本发明涉及数据监控领域,特别涉及一种移动互联网异常行为的预警方法。
背景技术:
1、随着用户数量的急剧增长和网络攻击技术的不断进步,网络资源和用户数据的保护变得更为重要。传统的网络安全策略往往侧重于静态防御,如防火墙和入侵检测系统,但这些方法无法较好地应对复杂、动态的网络攻击。尤其在移动互联网领域,由于用户行为的多样性和网络环境的不稳定性,需要更加灵活和实时的安全监控手段。
2、请求频率作为反映用户或系统行为的一个关键指标,提供了一种有效的监控维度,能够帮助及时发现和防御各种网络攻击,例如分布式拒绝服务(ddos)攻击、网页爬虫的滥用和自动化脚本攻击。基于请求频率的异常行为预警方法,通过实时监控和分析网络请求数据,可以识别出异常的请求模式,从而提前预警可能的安全威胁,通过综合分析请求频率与其他相关指标,能够更全面地理解网络环境的安全状态,有效提高服务端的网络安全。
技术实现思路
1、本发明的目的在于提出一种移动互联网异常行为的预警方法及系统,以解决现有技术中所存在的一个或多个技术问题,至少提供一种有益的选择或创造条件。
2、本发明提供了一种移动互联网异常行为的预警方法及系统,读取web服务器的日志记录,获取历史请求数据,通过历史请求数据进行同维计算,得到同维值,对web服务器的网络请求数据进行实时监控,得到实时请求数据,计算实时请求数据的同维偏离率,并确定预警消息是否发出。所述方法能够有效识别互联网中的异常行为攻击,显著提高了网络服务的安全性和稳定性,以历史数据结合实时数据进行预警分析,有效地提高了移动互联网的监控能力和异常响应速度,避免了潜在的服务中断或宕机风险,减少人工干预需求,同时提高服务端的安全防护性能。
3、为了实现上述目的,根据本发明的一方面,提供一种移动互联网异常行为的预警方法,所述方法包括以下步骤:
4、s100,读取web服务器的日志记录,获取历史请求数据;
5、s200,通过历史请求数据进行同维计算,得到同维值;
6、s300,对web服务器的网络请求数据进行实时监控,得到实时请求数据;
7、s400,计算实时请求数据的同维偏离率,并确定预警消息是否发出。
8、进一步地,s100,读取web服务器的日志记录,获取历史请求数据的方法具体为:访问web服务器中的日志文件(access.log),在所述日志文件中读取web服务器在最近一个时段t内的历史请求数据,并以数组hrd[]储存该历史请求数据;
9、其中,时段t的长度设置为n秒,数组hrd[]的长度也为n,以hrd(i)表示数组hrd[]内的第i个值,i为序号,i=1,2,…,n,同时hrd(i)也表示web服务器在时段t内的第i秒的请求次数,hrd(i)的单位为次/秒。
10、进一步地,n的数值设置为区间[300,500]内的整数。
11、进一步地,s200,通过历史请求数据进行同维计算,得到同维值的方法具体为:
12、定义同维算法为:设置变量x,以hrd(x)表示数组hrd[]内的第x个值,分别计算hrd(x)的前差值和后差值,将hrd(x)的前差值和后差值之间的最小值记为第一数值;
13、其中,hrd(x)的前差值等于hrd(x)减去hrd(x)在数组hrd[]中的前一个数值所得到的值的绝对值的倒数,hrd(x)的后差值等于hrd(x)在数组hrd[]中的后一个数值减去hrd(x)所得到的值的绝对值的倒数;
14、在同维算法中,将变量x从x=2遍历至x=n-1,从而得到n-2个第一数值,将这n-2个第一数值进行累加再除以n后所得到的值作为同维值hv。
15、本步骤的有益效果为:由于web服务器在工作过程中会产生大量的请求数据,而相邻数据点的差异并不明显,同时数据中存在一定的噪声,为了使预警监测能够更敏感地捕捉到异常行为或趋势的微小信号,本步骤的方法通过将历史请求数据进行同维计算,在缩小数据之间差异的基准上计算同维值,利用同维值作为后续异常信号的识别基础,能够进一步细化请求数据的波动信号,提高潜在风险的识别准确精度。
16、进一步地,s300,对web服务器的网络请求数据进行实时监控,得到实时请求数据的方法具体为:在时段t的下一个时刻t0开始记录web服务器的请求次数,每秒记录一次,共记录n/2次,则产生n/2个实时请求数据,以数组trd[]储存这n/2个实时请求数据,以trd(j)表示数组trd[]内的第j个值,j为序号,j=1,2,…,n/2。
17、进一步地,s400,计算实时请求数据的同维偏离率的方法具体为:
18、s401,设置变量u0=0,同时初始化变量k,k的取值区间为[2,n/2-1],从k=2开始,转至s402;
19、s402,计算min{|trd(k)-trd(k-1)|,|trd(k)-trd(k+1)|}的值并将该值记为p,将变量u0的值增加p,转至s403;其中,trd(k)表示变量k在数组trd[]内所对应的第k个值;
20、s403,如果变量k的值小于n/2-1,则转至s404;否则转至s405;
21、s404,比较变量u0是否大于mintrd*hv,如果否,则将变量k的值增加1,重置p的值为0,转至s402;如果是,则转至s405;mintrd为数组trd[]内的最小值;
22、s405,计算同维偏离率hder。
23、本步骤的有益效果为:在web服务器的运行过程中,由于网络服务和应用时时面临着拒绝服务攻击以及服务滥用等行为,需要在异常行为发生前或发生的短时间内对其进行精确识别并预警,而以秒为间隔的实时请求数据的特点为变化快、数据量大,本步骤的方法以实时请求数据之间的大小间隔以及同维值作为识别依据,利用同维偏离率实现对异常行为的高灵敏度检测以及快速反应,同维偏离率作为实时请求数据在异常程度上的量化,其值反映了web服务器在相近时段内的正常范围标准,当实时请求数据偏离了该范围时,及时地发出预警信息以确保异常问题不会扩大或在其出现前迅速处理,以数据的动态实时变化而调整识别标准,能够最大程度地实现网络服务的主动防护和风险缓解,同时无需人工干预维持监控精度,减少人为监控的判别误差,充分提高网络环境的安全使用。
24、进一步地,同维偏离率的计算方法为:对于数组trd[]内的n/2个值,将每个值与u0进行大小比较,将大于u0的值减去u0作为第一数值,将小于u0的值加上u0作为第二数值,从而得到多个第一数值和多个第二数值,第一数值和第二数值的数量总和为n/2,将n/2个第一数值和第二数值全部取倒数后进行累加,记累加所得到的值为同维偏离率hder。
25、进一步地,s400中,确定预警消息是否发出的方法具体为:以每秒为间隔,对web服务器的请求次数进行记录,共记录n1次,得到n1个实时请求数据,如果这n1个实时请求数据的平均值大于同维偏离率hder,则发出预警信息;其中,n1的取值为区间[3,5]内的整数。
26、可选地,所述发出预警信息的方法为,通过opsgenie发送一条异常警告至管理员的个人邮箱中,异常警告至少包括web服务器的实时负载信息以及预警信息的生成时间。
27、本发明还提供了一种移动互联网异常行为的预警系统,所述一种移动互联网异常行为的预警系统包括:处理器、存储器及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现一种移动互联网异常行为的预警方法中的步骤,所述移动互联网异常行为的预警系统可以运行于桌上型计算机、笔记本电脑、移动电话、手提电话、平板电脑、掌上电脑及云端数据中心等计算设备中,可运行的系统可包括,但不仅限于,处理器、存储器、服务器集群,所述处理器执行所述计算机程序运行在以下系统的单元中:
28、数据获取单元,用于读取web服务器的日志记录,获取历史请求数据;
29、数据计算单元,用于通过历史请求数据进行同维计算,得到同维值;
30、数据监控单元,用于对web服务器的网络请求数据进行实时监控,得到实时请求数据;
31、预警控制单元,用于计算实时请求数据的同维偏离率,并确定预警消息是否发出。
32、本发明的有益效果为:所述方法能够有效识别互联网中的异常行为攻击,显著提高了网络服务的安全性和稳定性,以历史数据结合实时数据进行预警分析,有效地提高了移动互联网的监控能力和异常响应速度,避免了潜在的服务中断或宕机风险,减少人工干预需求,同时提高服务端的安全防护性能。
1.一种移动互联网异常行为的预警方法,其特征在于,所述方法包括以下步骤:
2.根据权利要求1所述的一种移动互联网异常行为的预警方法,其特征在于,s100,读取web服务器的日志记录,获取历史请求数据的方法具体为:访问web服务器中的日志文件,在所述日志文件中读取web服务器在最近一个时段t内的历史请求数据,并以数组hrd[]储存该历史请求数据;
3.根据权利要求1所述的一种移动互联网异常行为的预警方法,其特征在于,s200,通过历史请求数据进行同维计算,得到同维值的方法具体为:
4.根据权利要求1所述的一种移动互联网异常行为的预警方法,其特征在于,s300,对web服务器的网络请求数据进行实时监控,得到实时请求数据的方法具体为:在时段t的下一个时刻t0开始记录web服务器的请求次数,每秒记录一次,共记录n/2次,则产生n/2个实时请求数据,以数组trd[]储存这n/2个实时请求数据,以trd(j)表示数组trd[]内的第j个值。
5.根据权利要求4所述的一种移动互联网异常行为的预警方法,其特征在于,s400,计算实时请求数据的同维偏离率的方法具体为:
6.根据权利要求5所述的一种移动互联网异常行为的预警方法,其特征在于,同维偏离率的计算方法为:对于数组trd[]内的n/2个值,将每个值与u0进行大小比较,将大于u0的值减去u0作为第一数值,将小于u0的值加上u0作为第二数值,从而得到多个第一数值和多个第二数值,第一数值和第二数值的数量总和为n/2,将n/2个第一数值和第二数值全部取倒数后进行累加,记累加所得到的值为同维偏离率hder。
7.根据权利要求5所述的一种移动互联网异常行为的预警方法,其特征在于,s400中,确定预警消息是否发出的方法具体为:以每秒为间隔,对web服务器的请求次数进行记录,共记录n1次,得到n1个实时请求数据,如果这n1个实时请求数据的平均值大于同维偏离率hder,则发出预警信息。
8.一种移动互联网异常行为的预警系统,其特征在于,所述一种移动互联网异常行为的预警系统包括:处理器、存储器及存储在所述存储器中并在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现权利要求1-7中任一项所述的一种移动互联网异常行为的预警方法中的步骤,所述一种移动互联网异常行为的预警系统运行于桌上型计算机、笔记本电脑、掌上电脑或云端数据中心的计算设备中。
