CN110750784A - 一种自动售卖设备的安全防控方法及*** - Google Patents
一种自动售卖设备的安全防控方法及*** Download PDFInfo
- Publication number
- CN110750784A CN110750784A CN201910904807.0A CN201910904807A CN110750784A CN 110750784 A CN110750784 A CN 110750784A CN 201910904807 A CN201910904807 A CN 201910904807A CN 110750784 A CN110750784 A CN 110750784A
- Authority
- CN
- China
- Prior art keywords
- alarm
- processing
- automatic vending
- vending equipment
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)
Abstract
本发明公开了一种自动售卖设备的安全防控方法及***,服务器主动监控在网自动售卖设备的多维度运行指标数值;通过安全模型逐个判别各个自动售卖设备的健康状态;根据超出正常工作区间的告警项生成该自动售卖设备的告警信息;并根据历史上该告警的处理策略自动处理,对于未知告警信息,则通知人工干预的方式进行处理,该人工处理的方式可自动成为下一次该类告警信息处理策略的自动处理选项。对于已知的攻击类型可实现自动化处理,对于新类型的外部攻击行为也可实现紧急的限制措施,将该攻击行为的影响限制在小范围,随着其运营时间的增加,其自动应对各种外部攻击行为的能力在不断的增强,大大降低了自动售卖设备运营风险。
Description
技术领域
本发明涉及自动售卖设备技术领域,尤其涉及一种自动售卖设备的安全防控方法及***。
背景技术
自动售卖设备(也可称为自动售货机)在新零售中得到大规模应用,现有自动售卖设备出于管理和维护的需要,其都具有联网能力,其都可通过远程服务器进行远程监控,同时也可以主动向远程服务器发送相关业务、设备数据或请求服务。因此在运行过程中自动售卖设备经常需要登录服务器,建立连接。任意一个自动售卖设备终端都可能成为恶意攻击的一个入口点,同时任意一个自动售卖设备终端也可能由于其本身设备出现异常造成对服务器终端的异常范围。由于一个服务器下管理的自动售卖设备终端的数量可能非常庞大,入服务器受到攻击或者某个设备异常可能带来对服务器安全的破坏,或造成其它设备终端无法正常工作的问题。特别是个别自动售卖设备基于异常或被恶意劫持等原因登录到服务器进行长连接恶意操作的问题,一般的处理方案只是在登录时采用账户和密码方式进行售货机合法性验证,或者采用通讯协议层采用加密的方法进行自动售卖设备合法性验证,这两种手段可以单独或者组合使用,来实现加强自动售卖设备合法性验证要求,这两种方式都是服务器被动进行合法性验证的,如果不法设备模拟某个自动售卖设备的合法性验证过程获得授权合法接入,则可能代理服务器被劫持、服务器数据被窃取、服务器***崩溃等不可预知的危害,使得整个自动售货运营无法正常经营,可能带来巨大的经济损失。
发明内容
针对以上缺陷,本发明目的在于提供一种可以主动实现对存在异常和恶意攻击的自动售卖设备的检测,并尽可能实现自动化处理,提高网络防控能力和提示维护效率。
为了实现上述目的,本发明一方面提供了一种自动售卖设备的安全防控方法,包括如下步骤:
服务器定期采集在网的自动售卖设备多维度运行指标数值;
服务器根据采集到的多维度运行指标数值,进行统计汇总生成可用于判断自动售卖设备健康状态的多维度运行指标;
服务器定期通过安全模型逐个判别各个自动售卖设备的健康状态;当判别到自动售卖设备的多维度运行指标存在超出正常工作区间的指标时,触发告警处理下一步;如果自动售卖设备不存在超出正常工作区间则返回继续执行第一步;
根据超出正常工作区间的告警项生成该自动售卖设备的告警信息,返回继续执行第一步。
所述的自动售卖设备的安全防控方法,根据超出正常工作区间的告警项生成该自动售卖设备的告警信息后还增加如下操作:根据告警信息检索告警信息数据库,检索当前告警信息数据库中已存在该类告警项的处理策略,如果已经存在则直接根据该告警项对应的处理策略执行处理程序;如果不存在,则将该告警信息发送给***预设的一个或以上的人工处理终端,请求人工处理,并记录该人工处理的过程,并将该处理过程作为该类告警项对应的处理策略更新到告警信息数据库中,作为下一次该类告警项的处理策略。
所述的自动售卖设备的安全防控方法,还包括:当检索告警信息数据库中不存在该类告警项的处理策略时,先执行限制该自动售卖设备访问的操作,再请求人工处理。
所述的自动售卖设备的安全防控方法,还包括修正步骤,根据告警处理的结果反馈重新调整该告警项的判断阈值和处理策略。
所述的自动售卖设备的安全防控方法,所述多维度运行指标数值包括设备维度信息、用户维度信息和\或网络维度信息。
所述的自动售卖设备的安全防控方法,所述设备维度信息、用户维度信息和网络维度信息都还进一步地包含多个子维度信息,每个子维度信息单独设有健康判断阈值,每个子维度信息单独单独提示自动售卖设备的健康状态。
所述的自动售卖设备的安全防控方法,告警信息数据库的初始数据根据历史运营记录和理论分析综合确定各个维度指标的健康判断阈值和处理策略;在运营过程中通过根据处理结果的反馈不断调整或修正判断阈值和处理策略。
所述的自动售卖设备的安全防控方法,还包括自动阈值推荐操作,自动阈值推荐操作自动统计所有的在网自动售卖设备的个维度信息,根据大数据统计评估各个维度信息的评估和自动调整当前健康判断阈值
另一方面提供了一种自动售卖设备的安全防控***,包括:
统计模块:用于实现通过对接收到的数据进行统计汇总生成可用于判断自动售卖设备健康状态的多维度运行指标;
分析模块:用于实现通过安全模型逐个判别各个自动售卖设备的多维度运行指标;当判别到自动售卖设备的多维度运行指标存在超出正常工作区间的指标时,触发告警处理程序;如果自动售卖设备不存在超出正常工作区间则不做处理;
处理模块:用于根据分析模块分析发现存在告警项时,根据超出正常工作区间的告警项生成该自动售卖设备的告警信息;根据告警信息检索告警信息数据库,检索当前告警信息数据库中已存在该类告警项的处理策略,如果已经存在则直接根据该告警项对应的处理策略执行处理程序;如果不存在,则将该告警信息发送给***预设的一个或以上的人工处理终端,请求人工处理,并记录该人工处理的过程,并将该处理过程作为该类告警项对应的处理策略更新到告警信息数据库中,作为下一次该类告警项的处理策略。
所述的自动售卖设备的安全防控***,还包括:修正模块:用于实现人工根据告警处理的结果反馈重新调整该告警项的判断阈值和处理策略,作为下一次该类告警项的判断阈值和处理策略选择
本发明采用主动监控方法,使得服务器可以在第一时间识别出外部攻击行为,对于已知的攻击类型可实现自动化处理,对于新类型的外部攻击行为也可实现紧急的限制措施,将该攻击行为的影响限制在小范围,随着其运营时间的增加,其自动应对各种外部攻击行为的能力在不断的增强,大大降低了自动售卖设备运营风险。采用主动监控的方式,还可以同时实现对异常自动售卖设备的识别,如自动售卖设备离线、网络延迟过高等异常。
附图说明
图1是自动售卖设备的安全防控的基本流程图;
图2是自动售卖设备的安全防控***的数据流程图;
图3是服务器实现自动售卖设备多维度运行指标采集的模块示意图;
图4是缓存队列进一步处理的流程示意图;
图5是告警信息处理流程图;
图6是一个维度数值不同的区间对应的不同处理的策略示例。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明采用服务器主动监控自动售卖设备的通讯数据,特别是其交易相关的数据,通过分析其历史交易数据来确定该设备的安全阈值,来主动监控自动售卖设备是否受到攻击,并判定受到攻击的类型,自动根据处理告警信息数据库中已有的处理措施对该攻击行为进行处理,对与新类型攻击行为,按预定的流程生成告警通知,对于用户的恶意行为第一时间采取限制其对***的访问,同时还可以继续人工干预或人工选择处理类型,并记录人工处理的结果,并将该类型的攻击行为的处理措施更新到处理告警信息数据库中,为后续该类型的攻击行为提供自动处理的经验数据。
图1是自动售卖设备的安全防控的基本流程图,自动售卖设备的安全防控方法主要包括如下步骤:
S101服务器定期采集在网的自动售卖设备多维度运行指标数值;
S102服务器根据采集到的多维度运行指标数值,进行统计汇总生成可用于判断自动售卖设备健康状态的;
S103服务器定期通过安全模型逐个判别各个自动售卖设备的健康状态;当判别到自动售卖设备的多维度运行指标存在超出正常工作区间的指标时,触发告警处理S104;如果自动售卖设备不存在超出正常工作区间则返回继续执行S101;
S104根据超出正常工作区间的告警项生成该自动售卖设备的告警信息;返回继续执行S101。
还可以根据超出正常工作区间的告警项生成该自动售卖设备的告警信息后还增加如下操作:
S105根据告警信息检索告警信息数据库,检索当前告警信息数据库中已存在该类告警项的处理策略;
S106如果已经存在则直接根据该告警项对应的处理策略执行处理程序;
S107如果不存在,则将该告警信息发送给***预设的一个或以上的人工处理终端;
S108请求人工处理;
S109并记录该人工处理的过程,并将该处理过程作为该类告警项对应的处理策略更新到告警信息数据库中,作为下一次该类告警项的处理策略。
对于根据历史告警处理策略进行当前告警处理的,同时还将处理的结果通过***预设的方式通知给到相关人员,相关人员根据处理的结果对该告警信息的判断阈值和处理策略是否需要做调整作出判断,对需要调整的可立即调整,作为该类告警信息下一次处理策略和判断策略的依据。
考虑到如果将所有的告警信息及处理结果都发送给相关维护人员,可能造成信息过大,因此还可以增加设置告警等级等基本划分或将告警再进一步地进行归类,按归类将对应的告警信息发送给相应的人员,对于无关人员可选择不发送。也根据危险等级,将高危等级的告警信息第一时间发送给相关人员,要求相关人员立即进行人工处理。
以下以具体实施例的方式详细说明具体处理方法:首先说明下多维度运行指标数值。
多维度运行指标数值主要包括设备维度信息、用户维度信息和\或网络维度信息。具体维度的划分,还可以更加其它归类方式进行划分,不要求一定要按设备维度信息、用户维度信息和网络维度信息进行划分。且随着实际的用于可能会再增加新的维度,或者每个维度的具体信息项还可能增加或减少。
1、设备维度信息
设备维度信息是指从自动售卖设备设备角度去分析售货机的各行为参数是否处于健康状态,一般是指的一个时间区间的各行为数值是否在预设健康区间范围内,可以选择以下一项或多项作为该设备维度信息:
(1)申请订单数:申请订单数是指以自动售卖设备维度统计运营过程中一个时间区间未支付的订单总数量。
(2)付款价格:付款价格是指以自动售卖设备维度统计运营过程中一个时间区间付款总数。
(3)下单总数:下单总数是指以自动售卖设备维度统计运营过程中一个时间区间正常走完流程(如:申请->支付->出货->完成)的订单总数。
(4)出货总数:出货总数是指以自动售卖设备维度统计运营过程中一个时间区间出了多少货物数。
(5)退款总数:退款总数是指以自动售卖设备维度统计运营过程中一个时间区间的订单已支付并且出货成功后退款订单总数。
(6)申请频率:申请频率是指以自动售卖设备维度统计运营过程中一个时间区的申请订单频率,计算公式为:申请频率=申请总数/时间区间隔秒数。
(7)付款频率:付款频率是指以自动售卖设备维度统计运营过程中一个时间区间中付款的频率,计算公式是:付款频率=付款订单总数/时间区间秒数。
(8)下单频率:下单频率是指以自动售卖设备维度统计运营过程中一个时间区间中已完成订单数频率公式是:下单频率=已完成订单总数/时间区间秒数。
(9)出货频率:出货频率是指以自动售卖设备维度统计运营过程中一个时间区间中已完成订单数频率,计算公式是:下单频率=已完成订单总数/时间区间秒数。
(10)退款频率:退款频率是指以自动售卖设备维度统计运营过程中退款的订单频率,其中包括已出货的退款和未出货的退款,计算公式分别是:已出货退款频率=已出货订单退款数/时间区间秒数;未出货退款频率=未出货订单退款数/时间区间秒数。
2、用户维度信息
用户维度是指从售货机维度分析用户的一些行为,用户是否处于健康状态,这些行为可以包括一个时间区间内以下一项或多项行为的数值:
(1)申请订单数:申请订单数是指以用户维度统计用户在自动售卖设备平台上一个时间区间申请订单但未支付数。
(2)付款价格:付款价格是指以用户维度统计用户在自动售卖设备平台上一个时间区间支付的总金额。
(3)下单总数:下单总数是指以用户维度统计用户在自动售卖设备平台上一个时间区间已走完正常流程的订单总数。
(4)出货总数:出货是指以用户维度统计用户在自动售卖设备平台上一个时间区间从自动售卖设备出货的商品总数。
(5)订单与图像识别数:订单与图像识别数以用户维度统计用户在自动售卖设备平台上一个时间区间订单被购买的时间段分析采集的视频是否是人为进行购买,如果无法发现人为购买则预示着可能受到外部攻击。
(6)自动售卖设备售货数:自动售卖设备售货数是指以用户维度统计用户在自动售卖设备平台上一个时间区间用户在多少台自动售卖设备上进行购买过的总数。
(7)自动售卖设备平均距离:自动售卖设备售货数是指以用户维度统计用户在自动售卖设备平台上一个时间区间用户在多少台自动售卖设备上进行购买过的总数。
3、网络维度信息
网络维度是指以自动售卖设备维度分析自动售卖设备与服务器之间通讯协议交互是否处于健康状态,协议类型包括登录、心跳、业务,各协议类型的行为指标包括以下一项或多项行为指标的数值:
(1)协议次数以及频率:协议次数以及频率是指以自动收货维度统计自动售卖设备在运行过程中一个时间区间与服务器通讯协议交互的次数和频率,频率公式是:协同通讯次数/时间区间秒数。
(2)协议验证失败次数以及频率:协议验证失败次数以及频率是指以自动收货维度统计自动售卖设备在运行过程中一个时间区间服务器接收到协议后验证协议为非法协议总次数。频率公式是:协同验证失败次数/时间区间秒数。
(3)协议IP地址集:协议Ip地址集是指以自动收货维度统计自动售卖设备在运行过程中一个时间区间与服务器通讯过的IP地址集合。
(4)协议大小:协议大小是指以自动收货维度统计自动售卖设备在运行过程中一个时间区间与服务器通讯的数据量大小。
(5)自动售卖设备与服务器之间定义了通信协议,定义了之间通信的数据格式,通信协议包括两种,分别是:1)请求通信协议,指自动售卖设备向服务器发送的请求通信协议;或者服务器向自动售卖设备发送的请求通信协议数据。2)响应通信协议,指服务器收到发送的请求通讯协议后处理反馈的反馈数据,或指自动售卖设备收到发送的请求通讯协议后处理反馈的反馈数据数据。
自动售卖设备与服务器进行一次通信实际上是一个交互过程,此过程包括上述两种通信协议的发送和响应,协议数据格式包括协议的签名信息和主体信息。
(6)签名信息:是接收方验证发送方发的请求协议内容是否合法,签名信息包括:1)协议唯一编号:每个协议都包含一个协议唯一编号确保协议的唯一性和会话唯一编号;2)自动售卖设备设备编号;3)掩码;4)会话编码;5)签名值。
(7)主体信息:内容包含具体业务协议,业务协议是指自动售卖设备与业务服务器之间预先定义的具体协议内容,通过业务报文内容来描述,如果是响应通信协议则主体信息还包括请求协议处理状态码和请求协议唯一编号。
这种通信协议优点在于每次通信都提供单独的签名信息,来验证通信的合法性,过滤无法验证签名的非法数据,可提高了***防被攻击能力。可设计为兼容各种业务协议数据格式的传输,比如Json和XML或其他协议格式;采用主动请求与被动响应方式完成数据交互过程提高了通信的可靠性以及可维护性。
以上自动售卖设备的合法性验证服务器端主要包括:数据接收模块、数据统计模块、分析模块和处理模块。
图2是自动售卖设备(自动售货机)的安全防控***的数据流程图,主要涉及自动售卖设备(自动售货机)、服务器和数据库三方的交互和服务器端内部的处理流程。具体流程如下:
S201服务器定期或按预定设定的策略向自动售卖设备主动发送通信协议请求上报符合协议和校验规定的数据,或被动接收到自动售卖设备发送的符合协议和校验的数据,实现自动售卖设备多维度数值采集;
S202服务器解析收到的通讯协议并按规范存储到缓存介质中;
S203服务器定期的从缓存介质中提取缓存记录,并按时间段统计缓存记录中的各项指标,将统计后的各项指标按照预先设定的结构存储到数据库中;
S204服务器定期从数据库中获取自动售卖设备的各项指标进行检测,识别满足告警条件的记录,并根据告警的原因生成告警信息,将该告警信息存入数据库,同时触发处理程序;
S205服务器根据告警信息检索数据库,查询数据库中是否已有该告警信息的处理策略,如果有则直接根据该告警策略自动执行处理;如果没有测触发人工处理。
S206服务器还提供对于自动执行处理和人工处理结果反馈和人工修正和处理的接口,对于人工处理的操作自动生成该类告警信息的处理策略,并更新到服务器中。
告警处理可能为:忽略处理、暂时性屏蔽访问、永久性屏蔽访问。当然这个只是常规处理策略,还可以定义其它策略。
以下具体说明服务器如何实现自动售卖设备多维度数值采集。
图3是服务器实现自动售卖设备多维度运行指标采集的模块示意图;自动售卖设备地域上离散的分布在各个运营点,通过有线或无线网络与服务器通过定义的通信协议保持通讯。服务器实现采集在网的自动售卖设备的设备维度信息、用户维度信息、网络维度信息等各维度指标数据,根据自动售卖设备与服务器之间的通讯协议来采集的,S301判断定时时间是否到,如果到则,S302获取已经接收到的协议数据,通过服务器端查询上个时间段内已接收到的自动售卖设备已发送的通讯协议数据;S303服务器上的解析模块实现对接收到的协议数据进行解析;S304将解析的数据按队列形式进行缓存。通过服务器主动的要求自动售卖设备,由自动售卖设备发送响应通信协议的方式进行数据采集,更有利于服务器管理终端和收集数据;也可以设置为自动售卖设备主动定期的向自动售卖设备上报服务器所要求的数据或作为补充数据采集。同时可以增加要求自动售卖设备终端在运行中收集和汇总服务器所需要统计且其可以收集统计的数据。
接收模块1,根据通讯协议获取自动售卖设备向服务器发送的通信协议数据,接收模块实现初始数据和数据接收与更新,后面的对用户、自动售卖设备的分析处理都是基于此处的根据接收协议接收的协议数据。接收模块可独立于***可插拔方式集成到现有的***中。
解析模块2,实现对接收模块接收到的协议数据进行解析,通过解析模块提取协议数据中的自动售货设备编号、用户编号、协议类型、接收时间、自动售卖设备ip地址,其中协议类型包括登录协议、心跳协议、业务协议(如:自动售卖设备与业务服务器通信的协议)等;并组成缓存队列数据格式。也可以是其它数据格式进行缓存,和存储模块的数据读取匹配设置。
存储模块3,存储模块是指解析后的数据接口,实现将解析获得的数据存储到缓存介质中,缓存介质可以是内存、硬盘等其他存储介质中。
图4是缓存队列进一步处理的流程示意图,进一步地实现从缓存队列中获取缓存队列数据并以自动售卖设备、用户和网络维度统计各维度的各项指标量,并进行统计后再存储到数据库中。S401读取当前时间;S402判断T2-T1是否大于Tr;S403读取T1到T2时间区间的缓存队列数据;将队列数据进行统计归类为多维数据;更新T1。具体通过如下模块来具体实现:
读取模块4:***采用定时任务的方式读取T1到T2时间区间的缓存队列数据,定时时长为Tr,T1表示定时任务上次读取到时间点,T2是当前读取到的时间点,***需要保存当前时间点T2,方便下次定时任务读取,将读取到的缓存数据存储到内存中。
统计模块5:读取到的T1到T2时间区间的数据,单条记录信息一般包括自动售货设备编号、用户编号、协议类型、接收时间、自动售卖设备ip地址、原始协议内容。其中协议类型包括登录、心跳和业务协议;业务协议包括有跟订单有关的数据,如申请、支付、出货、完成、退款等协议。该统计模块实现将上述单条记录数据携带的内容进行解析归类成各维度的记录数据结构,也就是说一条通信协议根据其携带的信息可能被分解为设备维度、用户维度和网络维度记录信息中的一个维度或多个维度数据。
以下通过具体的示例说明如何从一个单条通信协议分析出该自动售卖设备的单条设备维度、单条用户维度和单条网络维度数据。
单条设备维度,且以协议类型为订单业务协议,该通讯协议中一般记录有如下信息,如:自动售货设备编号、申请订单(1次或0次)、付款价格(0或订单价格)、下单数(1次或0次)、出货数(订单出货数)、退款数(1次或0次)。
例如根据订单业务协议的申请协议我们可以得到以下信息:自动售货设备编号:XXXX、申请订单数:1、付款价格:0、下单数:0、出货数:0、退款数:0。
例如根据订单付款协议我们可以得到以下信息:自动售货设备编号:XXXX、申请订单数:0、付款价格:订单价格、下单数:0、出货数:0、退款数:0。
其他协议依次类推,此种方法也适应于以下用户和网络维度组合成单条信息记录。
单条用户维度,如果是协议类型是业务协议,则有记录有:用户编号、申请订单(1次或0次)、付款价格(0或订单价格)、下单数(1次或0次)、出货数(订单出货数)、订单与图像识别数(1次或0次)、自动售卖设备编号。订单与图像识别数是在业务协议中获取的数据再计算获得的。
单条网络维度,不管是什么协议类型此条记录必须生成:自动售卖设备编号、协议类型(登录、心跳、业务),协议数、协议失败数、Ip地址、协议大小。因为任意一次通讯必然都包括网络维度信息,因此任意一次通讯都可提取到网络维度信息。
统计记录,根据生成到的单条维度记录数据,统计各维度的记录数以及相应的频率,也就是一个T1到T2的时间统计后只有三条有关维度的记录存储到数据库中(分别为:设备维度、用户维度、网络维度)。
存储模块实现将最终统计获得的三个维度的统计记录存储到数据库中,供后续的分析模块进一步地处理。
分析模块实现根据安全模型评估自动售卖设备以及用户的健康状态,具体为根据统计获得的各维度统计记录信息用安全模型评估自动售卖设备以及用户的健康状态,主要包括:读取模块4、评估模块6和存储子模块7。
1)读取模块。
读取子模块支持按上述单条维度下指标项统计记录评估或按时间区间获取存储在数据中的维度项指标统计记录,也就是可根据指标项维度配置各自的读取方式,例如配置用户维度的申请订单总数是按单条统计还是按时间区间读取。不管是单条还是按时间段最终还是单条维度统计记录进入评估模块评估自动售卖设备或用户是否健康。
2)评估模块,根据单维度统计记录信息评估自动售卖设备或用户的相关指标是否存在异常,如果存在异常情况则生成告警信息。具体步骤示例如下:
先获取需评估的设备、用户或网络维度维度下各指标项的最低阈值、最高阈值配置信息;
接着逐个检查需评估的维度下面的各项指标量是否超过或低于最高阈值或最低阈值;
最后将超出阈值范围内的指标项生成告警信息,告警信息一般包括自动售卖设备编号或用户编号、指标项值、阈值范围值、超出值和生成时间。
3)存储模块,将生成告警信息存储到数据库中。
图5是告警信息处理流程图,其主要实现根据告警信息***预测是人工处理或***自行处理。人工处理代表***无法从历史处理方案寻找到处理方案,需要通知人来手工处理,通过众多处理历史场景大数据***可进行***自行处理,来减少人工处理提高效率。具体处理流程如下:
首先,通过读取模块从告警信息数据库中读取告警信息,根据定时任务扫描T1到T2的时间段内上述存储在数据库的告警信息、读取到的告警信息所对应设备的各维度的指标项数值并汇总形成维度指标项数值,进入评估模块处理;
进一步,通过评估模块进行分析实现区分是人工处理还是***根据数据库中已经记录的处理策略自动处理,具体评估模块分析如下:
计算告警指标中超出或低于的阈值的差值;
进一步,根据差值和高低类型进行归类处理方案(历史处理记录);
进一步,采用范围区间算法算出当前差值到底属于哪类处理方案,如果分析是在已有的归类中,则***自行根据该归类历史处理记录方式进行处理,如果不在已有的归类中则判别为需要人工处理,转向人工处理。
图6是一个维度数值不同的区间对应的不同处理的策略示例,一般每一个指标都会设置一个最低阈值和一个最高阈值,在最低阈值和最高阈值之间属于正常的区间,不需要提示任何告警信息;而对于低于最低阈值和高于最高阈值的则认为则需要告警,而对于处于告警区域的,由根据其超出正常范围的程度、需要定义不同的告警区间,不同区间范围内采取不同的处理方案。对于严重告警区间的可以要求人工处理。各个区间的阈值可以通过人工进行修改。
关于告警的判断可以是单个指标进行单独判断其是否异常,是否需要报警。同时还可以由多个指标根据不同的加权来计算其符合健康程度,来判断其是否需要告警。这个都由实际运营来确定。
人工处理还可以将告警信息通知相关人员,相关人员根据告警信息进行相应的处理方案处理。告警信息中还可以增加携带相关信息,如:提示相关人员本告警可以选择的处理方式,以及历史上最为接近的告警的处理方式是什么方式、以及该告警的危险等级信息等,帮助相关人员快速作出该告警的处理选择。
***默认给用户提供以下3种处理选择,由用户根据告警信息进行分析并作出选择,随着***实际使用,运营人员也还可能增加处理选择:
1)忽略处理:忽略处理代表***不会采取措施处理自动售卖设备的异常情况。
2)暂时性屏蔽访问:暂时性屏蔽访问可对售货机和用户采取一段时间屏蔽访问,例如用户恶意在售货机屏幕上连续多次申请申请二维码不进行支付操作,***检测后采取一段时间(N分钟,N小时、N天等)禁止其任何操作,暂时性屏蔽访问是对自动售卖设备或用户不是构成特别严重的问题而设置。
3)永久性屏蔽访问:永久性屏蔽访问的处理方案是禁止一切用户或自动售卖设备与服务器进行通信,包括IP过滤(如:采取控制第三方HTTP代理软件进行设置),针对于自动售卖设备和用户恶意攻击***而设置。
因为对于自动售卖设备或用户永久性屏蔽了,那么会限制此自动售卖设备和用户的任何访问,因此对于该处理操作需要做一定限制,具体限制措施可根据实际运营过程进行调整,如限制如下:
1、服务器拒绝接受带有自动售卖设备编号或用户编号的协议***记录被拒绝的IP信息。
2、服务器会通过HTTP代理软件限制以前自动售卖设备编号或用户所携带的IP地址信息(包括上述被拒绝的IP信息)。
该维护人员基于该告警信息的选择的处理方案或自定义增加的处理方案:存储模块、根据告警信息以及处理方案将此信息存储到历史告警信息中。
由于在实际运营过程中,有可能最开始设置的告警信息选择的处理方式或者判定告警信息的阈值不一定是最优的;或者由于环境、或者运营的特别需求可能需要对处理方式、告警信息的判断阈值做调整。因此***还提供了人工再次纠正的处理功能,可以是在人工处理时同时对判断阈值等一并做调整,也可以是主动的发现问题是对相关处理方式和判断阈值进行修改。
一般***检查到告警信息且***无法自动选择处理方式,则需要触发人工处理,人工处理主要包括如下信息:
人工处理步骤如下:
将告警信息通知到相应处理人,通知方式可通过短信、邮件、***消息等方式。
处理人设置告警信息并且可设置此处理方案的最低和/或最高阈值;
处理人选择或增加处理措施,并将该阈值信息和处理方案存入数据库中。供***再次检查到有相同的告警信息则根据处理方案自动按上述处理方案处理。
人工修正操作提供了用户根据目前已有的阈值和处理方案处理的结果来重新调整或修正阈值或处理方案的功能,使得告警判断和处理方式更趋合理,更满足运营要求。人工修正主要包括如下操作:
将告警信息处理结果通知到响应处理人(通知方式可通过短信、邮件、***消息等方式)。
处理人可忽略或者修正处理方案并设置此处理方案的最低或最高阈值,或其它各个区间的阈值。
***再次检查到有相同的告警信息则根据处理方案自动按上述修正后的处理方案处理。
以上所揭露的仅为本发明一种实施例而已,当然不能以此来限定本发明之权利范围,本领域普通技术人员可以理解实现上述实施例的全部或部分流程,并依本发明权利要求所作的等同变化,仍属于本发明所涵盖的范围。
Claims (10)
1.一种自动售卖设备的安全防控方法,其特征在于,包括如下步骤:
服务器定期采集在网的自动售卖设备多维度运行指标数值;
服务器根据采集到的多维度运行指标数值,进行统计汇总生成可用于判断自动售卖设备健康状态的多维度运行指标;
服务器定期通过安全模型逐个判别各个自动售卖设备的健康状态;当判别到自动售卖设备的多维度运行指标存在超出正常工作区间的指标时,触发告警处理下一步;如果自动售卖设备不存在超出正常工作区间则返回继续执行第一步;
根据超出正常工作区间的告警项生成该自动售卖设备的告警信息,返回继续执行第一步。
2.根据权利要求1所述的自动售卖设备的安全防控方法,其特征在于,根据超出正常工作区间的告警项生成该自动售卖设备的告警信息后还增加如下操作:根据告警信息检索告警信息数据库,检索当前告警信息数据库中已存在该类告警项的处理策略,如果已经存在则直接根据该告警项对应的处理策略执行处理程序;如果不存在,则将该告警信息发送给***预设的一个或以上的人工处理终端,请求人工处理,并记录该人工处理的过程,并将该处理过程作为该类告警项对应的处理策略更新到告警信息数据库中,作为下一次该类告警项的处理策略。
3.根据权利要求2所述的自动售卖设备的安全防控方法,其特征在于,还包括:当检索告警信息数据库中不存在该类告警项的处理策略时,先执行限制该自动售卖设备访问的操作,再请求人工处理。
4.根据权利要求2所述的自动售卖设备的安全防控方法,其特征在于,还包括修正步骤,根据告警处理的结果反馈重新调整该告警项的判断阈值和处理策略。
5.根据权利要求2所述的自动售卖设备的安全防控方法,其特征在于,所述多维度运行指标数值包括设备维度信息、用户维度信息和\或网络维度信息。
6.根据权利要求5所述的自动售卖设备的安全防控方法,其特征在于,所述设备维度信息、用户维度信息和网络维度信息都还进一步地包含多个子维度信息,每个子维度信息单独设有健康判断阈值,每个子维度信息单独单独提示自动售卖设备的健康状态。
7.根据权利要求2所述的自动售卖设备的安全防控方法,其特征在于,告警信息数据库的初始数据根据历史运营记录和理论分析综合确定各个维度指标的健康判断阈值和处理策略;在运营过程中通过根据处理结果的反馈不断调整或修正判断阈值和处理策略。
8.根据权利要求2所述的自动售卖设备的安全防控方法,其特征在于,还包括自动阈值推荐操作,自动阈值推荐操作自动统计所有的在网自动售卖设备的个维度信息,根据大数据统计评估各个维度信息的评估和自动调整当前健康判断阈值。
9.一种自动售卖设备的安全防控***,其特征在于,包括:
接收模块:用于实现根据通讯协议获取自动售卖设备向服务器发送的通信协议数据,通过解析接收的数据实现获取在网的自动售卖设备多维度运行指标数值;
统计模块:用于实现通过对接收到的数据进行统计汇总生成可用于判断自动售卖设备健康状态的多维度运行指标;
分析模块:用于实现通过安全模型逐个判别各个自动售卖设备的多维度运行指标;当判别到自动售卖设备的多维度运行指标存在超出正常工作区间的指标时,触发告警处理程序;如果自动售卖设备不存在超出正常工作区间则不做处理;
处理模块:用于根据分析模块分析发现存在告警项时,根据超出正常工作区间的告警项生成该自动售卖设备的告警信息;根据告警信息检索告警信息数据库,检索当前告警信息数据库中已存在该类告警项的处理策略,如果已经存在则直接根据该告警项对应的处理策略执行处理程序;如果不存在,则将该告警信息发送给***预设的一个或以上的人工处理终端,请求人工处理,并记录该人工处理的过程,并将该处理过程作为该类告警项对应的处理策略更新到告警信息数据库中,作为下一次该类告警项的处理策略。
10.根据权利要求9所述的自动售卖设备的安全防控***,其特征在于,还包括:修正模块:用于实现人工根据告警处理的结果反馈重新调整该告警项的判断阈值和处理策略,作为下一次该类告警项的判断阈值和处理策略选择。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910904807.0A CN110750784B (zh) | 2019-09-24 | 2019-09-24 | 一种自动售卖设备的安全防控方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910904807.0A CN110750784B (zh) | 2019-09-24 | 2019-09-24 | 一种自动售卖设备的安全防控方法及*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110750784A true CN110750784A (zh) | 2020-02-04 |
CN110750784B CN110750784B (zh) | 2023-10-03 |
Family
ID=69276974
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910904807.0A Active CN110750784B (zh) | 2019-09-24 | 2019-09-24 | 一种自动售卖设备的安全防控方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110750784B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111835760A (zh) * | 2020-07-10 | 2020-10-27 | 广州博冠信息科技有限公司 | 报警信息处理方法及装置、计算机存储介质、电子设备 |
CN112905409A (zh) * | 2021-01-14 | 2021-06-04 | 广州乐摇摇信息科技有限公司 | 自动售卖设备的异常解决方法和装置 |
CN113436423A (zh) * | 2020-03-23 | 2021-09-24 | 本田技研工业株式会社 | 通报装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102082702A (zh) * | 2009-11-27 | 2011-06-01 | 华为技术有限公司 | 一种终端告警的处理方法、装置及*** |
CN107302264A (zh) * | 2017-07-06 | 2017-10-27 | 国电南瑞科技股份有限公司 | 一种变电站二次自动化设备稳定运行管控方法 |
CN108304941A (zh) * | 2017-12-18 | 2018-07-20 | 中国软件与技术服务股份有限公司 | 一种基于机器学习的故障预测方法 |
CN109800139A (zh) * | 2018-12-18 | 2019-05-24 | 东软集团股份有限公司 | 服务器健康度分析方法,装置,存储介质及电子设备 |
CN109947088A (zh) * | 2019-04-17 | 2019-06-28 | 北京天泽智云科技有限公司 | 基于模型全生命周期管理的设备故障预警*** |
CN110164101A (zh) * | 2019-04-09 | 2019-08-23 | 烽台科技(北京)有限公司 | 一种处理报警信息的方法及设备 |
-
2019
- 2019-09-24 CN CN201910904807.0A patent/CN110750784B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102082702A (zh) * | 2009-11-27 | 2011-06-01 | 华为技术有限公司 | 一种终端告警的处理方法、装置及*** |
CN107302264A (zh) * | 2017-07-06 | 2017-10-27 | 国电南瑞科技股份有限公司 | 一种变电站二次自动化设备稳定运行管控方法 |
CN108304941A (zh) * | 2017-12-18 | 2018-07-20 | 中国软件与技术服务股份有限公司 | 一种基于机器学习的故障预测方法 |
CN109800139A (zh) * | 2018-12-18 | 2019-05-24 | 东软集团股份有限公司 | 服务器健康度分析方法,装置,存储介质及电子设备 |
CN110164101A (zh) * | 2019-04-09 | 2019-08-23 | 烽台科技(北京)有限公司 | 一种处理报警信息的方法及设备 |
CN109947088A (zh) * | 2019-04-17 | 2019-06-28 | 北京天泽智云科技有限公司 | 基于模型全生命周期管理的设备故障预警*** |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113436423A (zh) * | 2020-03-23 | 2021-09-24 | 本田技研工业株式会社 | 通报装置 |
CN113436423B (zh) * | 2020-03-23 | 2023-10-20 | 本田技研工业株式会社 | 通报装置 |
CN111835760A (zh) * | 2020-07-10 | 2020-10-27 | 广州博冠信息科技有限公司 | 报警信息处理方法及装置、计算机存储介质、电子设备 |
CN111835760B (zh) * | 2020-07-10 | 2023-03-24 | 广州博冠信息科技有限公司 | 报警信息处理方法及装置、计算机存储介质、电子设备 |
CN112905409A (zh) * | 2021-01-14 | 2021-06-04 | 广州乐摇摇信息科技有限公司 | 自动售卖设备的异常解决方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN110750784B (zh) | 2023-10-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110750784B (zh) | 一种自动售卖设备的安全防控方法及*** | |
US9601000B1 (en) | Data-driven alert prioritization | |
US20060130147A1 (en) | Method and system for detecting and stopping illegitimate communication attempts on the internet | |
CN104519018A (zh) | 一种防止针对服务器的恶意请求的方法、装置和*** | |
CN111131253A (zh) | 基于场景的安全事件全局响应方法以及装置、设备、存储介质 | |
CN109936556B (zh) | 盗窃账号事件的监控方法及装置 | |
US20170171188A1 (en) | Non-transitory computer-readable recording medium, access monitoring method, and access monitoring apparatus | |
CN106953738A (zh) | 风险控制方法及装置 | |
CN108009406B (zh) | 一种账号冻结方法、账号解冻方法及服务器 | |
CN111526109B (zh) | 自动检测web威胁识别防御***的运行状态的方法及装置 | |
CN107888576B (zh) | 一种利用大数据与设备指纹的防撞库安全风险控制方法 | |
CN111625700B (zh) | 防抓取的方法、装置、设备及计算机存储介质 | |
CN113032764A (zh) | 账户注册登录的业务风控***和业务风控方法 | |
CN113572787A (zh) | 一种计算机网络智能监控*** | |
CN116346433A (zh) | 电力***网络安全态势检测方法及*** | |
KR20150131846A (ko) | 캡차를 이용한 아이디도용 차단방법 및 차단 시스템 | |
CN115801307A (zh) | 一种利用服务器日志进行端口扫描检测的方法和*** | |
CN111932290A (zh) | 请求处理方法、装置、设备和存储介质 | |
CN110955884B (zh) | 密码试错的上限次数的确定方法和装置 | |
CN114157504A (zh) | 一种基于Servlet***的安全防护方法 | |
CN107124390B (zh) | 计算设备的安全防御、实现方法、装置及*** | |
CN115830734B (zh) | 防止代打卡方法及相关设备 | |
KR20200054495A (ko) | 보안관제 서비스 방법 및 그를 위한 장치 | |
CN117614694B (zh) | 一种基于身份认证的招标方法 | |
CN116663021B (zh) | 机器请求行为识别方法、装置、电子设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |