【技术实现步骤摘要】
分布式数据节点异常行为检测方法、装置及服务器
本专利技术涉及数据节点分析
,具体而言,涉及一种分布式数据节点异常行为检测方法、装置及服务器。
技术介绍
随着科技的发展,分布式数据处理技术已应用于金融、物联网、保险和公益领域等领域,能够实现对数据信息的快速、安全交互以及数据信息的有效性验证。也正是由于分布式数据处理技术涉及的应用领域大多为国民生产中的重要领域,确保分布式数据网络中的分布式数据节点不被黑客入侵和攻击是非常重要的。由于分布式网络中的分布式数据节点的数量较多,且分布式数据节点通常会执行大量的数据处理工作,如果为每个分布式数据节点额外配置防火墙或者黑客监测/拦截机制从而实现对分布式数据节点的异常行为检测,会极大地影响分布式数据节点的工作性能(例如数据处理速度和数据处理精确度)。因此,如何在确保分布式数据节点的工作性能的前提下实现异常行为的检测从而确定出被入侵的分布式数据节点是现阶段亟待解决的一个技术问题。
技术实现思路
为了至少克服现有技术中的上述不足,本专利技术的目的之一在于提供一种分布式数...
【技术保护点】
1.一种分布式数据节点异常行为检测方法,其特征在于,应用于服务器,所述服务器与分布式数据网络通信,所述分布式数据网络中存在相同节点标识的数据节点共用一种动作解析逻辑,设置每个数据节点与所述服务器的绑定关系、以及对应的动作解析逻辑和行为识别逻辑,每个数据节点在启动数据处理进程时通过所述服务器激活该数据节点对应的动作解析逻辑和行为识别逻辑,所述方法至少包括:/n当所述分布式数据网络中的第一数据节点与第二数据节点进行数据交互时,判断所述第一数据节点的节点标识与所述第二数据节点是否相同;/n在所述第一数据节点的节点标识与所述第二数据节点的节点标识相同时,从所述第一数据节点和所述第二...
【技术特征摘要】
1.一种分布式数据节点异常行为检测方法,其特征在于,应用于服务器,所述服务器与分布式数据网络通信,所述分布式数据网络中存在相同节点标识的数据节点共用一种动作解析逻辑,设置每个数据节点与所述服务器的绑定关系、以及对应的动作解析逻辑和行为识别逻辑,每个数据节点在启动数据处理进程时通过所述服务器激活该数据节点对应的动作解析逻辑和行为识别逻辑,所述方法至少包括:
当所述分布式数据网络中的第一数据节点与第二数据节点进行数据交互时,判断所述第一数据节点的节点标识与所述第二数据节点是否相同;
在所述第一数据节点的节点标识与所述第二数据节点的节点标识相同时,从所述第一数据节点和所述第二数据节点之间的交互记录中确定出第一数据节点的第一动作指令流以及所述第二数据节点的第二动作指令流;
按照所述第一数据节点或所述第二数据节点对应的动作解析逻辑,分别对所述第一动作指令流和所述第二动作指令流进行解析,得到第一指令特征和第二指令特征;
在所述第一指令特征和所述第二指令特征不匹配时,基于所述第一数据节点对应的第一行为识别逻辑对所述第一指令特征进行识别得到第一识别结果并基于所述第二数据节点对应的第二行为识别逻辑对所述第二指令特征进行识别得到第二识别结果;
根据所述第一识别结果和所述第二识别结果确定出所述第一数据节点和所述第二数据节点中存在异常行为的数据节点。
2.根据权利要求1所述的方法,其特征在于,所述从所述第一数据节点和所述第二数据节点之间的交互记录中确定出第一数据节点的第一动作指令流以及所述第二数据节点的第二动作指令流,包括:
获取所述交互记录的元数据信任度以及各动作指令对;
在根据所述元数据信任度确定出所述交互记录中包含有无效交互行为的情况下,根据所述交互记录在无效交互行为下的动作指令对及其数字签名确定交互记录在有效交互行为下的各动作指令对与交互记录在无效交互行为下的各动作指令对之间的响应成功率之差,并将交互记录在有效交互行为下的与在无效交互行为下的动作指令对的响应成功率相同的动作指令对调整到相应的无效交互行为的分类下;
在交互记录的当前有效交互行为下包含有多个动作指令对的情况下,根据所述交互记录在无效交互行为下的动作指令对及其数字签名确定交互记录在当前有效交互行为下的各动作指令对之间的响应成功率之差,并根据所述各动作指令对之间的响应成功率之差对当前有效交互行为下的各动作指令对进行筛选;
根据所述交互记录在无效交互行为下的动作指令对及其数字签名为上述筛选得到的每一个动作指令对设置无效交互行为签名,并将所述每一个动作指令对调整到所述无效交互行为签名所对应的无效交互行为的分类下;
根据有效交互行为分类下的第一动作指令对、无效交互行为分类下的第二动作指令对、所述第一数据节点的第一链路层协议以及所述第二数据节点的第二链路层协议确定出所述第一动作指令流和所述第二动作指令流。
3.根据权利要求2所述的方法,其特征在于,所述根据有效交互行为分类下的第一动作指令对、无效交互行为分类下的第二动作指令对、所述第一数据节点的第一链路层协议以及所述第二数据节点的第二链路层协议确定出所述第一动作指令流和所述第二动作指令流,包括:
根据所述第一动作指令对、所述第二动作指令对、所述第一链路层协议以及所述第二链路层协议,确定所述第一数据节点和所述第二数据节点各自对应的第一动作指令集和所述第二动作指令集;其中,所述第一动作指令集包括所述第一数据节点在所述交互记录的有效调用时间范围内向所述第二数据节点发送的一连串的请求指令,所述第二动作指令集包括所述第二数据节点在所述交互记录的有效调用时间范围内根据接收到的所述第一数据节点发送的所述请求指令向所述第一数据节点反馈的一连串的响应指令;
基于所述第一动作指令集、所述第二动作指令集、所述第一链路层协议和所述第二链路层协议,确定出所述第一数据节点的第一结构化序列以及所述第二数据节点的第二结构化序列;
基于所述第一结构化序列以及所述第二结构化序列,分别从所述第一动作指令集和所述第二动作指令集中确定所述第一数据节点的第一指令序列和所述第二数据节点的第二指令序列;
当确定出所述第一指令序列和所述第二指令序列时,以所述第一指令序列和所述第二指令序列进行指令序列配对,获得配对结果;根据所述配对结果判断所述第一指令序列和所述第二指令序列是否为多分支线程的序列对;若是,则按照每个分支线程将所述第一指令序列和所述第二指令序列分别转换为多个具有所述分支线程的第一指令表单和第二指令表单;分别按照所述第一指令表单和所述第二指令表单查找与所述第一指令表单和第二指令表单具有相同或相似分支线程的预设指令脚本文件;将所述配对结果和所述预设指令脚本文件对应的脚本流合成动作指令流集合;
根据所述动作指令流集合中的预设指令脚本文件和所述预设指令脚本文件对应的脚本流、以及所述第一数据节点的动作解析逻辑对应的第一接口信息、所述第二数据节点的动作解析逻辑对应的第二接口信息,确定出所述第一动作指令流和所述第二动作指令流。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述按照所述第一数据节点或所述第二数据节点对应的动作解析逻辑,分别对所述第一动作指令流和所述第二动作指令流进行解析,得到第一指令特征和第二指令特征,包括:
根据所述动作指令逻辑中的指令拆分规则,分别对所述第一动作指令流和所述第二动作指令流进行拆分,得到所述第一动作指令流的第一拆分集以及所述第二动作指令流的第二拆分集;其中,所述第一拆分集中包括所述第一动作指令流的多个第一单动作指令,所述第二拆分集中包括所述第二动作指令流的多个第二单动作指令;
在预设的动作指令包集合中任意确定出一个动作指令包作为目标动作指令包;分别将所述第一动作指令流对应的第一拆分集中的每个第一单动作指令和所述第二动作指令流对应的第二拆分集中的每个第二单动作指令与所述目标动作指令包中的每个参考动作指令进行对比,得到所述第一动作指令流与所述目标动作指令包之间的第一对比结果以及所述第二动作指令流与所述目标动作指令包之间的第二对比结果;所述动作指令包集合包括以指令数据库中每个已验证动作指令为参考动作指令的对比动作指令包,所述对比动作指令包的动作指令节点为参考动作指令的相对时序信息,之后的每个动作指令节点包括参考动作指令与所述指令数据库中其他动作指令的时序关联度以及所述其他动作指令的相对时序信息,所述每个对比动作指令包中...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。