(shù)據(jù)的匹配結(jié)果進(jìn)一步確定異常行為類(lèi)型，保障cdn安全。

技術(shù)特征：

1.一種異常行為監(jiān)測(cè)方法，其特征在于，應(yīng)用于內(nèi)容分發(fā)網(wǎng)絡(luò)cdn，所述cdn的中心節(jié)點(diǎn)設(shè)置有cdn服務(wù)器、采集服務(wù)器和分析服務(wù)器；

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述通過(guò)所述cdn服務(wù)器生成所述數(shù)據(jù)請(qǐng)求的鏡像流量，包括：

3.根據(jù)權(quán)利要求2所述的方法，其特征在于，所述第二預(yù)設(shè)條件包括：會(huì)話(huà)標(biāo)識(shí)符相同、會(huì)話(huà)源地址為用戶(hù)地址、會(huì)話(huà)目的地址為所述中心節(jié)點(diǎn)的地址。

4.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述數(shù)據(jù)請(qǐng)求為流媒體數(shù)據(jù)請(qǐng)求；

5.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述第一預(yù)設(shè)條件包括：所述用戶(hù)在預(yù)設(shè)周期內(nèi)的請(qǐng)求次數(shù)小于或等于預(yù)設(shè)閾值、統(tǒng)一資源定位符url與標(biāo)準(zhǔn)格式相匹配。

6.根據(jù)權(quán)利要求5所述的方法，其特征在于，所述通過(guò)所述分析服務(wù)器根據(jù)第一預(yù)設(shè)條件對(duì)所述地址日志和用戶(hù)行為日志進(jìn)行判斷，確定是否存在異常行為，包括：

7.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述通過(guò)所述分析服務(wù)器根據(jù)所述地址日志和用戶(hù)行為日志與異常庫(kù)中異常數(shù)據(jù)的匹配結(jié)果，確定異常行為類(lèi)型，包括：

8.根據(jù)權(quán)利要求7所述的方法，其特征在于，在所述通過(guò)所述分析服務(wù)器根據(jù)所述地址日志和用戶(hù)行為日志，在預(yù)先建立的異常庫(kù)中查詢(xún)是否存在相匹配的異常數(shù)據(jù)之后，所述方法還包括：

9.一種異常行為監(jiān)測(cè)系統(tǒng)，其特征在于，應(yīng)用于內(nèi)容分發(fā)網(wǎng)絡(luò)cdn；

10.一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其特征在于，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上存儲(chǔ)有計(jì)算機(jī)程序指令，所述計(jì)算機(jī)程序指令被處理器執(zhí)行時(shí)實(shí)現(xiàn)如權(quán)利要求1-8中任意一項(xiàng)所述的異常行為監(jiān)測(cè)方法。

技術(shù)總結(jié)
本申請(qǐng)公開(kāi)了一種異常行為監(jiān)測(cè)方法、系統(tǒng)及介質(zhì)。應(yīng)用于內(nèi)容分發(fā)網(wǎng)絡(luò)CDN，CDN的中心節(jié)點(diǎn)設(shè)置有CDN服務(wù)器、采集服務(wù)器和分析服務(wù)器。所述方法包括：響應(yīng)于用戶(hù)向CDN發(fā)起數(shù)據(jù)請(qǐng)求，通過(guò)CDN服務(wù)器生成數(shù)據(jù)請(qǐng)求的鏡像流量，并將鏡像流量發(fā)送至采集服務(wù)器；通過(guò)采集服務(wù)器根據(jù)鏡像流量生成地址日志和用戶(hù)行為日志，并將地址日志和用戶(hù)行為日志發(fā)送至分析服務(wù)器；通過(guò)分析服務(wù)器根據(jù)第一預(yù)設(shè)條件對(duì)地址日志和用戶(hù)行為日志進(jìn)行判斷，確定是否存在異常行為，在存在異常行為的情況下，根據(jù)地址日志和用戶(hù)行為日志與異常庫(kù)中異常數(shù)據(jù)的匹配結(jié)果確定異常行為類(lèi)型。根據(jù)本申請(qǐng)實(shí)施例，不會(huì)對(duì)CDN的正常使用和運(yùn)行造成影響，且能夠保障CDN安全。

技術(shù)研發(fā)人員：劉暢,吳傳杰,朱振凱,張子鵬,龍祺,朱達(dá)賢,肖祎杰
受保護(hù)的技術(shù)使用者：中國(guó)移動(dòng)通信集團(tuán)安徽有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/10/21