一种通过分析大数据自动识别网络抢票及入侵的方法与流程

本发明涉及异常行为识别技术领域，尤其涉及一种通过分析大数据自动识别网络抢票及入侵的方法。

背景技术：

目前，防恶意攻击系统主要分为两种：

1、直接IP防御，为直接将恶意IP配置在防护机上，一般多用于防火墙以及WAF等设备。

2、行为防御，预先设置好规则，运行时根据用户的行为判断是否为恶意用户，从而进行拦截。这种防御系统一般会配合应用系统使用，在应用系统的关键部位埋点，进行风险判断。

发明人在研究的过程中发现，直接IP防御的技术方案，虽然简单易行，但是需要人工维护黑名单，需要投入较多运维人员实时监控，而且黑名单始终处于滞后状态，只能采取被动防御的态势。行为防御比较依赖规则的指定，需要维护庞大复杂的规则库，而且行为防御系统必须和应用系统配合使用，对于应用系统有一定入侵。并且由于行为防御系统的防御特点，使得其必须在应用层采取防御措施，会使得应用层面对较大压力，承担很多恶意用户的访问以及攻击。

技术实现要素：

为了解决上述技术问题，本发明提供了一种通过分析大数据自动识别网络抢票及入侵的方法，可以针对Web服务器的访问日志、行为防御日志、其它风险数据源进行分析，产生黑名单，并将黑名单推送到Web服务器、防火墙等各层防护设备。

为达到上述目的，本发明提供了一种通过分析大数据自动识别网络抢票及入侵的方法，包括：

外部服务器通过防火墙发起访问Nginx服务器请求，Nginx服务器将请求调度到应用服务器；

应用服务器在执行业务操作时，调用行为防御服务器，进行行为防御。

进一步的，所述Nginx服务器将请求调度到应用服务器，包括：

Nginx将外部服务器通过防火墙发起访问Nginx服务器请求的访问日志发送到数据分析服务器，应用服务器将行为防御日志发送到ES服务器，最后转送到数据分析服务器，分析服务器对收到的日志中的风险数据源的数据进行分析，根据数据分析的结果，生成黑名单。

进一步的，所述分析服务器对收到的日志中的风险数据源的数据进行分析，根据数据分析的结果，生成黑名单，包括：

针对数据的实时流式分析、离线分析以及利用机器学习原理针对数据进行预测式分析。

进一步的，还包括，产生的黑名单以广播的形式推送到不同防护设备。

进一步的，所述应用服务器在执行业务操作时，调用行为防御服务器，进行行为防御，包括：

应用服务器将生成的黑名单推送到Nginx服务器以及防火墙服务器，使其根据黑名单进行防御。

本发明通过外部服务器通过防火墙发起访问Nginx服务器请求，Nginx服务器将请求调度到应用服务器；应用服务器在执行业务操作时，调用行为防御服务器，进行行为防御，通过分析前端Web服务器的访问日志以及应用层行为防御系统的处理日志，综合生成IP、用户以及其它维度的黑名单，推送到前端Web服务器甚至WAF、防火墙等不同层次的网络入口，来对恶意用户以及恶意攻击进行有效防护。

附图说明

图1为本发明提供的一种通过分析大数据自动识别网络抢票及入侵的方法的实施例一的流程图；

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

实施例一

本发明实施例一提供了一种通过分析大数据自动识别网络抢票及入侵的方法，如图1所示，包括：步骤S110和S120。

在步骤S110中，外部服务器通过防火墙发起访问Nginx服务器请求，Nginx服务器将请求调度到应用服务器。

在步骤S120中，应用服务器在执行业务操作时，调用行为防御服务器，进行行为防御。

进一步的，所述Nginx服务器将请求调度到应用服务器，包括：

Nginx将外部服务器通过防火墙发起访问Nginx服务器请求的访问日志发送到数据分析服务器，应用服务器将行为防御日志发送到ES服务器，最后转送到数据分析服务器，分析服务器对收到的日志中的风险数据源的数据进行分析，根据数据分析的结果，生成黑名单。

进一步的，所述分析服务器对收到的日志中的风险数据源的数据进行分析，根据数据分析的结果，生成黑名单，包括：

针对数据的实时流式分析、离线分析以及利用机器学习原理针对数据进行预测式分析。

进一步的，还包括，产生的黑名单以广播的形式推送到不同防护设备。可以外接其它风险数据源的数据进行综合分析，根据数据分析的结果，生成黑名单，并将黑名单推送到Nginx服务器以及防火墙服务器，使其可以根据黑名单进行防御。其中数据分析服务器中，部署了数据分析模块，包括针对数据的实时流式分析、离线分析以及利用机器学习原理针对数据进行预测式分析。

具体包括：针对Web服务器的访问日志、行为防御日志、其它风险数据源进行实时分析，产生黑名单。

针对Web服务器的访问日志、行为防御日志、其它风险数据源进行离线分析，产生黑名单。

针对Web服务器的访问日志、行为防御日志、其它风险数据源进行预测式分析，产生黑名单。

将黑名单推送到Web服务器、防火墙等各层防护设备。

进一步的，所述应用服务器在执行业务操作时，调用行为防御服务器，进行行为防御，包括：

应用服务器将生成的黑名单推送到Nginx服务器以及防火墙服务器，使其根据黑名单进行防御。

本发明具有以下优点：

利用访问日志进行实时分析，动态维护黑名单；利用大数据的机器学习功能，对访问用户进行预测式分析，进行主动防御；针对行为防御日志的分析，动态维护黑名单，充分利用外部行为防御系统积累的防护经验；产生的黑名单以广播的形式推送到不同防护设备，使得不同级别的防护设备同时得到防护加强；利用不断累积的数据，不断调整数据分析方法，使得系统具备自我学习能力。

传统的防御体系为直接IP防御+行为防御，在抢票时，会在短时间内涌入大量的访问请求，直接IP防御无法及时有效的调整防御策略；而行为防御虽然可以起到一定效果，可是会让应用服务器面对防御的大部分压力，使得正常业务收到影响。

而基于本发明的防御方法，可以让系统根据访问特点以及行为防御提供的结果，快速调整直接IP防御的策略，大大提高了系统的灵活应变能力同时减轻了应用服务器的负担，保证了正常业务的运转。

本发明通过外部服务器通过防火墙发起访问Nginx服务器请求，Nginx服务器将请求调度到应用服务器；应用服务器在执行业务操作时，调用行为防御服务器，进行行为防御的技术方案，利用访问日志进行实时分析，动态维护黑名单，利用大数据的机器学习功能，对访问用户进行预测式分析，进行主动防御，针对行为防御日志的分析，动态维护黑名单，充分利用外部行为防御系统积累的防护经验，产生的黑名单以广播的形式推送到不同防护设备，使得不同级别的防护设备同时得到防护加强，利用不断累积的数据，不断调整数据分析方法，使得系统具备自我学习能力。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明所必须的。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置，可通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

需要指出，根据实施的需要，可将本申请中描述的各个步骤/部件拆分为更多步骤/部件，也可将两个或多个步骤/部件或者步骤/部件的部分操作组合成新的步骤/部件，以实现本发明的目的。

上述根据本发明的方法可在硬件、固件中实现，或者被实现为可存储在记录介质(诸如CD ROM、RAM、软盘、硬盘或磁光盘)中的软件或计算机代码，或者被实现通过网络下载的原始存储在远程记录介质或非暂时机器可读介质中并将被存储在本地记录介质中的计算机代码，从而在此描述的方法可被存储在使用通用计算机、专用处理器或者可编程或专用硬件(诸如ASIC或FPGA)的记录介质上的这样的软件处理。可以理解，计算机、处理器、微处理器控制器或可编程硬件包括可存储或接收软件或计算机代码的存储组件(例如，RAM、ROM、闪存等)，当所述软件或计算机代码被计算机、处理器或硬件访问且执行时，实现在此描述的处理方法。此外，当通用计算机访问用于实现在此示出的处理的代码时，代码的执行将通用计算机转换为用于执行在此示出的处理的专用计算机。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。