基于行为的流量监测方法及装置制造方法及图纸

本发明专利技术涉及基于行为的流量监测方法及装置，包括：在监测到流量源发起访问时，创建针对流量源的时间窗，其中，时间窗能够容纳预设时长的数据；将流量源发起访问后的访问行为写入到时间窗中；根据时间窗中的访问行为确定流量源的至少一个行为要素，其中，每一个行为要素表征一种行为特征；根据至少一个行为要素生成流量源的当前行为链；根据当前行为链判断访问行为是否异常；当判断出访问行为异常时，触发告警事件。本方案能够帮助分析人员快速确定流量源是否异常。

【技术实现步骤摘要】
基于行为的流量监测方法及装置
本专利技术涉及计算机
，尤其涉及基于行为的流量监测方法及装置。
技术介绍
流量分析是指在获得网站访问量基本数据的情况下对有关数据进行统计、分析，从中发现用户访问网站的规律。当前的流量分析技术多是基于单个流量包判断，比如，一个IP与另一个IP产生一次交互后，如发现交互异常则触发告警。但是，上述分析方式很容易因用户的误操作触发大量的告警事件，从而给分析人员带来大量的干扰数据，操作人员通过大量数据难以快速确定流量源是否异常。因此，针对以上不足，需要提供基于行为的流量监测方法及装置。
技术实现思路
本专利技术提供了基于行为的流量监测方法及装置，能够帮助分析人员快速确定流量源是否异常。第一方面，本专利技术提供了基于行为的流量监测方法，包括：在监测到流量源发起访问时，创建针对所述流量源的时间窗，其中，所述时间窗能够容纳预设时长的数据；将所述流量源发起访问后的访问行为写入到所述时间窗中；根据所述时间窗中的所述访问行为确定所述流量源的至少一个行为要素，其中，每一个所述行为要素表征一种行为特征；根据所述至少一个行为要素生成所述流量源的当前行为链；根据所述当前行为链判断所述访问行为是否异常；当判断出所述访问行为异常时，触发告警事件。优选地，所述将所述流量源发起访问后的访问行为写入到所述时间窗中，根据所述时间窗中的所述访问行为确定所述流量源的至少一个行为要素，包括：A1：按照预设的采集周期，采集所述流量源发起访问后的访问行为；A2：确定所述时间窗中剩余的容量是否小于预设的容量阈值，其中，所述容量阈值小于所述采集周期内采集到的所述访问行为的数据量，如果是，执行A3，否则，执行A5；A3：根据所述时间窗中的所述访问行为确定所述流量源的至少一个行为要素；A4：删除所述时间窗中一个所述采集周期对应的时长内的历史数据，其中，所述历史数据为所述时间窗中存储时间最长的数据；A5：将采集到的所述访问行为写入到所述时间窗中。优选地，在所述在监测到流量源发起访问之后，在所述将所述流量源发起访问后的访问行为写入到所述时间窗中之前，进一步包括：S1：将所述流量源发来的第一信息和针对所述第一信息返回给所述流量源的第二信息作为所述流量源的访问行为，执行S2；S2：确定预存数据中是否存在针对所述流量源且被标记的会话，其中，被标记的所述会话中最新的信息对应的第一时间点与所述流量源发起访问时对应的第二时间点之差小于或等于预设的时间阈值，如果是，执行S4，否则，执行S3；S3：创建针对所述流量源的会话，对所述会话进行标记；S4：将所述访问行为记录在所述会话中；S5：在所述时间阈值内未接收到所述访问行为时，删除所述会话的标记。优选地，所述当判断出所述访问行为异常时，触发告警事件，包括：D1：确定预先创建的告警队列中是否存在历史告警记录，如果是，执行D2，否则，执行D6；D2：确定判断出所述访问行为异常时对应的异常时间点；D3：确定所述告警队列中的第一个历史告警记录加入到所述告警队列时的入列时间点；D4：确定所述异常时间点与所述入列时间点之间的时长是否大于预设的告警时长，如果是，执行D5，否则，执行D7；D5：删除所述告警队列中的历史告警记录；D6：触发告警事件；D7：生成所述访问行为对应的新增告警记录，并将所述新增告警记录作为历史告警记录加入到所述告警队列中。优选地，在所述将所述新增告警记录作为历史告警记录加入到所述告警队列中之后，进一步包括：确定所述告警队列中的历史告警记录的数量是否等于预设的告警数量；当所述告警队列中的历史告警记录的数量等于所述告警数量时，执行D5。优选地，所述根据所述至少一个行为要素生成所述流量源的当前行为链，包括：确定每一个所述行为要素出现的次数；按照时间顺序和每一个所述行为要素出现的次数，生成所述流量源的当前行为链；所述根据所述当前行为链判断所述访问行为是否异常，包括：当所述行为要素包括web页面时，根据下述公式，计算所述当前行为链与用于表征访问异常的异常行为链的相似值：其中，所述S表征所述当前行为链与异常行为链的相似值，所述Q表征所述当前行为链中请求web页面的第一总数，所述W表征所述异常行为链中请求web页面的第二总数，所述E表征所述当前行为链中请求主目录不同web页面的第三总数，所述R表征所述异常行为链中请求主目录不同web页面的第四总数，所述T表征所述当前行为链中请求目录树下不同web页面的第五总数，所述Y表征所述异常行为链中请求目录树下不同web页面的第六总数，a表征请求web页面对应的第一权重值，b表征请求主目录不同web页面对应的第二权重值，c表征请求目录下不同web页面的第三权重值；当所述相似值大于预设的相似阈值时，执行所述触发告警事件。第二方面，本专利技术还提供了基于行为的流量监测装置，包括：窗口创建模块，用于在监测到流量源发起访问时，创建针对所述流量源的时间窗，其中，所述时间窗能够容纳预设时长的数据；数据处理模块，用于将所述流量源发起访问后的访问行为写入到所述窗口创建模块创建的所述时间窗中；根据所述时间窗中的所述访问行为确定所述流量源的至少一个行为要素，其中，每一个所述行为要素表征一种行为特征；根据所述至少一个行为要素生成所述流量源的当前行为链；告警管理模块，用于根据所述数据处理模块生成的所述当前行为链判断所述访问行为是否异常；当判断出所述访问行为异常时，触发告警事件。优选地，所述数据处理模块，用于执行下述操作：A1：按照预设的采集周期，采集所述流量源发起访问后的访问行为；A2：确定所述时间窗中剩余的容量是否小于预设的容量阈值，其中，所述容量阈值小于所述采集周期内采集到的所述访问行为的数据量，如果是，执行A3，否则，执行A5；A3：根据所述时间窗中的所述访问行为确定所述流量源的至少一个行为要素；A4：删除所述时间窗中一个所述采集周期对应的时长内的历史数据，其中，所述历史数据为所述时间窗中存储时间最长的数据；A5：将采集到的所述访问行为写入到所述时间窗中。优选地，所述基于行为的流量监测装置，进一步包括会话创建模块；所述会话创建模块，用于执行下述操作：S1：将所述流量源发来的第一信息和针对所述第一信息返回给所述流量源的第二信息作为所述流量源的访问行为，执行S2；S2：确定预存数据中是否存在针对所述流量源且被标记的会话，其中，被标记的所述会话中最新的信息对应的第一时间点与所述流量源发起访问时对应的第二时间点之差小于或等于预设的时间阈值，如果是，执行S4，否则，执行S3；S3：创建针对所述流量源的会话，对所述会话进行标记；S4：本文档来自技高网...

【技术保护点】
1.基于行为的流量监测方法，其特征在于，包括：/n在监测到流量源发起访问时，创建针对所述流量源的时间窗，其中，所述时间窗能够容纳预设时长的数据；/n将所述流量源发起访问后的访问行为写入到所述时间窗中；/n根据所述时间窗中的所述访问行为确定所述流量源的至少一个行为要素，其中，每一个所述行为要素表征一种行为特征；/n根据所述至少一个行为要素生成所述流量源的当前行为链；/n根据所述当前行为链判断所述访问行为是否异常；/n当判断出所述访问行为异常时，触发告警事件。/n

【技术特征摘要】
1.基于行为的流量监测方法，其特征在于，包括：
在监测到流量源发起访问时，创建针对所述流量源的时间窗，其中，所述时间窗能够容纳预设时长的数据；
将所述流量源发起访问后的访问行为写入到所述时间窗中；
根据所述时间窗中的所述访问行为确定所述流量源的至少一个行为要素，其中，每一个所述行为要素表征一种行为特征；
根据所述至少一个行为要素生成所述流量源的当前行为链；
根据所述当前行为链判断所述访问行为是否异常；
当判断出所述访问行为异常时，触发告警事件。


2.根据权利要求1所述的基于行为的流量监测方法，其特征在于：
所述将所述流量源发起访问后的访问行为写入到所述时间窗中，根据所述时间窗中的所述访问行为确定所述流量源的至少一个行为要素，包括：
A1：按照预设的采集周期，采集所述流量源发起访问后的访问行为；
A2：确定所述时间窗中剩余的容量是否小于预设的容量阈值，其中，所述容量阈值小于所述采集周期内采集到的所述访问行为的数据量，如果是，执行A3，否则，执行A5；
A3：根据所述时间窗中的所述访问行为确定所述流量源的至少一个行为要素；
A4：删除所述时间窗中一个所述采集周期对应的时长内的历史数据，其中，所述历史数据为所述时间窗中存储时间最长的数据；
A5：将采集到的所述访问行为写入到所述时间窗中。


3.根据权利要求1所述的基于行为的流量监测方法，其特征在于：
在所述监测到流量源发起访问之后，并且在所述将所述流量源发起访问后的访问行为写入到所述时间窗中之前，进一步包括：
S1：将所述流量源发来的第一信息和针对所述第一信息返回给所述流量源的第二信息作为所述流量源的访问行为，执行S2；
S2：确定预存数据中是否存在针对所述流量源且被标记的会话，其中，被标记的所述会话中最新的信息对应的第一时间点与所述流量源发起访问时对应的第二时间点之差小于或等于预设的时间阈值，如果是，执行S4，否则，执行S3；
S3：创建针对所述流量源的会话，对所述会话进行标记；
S4：将所述访问行为记录在所述会话中；
S5：在所述时间阈值内未接收到所述访问行为时，删除所述会话的标记。


4.根据权利要求1所述的基于行为的流量监测方法，其特征在于：
所述当判断出所述访问行为异常时，触发告警事件，包括：
D1：确定预先创建的告警队列中是否存在历史告警记录，如果是，执行D2，否则，执行D6；
D2：确定判断出所述访问行为异常时对应的异常时间点；
D3：确定所述告警队列中的第一个历史告警记录加入到所述告警队列时的入列时间点；
D4：确定所述异常时间点与所述入列时间点之间的时长是否大于预设的告警时长，如果是，执行D5，否则，执行D7；
D5：删除所述告警队列中的历史告警记录；
D6：触发告警事件；
D7：生成所述访问行为对应的新增告警记录，并将所述新增告警记录作为历史告警记录加入到所述告警队列中。


5.根据权利要求4所述的基于行为的流量监测方法，其特征在于：
在所述将所述新增告警记录作为历史告警记录加入到所述告警队列中之后，进一步包括：
确定所述告警队列中的历史告警记录的数量是否等于预设的告警数量；
当所述告警队列中的历史告警记录的数量等于所述告警数量时，执行D5。


6.根据权利要求1至5中任一所述的基于行为的流量监测方法，其特征在于：
所述根据所述至少一个行为要素生成所述流量源的当前行为链，包括：
确定每一个所述行为要素出现的次数；
按照时间顺序和每一个所述行为要素出现的次数，生成所述流量源的当前行为链；
所述根据所述当前行为链判断所述访问行为是否异常，包括：
当所述行为要素包括web页面时，根据下述公式，计算所述当前行为链与用于表征访问异常的异常行为链的相似值：



其中，S表征当前行为链与异常行为链的相似值，Q表征当前行为链中请求web页面的第一总数，W表征异常行为链中请求web页面的第二总数，E表征当前行为链中请求主目录不同web页面的第三总数，R表征异常行为链中请求主目录不同web页面的第四总数，T表征当前行为链中请求目录树下不同web页面的第五总数，Y表征异常行为链中请求目录树下不同web页面的第六总数，a表征请求web页面对应的第一权重值，b表征请求主目录不同web页面对应的第二权重值，...

【专利技术属性】
技术研发人员：宋贤飞，姜双林，周磊，饶志波，
申请(专利权)人：北京安帝科技有限公司，
类型：发明
国别省市：北京;11