分布式交易限流方法、装置、设备及存储介质与流程

1.本发明涉及计算机安全技术领域，尤其涉及一种分布式交易限流方法、装置、设备及存储介质。


背景技术：

2.随着现代金融平台的快速发展，用户对金融平台网络服务能力的要求也日益提高。由于受到网络带宽、网络设施等因素的限制，目前可以通过分布式网络来提高金融平台网络服务的效率，典型的分布式网络可实现用户就近访问金融平台内容，极大地提高了金融平台交易效率。
3.但是，拒绝服务(denial of service，dos)攻击是一种使合法用户无法得到正常服务响应的攻击形式，攻击者一般利用大量非法攻击报文侵占过多的服务资源从而达到攻击的目的分布式拒绝服务(distributed denial of service，ddos)攻击的威力更强，攻击者利用大量的傀儡主机来完成更大规模的拒绝服务攻击。由于现成的攻击工具在网络上肆意泛滥，发起这种攻击越来越容易，而且最近几年肆虐的网络蠕虫病毒也对ddos攻击的发展起到推波助澜的作用，目前，ddos攻击已经成为金融平台交易网络中最具威胁性和破坏性的攻击形式，使金融平台存在极大的交易风险。
4.上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。


技术实现要素：

5.本发明的主要目的在于提供一种分布式交易限流方法、装置、设备及存储介质，旨在解决现有分布式拒绝服务攻击造成金融平台交易网络存在极大的交易风险的技术问题。
6.为实现上述目的，本发明提供了一种分布式交易限流方法，所述方法包括以下步骤：
7.在接收到用户的交易请求数据包时，根据所述交易请求数据包获取用户的交易行为统计参数；
8.判断所述交易行为统计参数是否符合预设交易行为参数；
9.在所述交易行为统计参数不符合所述预设交易行为参数时，生成防御请求并将所述防御请求发送至防御请求服务器，以使所述防御请求服务器通过所述防御请求和预设限流决策确定限流节点；
10.接收所述防御请求服务器反馈的限流节点，根据所述限流节点控制用户交易流量。
11.可选地，所述判断所述交易行为统计参数是否符合预设交易行为参数的步骤，包括：
12.根据所述预设交易行为参数获取预测正常行为流量值，根据所述交易行为统计参数获取当前交易行为流量值；
13.将所述预测正常行为流量值与所述当前交易行为流量值进行对比，以获得交易流量新息序列；
14.对所述交易流量新息序列进行分析，并根据所述分析结果判断所述交易行为统计参数是否符合预设交易行为参数。
15.可选地，对所述交易流量新息序列进行分析，并根据所述分析结果判断所述交易行为统计参数是否符合预设交易行为参数的步骤，包括：
16.根据所述交易流量新息序列确定对应的统计特征；
17.基于预设多变量序贯分析算法对所述统计特征进行分析，以获得样本统计量；
18.根据预设相关性检验算法对所述样本统计量进行相关性分析，以获得相关性分析结果；
19.根据所述相关性分析结果判断所述交易行为统计参数是否符合预设交易行为参数。
20.可选地，所述根据所述交易请求数据包获取用户的交易行为统计参数的步骤，包括：
21.根据所述交易请求数据包获取数据包报头以及时序信息；
22.获取所述数据包报头和所述时序信息的特征信息，并根据所述特征信息生成当前交易行为流量值；
23.根据所述当前交易行为流量值生成用户的交易行为统计参数。
24.可选地，所述判断所述交易行为统计参数是否符合预设交易行为参数的步骤之前，还包括：
25.构建交易正常流量模型；
26.基于预设时间序列分析算法通过所述交易正常流量模型获取预测正常行为流量值；
27.根据所述预测正常行为流量值生成预设交易行为参数。
28.可选地，所述生成防御请求并将所述防御请求发送至防御请求服务器，以使所述防御请求服务器通过所述防御请求和预设限流决策确定限流节点的步骤，包括：
29.生成防御请求并将所述防御请求发送至防御请求服务器，以使所述防御请求服务器通过所述防御请求以及预设攻击源追踪策略构建流量树，根据所述流量树确定目标攻击子树，根据预设限流决策通过所述目标攻击子树确定限流节点。
30.可选地，所述接收所述防御请求服务器反馈的限流节点，根据所述限流节点控制用户交易流量的步骤，包括：
31.接收所述防御请求服务器反馈的限流节点，并确定所述限流节点对应的叶子节点信息；
32.根据所述叶子节点信息确定限流节点对应的限流额度，并根据所述预设限流决策确定预设丢包概率；
33.根据所述限流额度和所述预设丢包概率控制用户交易流量。
34.此外，为实现上述目的，本发明还提出一种分布式交易限流装置，所述分布式交易限流装置包括：
35.获取模块，用于在接收到用户的交易请求数据包时，根据所述交易请求数据包获
取用户的交易行为统计参数；
36.判断模块，用于判断所述交易行为统计参数是否符合预设交易行为参数；
37.决策模块，用于在所述交易行为统计参数不符合所述预设交易行为参数时，生成防御请求并将所述防御请求发送至防御请求服务器，以使所述防御请求服务器通过所述防御请求和预设限流决策确定限流节点；
38.控制模块，用于接收所述防御请求服务器反馈的限流节点，根据所述限流节点控制用户交易流量。
39.此外，为实现上述目的，本发明还提出一种分布式交易限流设备，其特征在于，所述分布式交易限流设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的分布式交易限流程序，所述分布式交易限流程序配置为实现如上文所述的分布式交易限流方法的步骤。
40.此外，为实现上述目的，本发明还提出一种存储介质，其特征在于，所述存储介质上存储有分布式交易限流程序，所述分布式交易限流程序被处理器执行时实现如上文所述的分布式交易限流方法的步骤。
41.本发明通过在接收到用户的交易请求数据包时，根据所述交易请求数据包获取用户的交易行为统计参数；判断所述交易行为统计参数是否符合预设交易行为参数；在所述交易行为统计参数不符合所述预设交易行为参数时，生成防御请求并将所述防御请求发送至防御请求服务器，以使所述防御请求服务器通过所述防御请求和预设限流决策确定限流节点；接收所述防御请求服务器反馈的限流节点，根据所述限流节点控制用户交易流量。本发明中，采用流量限速技术控制用户在金融平台的交易流量，保证金融平台有限的网络资源不被攻击流消耗殆尽，将流量控制在受限资源的承受能力范围内，上述分布式交易限流方法可以有效地抵御ddos攻击，解决了现有分布式拒绝服务攻击造成金融平台交易网络存在极大的交易风险的技术问题。
附图说明
42.图1是本发明实施例方案涉及的硬件运行环境的分布式交易限流设备的结构示意图；
43.图2为本发明分布式交易限流方法第一实施例的流程示意图；
44.图3为本发明分布式交易限流方法第二实施例的流程示意图；
45.图4为本发明分布式交易限流方法第三实施例的流程示意图；
46.图5为本发明分布式交易限流装置第一实施例的结构框图。
47.本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
48.应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。
49.参照图1，图1为本发明实施例方案涉及的硬件运行环境的分布式交易限流设备结构示意图。
50.如图1所示，该分布式交易限流设备可以包括：处理器1001，例如中央处理器(central processing unit，cpu)，通信总线1002、用户接口1003，网络接口1004，存储器
1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(display)、输入单元比如键盘(keyboard)，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(wireless
‑
fidelity，wi
‑
fi)接口)。存储器1005可以是高速的随机存取存储器(random access memory，ram)存储器，也可以是稳定的非易失性存储器(non
‑
volatile memory，nvm)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
51.本领域技术人员可以理解，图1中示出的结构并不构成对分布式交易限流设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。
52.如图1所示，作为一种存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及分布式交易限流程序。
53.在图1所示的分布式交易限流设备中，网络接口1004主要用于与网络服务器进行数据通信；用户接口1003主要用于与用户进行数据交互；本发明分布式交易限流设备中的处理器1001、存储器1005可以设置在分布式交易限流设备中，所述分布式交易限流设备通过处理器1001调用存储器1005中存储的分布式交易限流程序，并执行本发明实施例提供的分布式交易限流方法。
54.本发明实施例提供了一种分布式交易限流方法，参照图2，图2为本发明一种分布式交易限流方法第一实施例的流程示意图。
55.本实施例中，所述分布式交易限流方法包括以下步骤：
56.步骤s10：在接收到用户的交易请求数据包时，根据所述交易请求数据包获取用户的交易行为统计参数。
57.需要说明的是，本实施例的执行主体是所述分布式交易限流设备，所述分布式交易限流设备可以是个人计算机或服务器等电子设备，本实施例对此不加以限制。在接收到用户的交易请求数据包时，根据所述交易请求数据包获取用户的交易行为统计参数，可采用多种方式实现，下面以其中两种方式为例来进行说明，当然，还可以采用至少两种方式来组合实现。此外，根据交易请求数据包获取用户的交易行为统计参数的方式还可以为根据实际情况需要采取其他方式，本实施例对此不加以限制。其中，用户的交易请求可以为用户在金融平台上进行的金融资产的登记、交易、转让、过户等操作，本实施例对具体交易操作并不加以限制。
58.具体地，其中一种根据交易请求数据包获取用户的交易行为统计参数的方式为：根据所述交易请求数据包获取数据包报头以及时序信息；获取所述数据包报头和所述时序信息的特征信息，并根据所述特征信息生成当前交易行为流量值；根据所述当前交易行为流量值生成用户的交易行为统计参数。其中，获取当前系统网络的交易请求数据包，对交易请求数据包的行为特征进行特征数据采集，获取数据包报头以及时序信息，主要关注交易请求数据包中特定参数的时间变化趋势，从中提取特定参数的时间序列得到时序信息。此外，也可以利用多个参数的时间序列的特征变化来进行检测分析，能够更大范围的检测出更多种类的流量异常。
59.具体地，另一种根据交易请求数据包获取用户的交易行为统计参数的方式为：获取当前系统网络的交易请求数据包，对交易请求数据包的行为特征进行特征数据采集，通过分析采集到的特征数据来提取网络行为统计参数，将该网络行为统计参数作为用户的交
易行为统计参数。
60.步骤s20：判断所述交易行为统计参数是否符合预设交易行为参数。
61.应当理解的是，在对用户的交易请求进行分布式交易限流之前，需要设置预设交易行为参数，设置预设交易行为参数的方式可采用多种方式实现，下面以其中一种方式为例来进行说明，当然，设置预设交易行为参数的方式还可以为根据实际情况需要采取其他方式，本实施例对此不加以限制。具体地，其中一种根据交易请求数据包获取用户的交易行为统计参数的方式为：构建交易正常流量模型；基于预设时间序列分析算法通过所述交易正常流量模型获取预测正常行为流量值；根据所述预测正常行为流量值生成预设交易行为参数。
62.易于理解的是，典型的分布式网络可实现用户就近访问金融平台内容，极大地提高了金融平台交易效率。但是，分布式网络广泛分布于金融平台通信网络中的多条链路上，对金融平台通信网络同时造成攻击影响，网络异常分布于金融平台通信网络中的多条链路上，单个从分支链路上来看，其存在的异常流量较小，不易察觉，但多条链路汇总起来，总的异常流量很大，可以对金融平台通信网络的运行造成很大的影响。本实施例中，结合分布式网络流量异常在金融平台通信网络中的特征信息，利用预设时间序列分析算法获取预测正常行为流量值，将预测正常行为流量值与当前交易行为流量值对比产生网络流量的交易流量新息序列。
63.具体地，根据所述预设交易行为参数获取预测正常行为流量值，根据所述交易行为统计参数获取当前交易行为流量值；将所述预测正常行为流量值与所述当前交易行为流量值进行对比，以获得交易流量新息序列；对所述交易流量新息序列进行分析，并根据所述分析结果判断所述交易行为统计参数是否符合预设交易行为参数。其中，可以通过序贯分析方法分析多个链路的交易流量新息序列的特征，来判断交易行为统计参数是否符合预设交易行为参数，即分析分布式网络流量异常行为是否发生，进而控制用户交易流量。
64.步骤s30：在所述交易行为统计参数不符合所述预设交易行为参数时，生成防御请求并将所述防御请求发送至防御请求服务器，以使所述防御请求服务器通过所述防御请求和预设限流决策确定限流节点。
65.需要说明的是，在判断出交易行为统计参数不符合预设交易行为参数时，分析分布式发生网络流量异常行为，需要确定限流节点，进而根据限流节点控制用户交易流量。具体地，生成防御请求并将所述防御请求发送至防御请求服务器，以使所述防御请求服务器通过所述防御请求以及预设攻击源追踪策略构建流量树，根据所述流量树确定目标攻击子树，根据预设限流决策通过所述目标攻击子树确定限流节点。其中，防御请求服务器dsp根据具体情况选择攻击源追踪(ip traceback)技术，可以重构出一以网络流量异常行为为根的流量树，并能够从流量树中分离出攻击子树，根据攻击源追踪结果可以获得最合适的限流位置即限流节点，该限流节点为流量树的叶子节点，根据攻击源追踪结果还可以可以了解到攻击流经过了哪些限流器，这样可以有针对性地选择限流节点进行限流，改善限流效果。
66.步骤s40：接收所述防御请求服务器反馈的限流节点，根据所述限流节点控制用户交易流量。
67.应当理解的是，接收所述防御请求服务器反馈的限流节点，并确定所述限流节点
对应的叶子节点信息；根据所述叶子节点信息确定限流节点对应的限流额度，并根据所述预设限流决策确定预设丢包概率；根据所述限流额度和所述预设丢包概率控制用户交易流量。其中，叶子节点信息为每个叶子节点的基本信息，基本信息可以包括如节点ip地址、节点状态(是否正在限流、限流额度、限流时限、是否有攻击流经过)以及从该节点采集到的流量信息等，叶子节点信息是控制用户交易流量的重要依据，叶子节点信息也可以保存预设限流决策得出的限流结果。
68.本实施例通过在接收到用户的交易请求数据包时，根据所述交易请求数据包获取用户的交易行为统计参数；判断所述交易行为统计参数是否符合预设交易行为参数；在所述交易行为统计参数不符合所述预设交易行为参数时，生成防御请求并将所述防御请求发送至防御请求服务器，以使所述防御请求服务器通过所述防御请求和预设限流决策确定限流节点；接收所述防御请求服务器反馈的限流节点，根据所述限流节点控制用户交易流量。本实施例中，采用流量限速技术控制用户在金融平台的交易流量，保证金融平台有限的网络资源不被攻击流消耗殆尽，将流量控制在受限资源的承受能力范围内，上述分布式交易限流方法可以有效地抵御ddos攻击，解决了现有分布式拒绝服务攻击造成金融平台交易网络存在极大的交易风险的技术问题。
69.参考图3，图3为本发明一种分布式交易限流方法第二实施例的流程示意图。基于上述第一实施例，本实施例分布式交易限流方法在所述步骤s20，具体包括：
70.步骤s201：根据所述预设交易行为参数获取预测正常行为流量值，根据所述交易行为统计参数获取当前交易行为流量值。
71.需要说明的是，在对用户的交易请求进行分布式交易限流之前，需要设置预设交易行为参数，设置预设交易行为参数的方式可以为：构建交易正常流量模型；基于预设时间序列分析算法通过所述交易正常流量模型获取预测正常行为流量值；根据所述预测正常行为流量值生成预设交易行为参数。可以根据所述预设交易行为参数获取预测正常行为流量值。
72.易于理解的是，根据所述交易请求数据包获取数据包报头以及时序信息；获取所述数据包报头和所述时序信息的特征信息，并根据所述特征信息生成当前交易行为流量值；根据所述当前交易行为流量值生成用户的交易行为统计参数。可以根据所述交易行为统计参数获取当前交易行为流量值。
73.步骤s202：将所述预测正常行为流量值与所述当前交易行为流量值进行对比，以获得交易流量新息序列。
74.应当理解的是，将预测正常行为流量值与当前交易行为流量值对比产生网络流量的预测新息序列，该网络流量的预测新息序列为交易流量新息序列。本实施例中，结合分布式网络流量异常在金融平台通信网络中的特征信息，利用预设时间序列分析算法获取预测正常行为流量值，将预测正常行为流量值与当前交易行为流量值对比产生网络流量的交易流量新息序列。其中，可以通过序贯分析方法分析多个链路的交易流量新息序列的特征，来判断交易行为统计参数是否符合预设交易行为参数，即分析分布式网络流量异常行为是否发生，进而控制用户交易流量。
75.步骤s203：对所述交易流量新息序列进行分析，并根据所述分析结果判断所述交易行为统计参数是否符合预设交易行为参数。
76.需要说明的是，对所述交易流量新息序列进行分析，根据所述分析结果判断所述交易行为统计参数是否符合预设交易行为参数的过程可以为：根据所述交易流量新息序列确定对应的统计特征；基于预设多变量序贯分析算法对所述统计特征进行分析，以获得样本统计量；根据预设相关性检验算法对所述样本统计量进行相关性分析，以获得相关性分析结果；根据所述相关性分析结果判断所述交易行为统计参数是否符合预设交易行为参数。其中，基于预设序贯分析方法分析多个链路对应的交易流量新息序列的统计特征，构造对数概率似然比判决函数得到样本统计量。利用分布式网络异常在多个链路上表现特征具有相似性的特征，基于预设相关性检验算法通过对多个链路对应的样本统计量的突变值进行相关性分析，来分析分布式网络流量异常行为是否发生，可以判断出所述交易行为统计参数是否符合预设交易行为参数。
77.易于理解的是，可以通过预设多序贯分析算法来构建网络异常行为序列，可以避免对网络中的具体精细成分进行分析，而是提取网络链路中的异常空间特征进行分析，使流量检测更为简便。通过对网络中同一节点上不同链路中的交易流量新息序列分别进行序贯分析，可以得出对数概率似然比统计量即得到样本统计量。利用序贯概率比检验中的最大似然比值的突变值这个分析变量来反映交易流量新息序列的特征信息，通过分析两个不同链路中最大似然比突变值的相关性特征来间接的分析交易行为统计参数中是否存在分布式异常。
78.本实施例通过根据所述预设交易行为参数获取预测正常行为流量值，根据所述交易行为统计参数获取当前交易行为流量值；将所述预测正常行为流量值与所述当前交易行为流量值进行对比，以获得交易流量新息序列；对所述交易流量新息序列进行分析，并根据所述分析结果判断所述交易行为统计参数是否符合预设交易行为参数。本实施例中，采用流量限速技术控制用户在金融平台的交易流量，保证金融平台有限的网络资源不被攻击流消耗殆尽，将流量控制在受限资源的承受能力范围内，上述分布式交易限流方法可以有效地抵御ddos攻击，解决了现有分布式拒绝服务攻击造成金融平台交易网络存在极大的交易风险的技术问题。
79.参考图4，图4为本发明一种分布式交易限流方法第三实施例的流程示意图。基于上述第一实施例，本实施例分布式交易限流方法在所述步骤s40，具体包括：
80.步骤s401：接收所述防御请求服务器反馈的限流节点，并确定所述限流节点对应的叶子节点信息。
81.需要说明的是，防御请求服务器dsp根据具体情况选择攻击源追踪(ip traceback)技术，可以重构出一以网络流量异常行为为根的流量树，并能够从流量树中分离出攻击子树，根据攻击源追踪结果可以获得最合适的限流位置即限流节点，该限流节点为流量树的叶子节点，根据攻击源追踪结果还可以可以了解到攻击流经过了哪些限流器，这样可以有针对性地选择限流节点进行限流，改善限流效果。
82.具体地，接收所述防御请求服务器反馈的限流节点，并确定所述限流节点对应的叶子节点信息；其中，叶子节点信息为每个叶子节点的基本信息，基本信息可以包括如节点ip地址、节点状态(是否正在限流、限流额度、限流时限、是否有攻击流经过)以及从该节点采集到的流量信息等，叶子节点信息是控制用户交易流量的重要依据，叶子节点信息也可以保存预设限流决策得出的限流结果。
83.步骤s402：根据所述叶子节点信息确定限流节点对应的限流额度，并根据所述预设限流决策确定预设丢包概率。
84.应当理解的是，根据所述叶子节点信息确定限流节点对应的限流额度，具体限流方法可以有多种，本实施例采用随机丢包的方式，根据所述预设限流决策确定预设丢包概率。
85.易于理解的是，根据攻击源追踪结果，可以确定攻击流都经过了哪些限流器，如果只有合法流经过该限流器，防御请求服务器dsp可以将资源优先分配给该限流器，在将资源优先分配给那些只有合法流经过的限流器后可以将剩下的资源按照最大最小准则公平地分配给那些已被攻击流污染的限流器其中，污染并不代表只有攻击流通过，也可能有合法流混杂其中，预设限流决策能有效地保护合法流。
86.步骤s403：根据所述限流额度和所述预设丢包概率控制用户交易流量。
87.需要说明的是，为了防止伪造的限流请求，在接到限流请求后首先验证合法性，然后进行限流操作，具体限流方法可以有多种，本实施例采用随机丢包的方式，根据所述限流额度和所述预设丢包概率控制用户交易流量，预设丢包概率p可以由p＝(0，1
‑
limit/rate)确定，其中，limit是指该限流节点的限流额度，rate是指防御请求服务器反馈的限流节点的当前流量大小，如果limit大于等于rate，则丢包概率为0，即不必限流，根据所述限流节点的本身的限流额度控制用户交易流量，通过随机丢包的方式限流节点能将用户交易流量的大小控制在一定范围内。
88.易于理解的是，预设限流决策需要定期更新以适应环境的动态变化，否则就会在限流中造成偏差，预设限流决策更新过程：按照决策算法重新计算限流额度，并根据决策结果下达新的限流命令，限流命令可以包括调整限流额度以及激活新的限流节点等。
89.本实施例通过接收所述防御请求服务器反馈的限流节点，并确定所述限流节点对应的叶子节点信息；根据所述叶子节点信息确定限流节点对应的限流额度，并根据所述预设限流决策确定预设丢包概率；根据所述限流额度和所述预设丢包概率控制用户交易流量。本实施例中，采用流量限速技术控制用户在金融平台的交易流量，保证金融平台有限的网络资源不被攻击流消耗殆尽，将流量控制在受限资源的承受能力范围内，上述分布式交易限流方法可以有效地抵御ddos攻击，解决了现有分布式拒绝服务攻击造成金融平台交易网络存在极大的交易风险的技术问题。
90.此外，本发明实施例还提出一种存储介质，所述存储介质上存储有分布式交易限流程序，所述分布式交易限流程序被处理器执行如上文所述的分布式交易限流方法的步骤。
91.由于本存储介质采用了上述所有实施例的全部技术方案，因此至少具有上述实施例的技术方案所带来的所有有益效果，在此不再一一赘述。
92.参照图5，图5为本发明分布式交易限流装置第一实施例的结构框图。
93.如图5所示，本发明实施例中所述分布式交易限流装置包括：
94.获取模块10，用于在接收到用户的交易请求数据包时，根据所述交易请求数据包获取用户的交易行为统计参数。
95.需要说明的是，在接收到用户的交易请求数据包时，根据所述交易请求数据包获取用户的交易行为统计参数，可采用多种方式实现，下面以其中两种方式为例来进行说明，
当然，还可以采用至少两种方式来组合实现。此外，根据交易请求数据包获取用户的交易行为统计参数的方式还可以为根据实际情况需要采取其他方式，本实施例对此不加以限制。其中，用户的交易请求可以为用户在金融平台上进行的金融资产的登记、交易、转让、过户等操作，本实施例对具体交易操作并不加以限制。
96.具体地，其中一种根据交易请求数据包获取用户的交易行为统计参数的方式为：根据所述交易请求数据包获取数据包报头以及时序信息；获取所述数据包报头和所述时序信息的特征信息，并根据所述特征信息生成当前交易行为流量值；根据所述当前交易行为流量值生成用户的交易行为统计参数。其中，获取当前系统网络的交易请求数据包，对交易请求数据包的行为特征进行特征数据采集，获取数据包报头以及时序信息，主要关注交易请求数据包中特定参数的时间变化趋势，从中提取特定参数的时间序列得到时序信息。此外，也可以利用多个参数的时间序列的特征变化来进行检测分析，能够更大范围的检测出更多种类的流量异常。
97.具体地，另一种根据交易请求数据包获取用户的交易行为统计参数的方式为：获取当前系统网络的交易请求数据包，对交易请求数据包的行为特征进行特征数据采集，通过分析采集到的特征数据来提取网络行为统计参数，将该网络行为统计参数作为用户的交易行为统计参数。
98.判断模块20，用于判断所述交易行为统计参数是否符合预设交易行为参数。
99.应当理解的是，在对用户的交易请求进行分布式交易限流之前，需要设置预设交易行为参数，设置预设交易行为参数的方式可采用多种方式实现，下面以其中一种方式为例来进行说明，当然，设置预设交易行为参数的方式还可以为根据实际情况需要采取其他方式，本实施例对此不加以限制。具体地，其中一种根据交易请求数据包获取用户的交易行为统计参数的方式为：构建交易正常流量模型；基于预设时间序列分析算法通过所述交易正常流量模型获取预测正常行为流量值；根据所述预测正常行为流量值生成预设交易行为参数。
100.易于理解的是，典型的分布式网络可实现用户就近访问金融平台内容，极大地提高了金融平台交易效率。但是，分布式网络广泛分布于金融平台通信网络中的多条链路上，对金融平台通信网络同时造成攻击影响，网络异常分布于金融平台通信网络中的多条链路上，单个从分支链路上来看，其存在的异常流量较小，不易察觉，但多条链路汇总起来，总的异常流量很大，可以对金融平台通信网络的运行造成很大的影响。本实施例中，结合分布式网络流量异常在金融平台通信网络中的特征信息，利用预设时间序列分析算法获取预测正常行为流量值，将预测正常行为流量值与当前交易行为流量值对比产生网络流量的交易流量新息序列。
101.具体地，根据所述预设交易行为参数获取预测正常行为流量值，根据所述交易行为统计参数获取当前交易行为流量值；将所述预测正常行为流量值与所述当前交易行为流量值进行对比，以获得交易流量新息序列；对所述交易流量新息序列进行分析，并根据所述分析结果判断所述交易行为统计参数是否符合预设交易行为参数。其中，可以通过序贯分析方法分析多个链路的交易流量新息序列的特征，来判断交易行为统计参数是否符合预设交易行为参数，即分析分布式网络流量异常行为是否发生，进而控制用户交易流量。
102.决策模块30，用于在所述交易行为统计参数不符合所述预设交易行为参数时，生
成防御请求并将所述防御请求发送至防御请求服务器，以使所述防御请求服务器通过所述防御请求和预设限流决策确定限流节点。
103.需要说明的是，在判断出交易行为统计参数不符合预设交易行为参数时，分析分布式发生网络流量异常行为，需要确定限流节点，进而根据限流节点控制用户交易流量。具体地，生成防御请求并将所述防御请求发送至防御请求服务器，以使所述防御请求服务器通过所述防御请求以及预设攻击源追踪策略构建流量树，根据所述流量树确定目标攻击子树，根据预设限流决策通过所述目标攻击子树确定限流节点。其中，防御请求服务器dsp根据具体情况选择攻击源追踪(ip traceback)技术，可以重构出一以网络流量异常行为为根的流量树，并能够从流量树中分离出攻击子树，根据攻击源追踪结果可以获得最合适的限流位置即限流节点，该限流节点为流量树的叶子节点，根据攻击源追踪结果还可以可以了解到攻击流经过了哪些限流器，这样可以有针对性地选择限流节点进行限流，改善限流效果。
104.控制模块40，用于接收所述防御请求服务器反馈的限流节点，根据所述限流节点控制用户交易流量。
105.应当理解的是，接收所述防御请求服务器反馈的限流节点，并确定所述限流节点对应的叶子节点信息；根据所述叶子节点信息确定限流节点对应的限流额度，并根据所述预设限流决策确定预设丢包概率；根据所述限流额度和所述预设丢包概率控制用户交易流量。其中，叶子节点信息为每个叶子节点的基本信息，基本信息可以包括如节点ip地址、节点状态(是否正在限流、限流额度、限流时限、是否有攻击流经过)以及从该节点采集到的流量信息等，叶子节点信息是控制用户交易流量的重要依据，叶子节点信息也可以保存预设限流决策得出的限流结果。
106.本实施例中所述分布式交易限流装置包括获取模块10，用于在接收到用户的交易请求数据包时，根据所述交易请求数据包获取用户的交易行为统计参数；判断模块20，用于判断所述交易行为统计参数是否符合预设交易行为参数；决策模块30，用于在所述交易行为统计参数不符合所述预设交易行为参数时，生成防御请求并将所述防御请求发送至防御请求服务器，以使所述防御请求服务器通过所述防御请求和预设限流决策确定限流节点；控制模块40，用于接收所述防御请求服务器反馈的限流节点，根据所述限流节点控制用户交易流量。
107.在一实施例中，所述判断模块20，还用于根据所述预设交易行为参数获取预测正常行为流量值，根据所述交易行为统计参数获取当前交易行为流量值；
108.将所述预测正常行为流量值与所述当前交易行为流量值进行对比，以获得交易流量新息序列；
109.对所述交易流量新息序列进行分析，并根据所述分析结果判断所述交易行为统计参数是否符合预设交易行为参数。
110.在一实施例中，所述判断模块20，还用于根据所述交易流量新息序列确定对应的统计特征；
111.基于预设多变量序贯分析算法对所述统计特征进行分析，以获得样本统计量；
112.根据预设相关性检验算法对所述样本统计量进行相关性分析，以获得相关性分析结果；
113.根据所述相关性分析结果判断所述交易行为统计参数是否符合预设交易行为参数。
114.在一实施例中，所述获取模块10，还用于根据所述交易请求数据包获取数据包报头以及时序信息；
115.获取所述数据包报头和所述时序信息的特征信息，并根据所述特征信息生成当前交易行为流量值；
116.根据所述当前交易行为流量值生成用户的交易行为统计参数。
117.在一实施例中，所述获取模块10，还用于构建交易正常流量模型；
118.基于预设时间序列分析算法通过所述交易正常流量模型获取预测正常行为流量值；
119.根据所述预测正常行为流量值生成预设交易行为参数。
120.在一实施例中，所述决策模块30，还用于生成防御请求并将所述防御请求发送至防御请求服务器，以使所述防御请求服务器通过所述防御请求以及预设攻击源追踪策略构建流量树，根据所述流量树确定目标攻击子树，根据预设限流决策通过所述目标攻击子树确定限流节点。
121.在一实施例中，所述控制模块40，还用于接收所述防御请求服务器反馈的限流节点，并确定所述限流节点对应的叶子节点信息；
122.根据所述叶子节点信息确定限流节点对应的限流额度，并根据所述预设限流决策确定预设丢包概率；
123.根据所述限流额度和所述预设丢包概率控制用户交易流量。
124.本发明所述分布式交易限流装置的其他实施例或具体实现方式可参照上述各分布式交易限流方法实施例，此处不再赘述。
125.应当理解的是，以上仅为举例说明，对本发明的技术方案并不构成任何限定，在具体应用中，本领域的技术人员可以根据需要进行设置，本发明对此不做限制。
126.需要说明的是，以上所描述的工作流程仅仅是示意性的，并不对本发明的保护范围构成限定，在实际应用中，本领域的技术人员可以根据实际的需要选择其中的部分或者全部来实现本实施例方案的目的，此处不做限制。
127.另外，未在本实施例中详尽描述的技术细节，可参见本发明任意实施例所提供的分布式交易限流方法，此处不再赘述。
128.此外，需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
129.上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
130.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质
(如只读存储器(read only memory，rom)/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。
131.以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。