CN113419890A - 异常类型检测方法、装置、服务器及介质 - Google Patents
异常类型检测方法、装置、服务器及介质 Download PDFInfo
- Publication number
- CN113419890A CN113419890A CN202110740771.4A CN202110740771A CN113419890A CN 113419890 A CN113419890 A CN 113419890A CN 202110740771 A CN202110740771 A CN 202110740771A CN 113419890 A CN113419890 A CN 113419890A
- Authority
- CN
- China
- Prior art keywords
- time window
- current time
- user dictionary
- user
- sequences
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 59
- 238000001514 detection method Methods 0.000 title claims abstract description 29
- 230000005856 abnormality Effects 0.000 claims description 26
- 230000003993 interaction Effects 0.000 claims description 8
- 238000012216 screening Methods 0.000 claims description 3
- 238000000034 method Methods 0.000 abstract description 29
- 230000008569 process Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 238000012423 maintenance Methods 0.000 description 6
- 102100034761 Cilia- and flagella-associated protein 418 Human genes 0.000 description 3
- 101100439214 Homo sapiens CFAP418 gene Proteins 0.000 description 3
- 230000009471 action Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000007639 printing Methods 0.000 description 2
- RWSOTUBLDIXVET-UHFFFAOYSA-N Dihydrogen sulfide Chemical compound S RWSOTUBLDIXVET-UHFFFAOYSA-N 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000009223 counseling Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 229920006395 saturated elastomer Polymers 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3476—Data logging
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请提供了异常类型检测方法、装置、服务器及介质,该方法从当前时间窗口内的多个日志中筛选出多个用户交易日志,从而减少了后续需要分析的日志的数目,减少了确定目标异常类型的时间。从多个用户交易日志中,获得多个用户字典序列;多个用户字典序列中,有的用户字典序列为无效用户字典序列,有的用户字典序列为有效用户字典序列。将多个有效用户字典序列的总数目确定为当前时间窗口的访问次数。将当前时间窗口对应的访问次数与至少一个历史时间窗口对应的访问次数进行比较,以得到当前时间窗口满足的目标条件;从预设的条件与异常类型的对应关系中,查找目标条件对应的目标异常类型,从而实现了探测服务器发生的异常的类型的目的。
Description
技术领域
本申请涉及***维护技术领域,更具体的说,是涉及异常类型检测方法、装置、服务器及介质。
背景技术
目前服务器在运行过程中可能会发生异常,导致服务器异常的原因有多种,例如,服务器遭受恶意攻击、服务器本身出现故障。
服务器出现异常后,可能无法正常为客户端提供服务,因此如何探测服务器发生的异常的类型,以便快速解决该异常,是本领域技术人员急需解决的技术问题。
发明内容
有鉴于此,本申请提供了一种异常类型检测方法、装置、服务器及介质。
为实现上述目的,本申请提供如下技术方案:
根据本公开实施例的第一方面,提供一种异常类型检测方法,包括:
获取当前时间窗口内的多个日志;
从所述多个日志中,筛选出表征与用户具有交互的多个用户交易日志;
从所述多个用户交易日志中,获得多个用户字典序列,所述用户字典序列包括:用户标识、交易标识、交易时间以及交易信息,不同所述用户字典序列对应不同的交易;
从所述多个用户字典序列中,获取多个有效用户字典序列,所述有效用户字典序列包含的交易信息为有效交易信息;
将所述多个有效用户字典序列的总数目确定为所述当前时间窗口的访问次数;
将所述当前时间窗口对应的访问次数与至少一个历史时间窗口对应的访问次数进行比较,以得到所述当前时间窗口满足的目标条件;
从预设的条件与异常类型的对应关系中,查找所述目标条件对应的目标异常类型。
根据本公开实施例的第二方面,提供一种异常类型检测装置,包括:
第一获取模块,用于获取当前时间窗口内的多个日志;
第一查找模块,用于从所述多个日志中,查找表征与用户具有交互的多个用户交易日志;
第二获取模块,用于从所述多个用户交易日志中,获得多个用户字典序列,所述用户字典序列包括:用户标识、交易标识、交易时间以及交易信息,不同所述用户字典序列对应不同的交易;
第三获取模块,用于从所述多个用户字典序列中,获取多个有效用户字典序列,所述有效用户字典序列包含的交易信息为有效交易信息;
第一确定模块,用于将所述多个有效用户字典序列的总数目确定为所述当前时间窗口的访问次数;
比较模块,用于将所述当前时间窗口对应的访问次数与至少一个历史时间窗口对应的访问次数进行比较,以得到所述当前时间窗口满足的目标条件;
第二查找模块,用于从预设的条件与异常类型的对应关系中,查找所述目标条件对应的目标异常类型。
根据本公开实施例的第三方面,提供一种服务器,包括:
处理器;
用于存储所述处理器可执行指令的存储器;
其中,所述处理器被配置为执行所述指令,以实现如第一方面所述的异常类型检测装置。
根据本公开实施例的第四方面,提供一种计算机可读存储介质,当所述计算机可读存储介质中的指令由服务器的处理器执行时,使得服务器能够执行如第一方面所述的异常类型检测装置。
经由上述的技术方案可知,与现有技术相比,本申请提供的异常类型检测方法中,从当前时间窗口内的多个日志中筛选出多个用户交易日志,从而减少了后续需要分析的日志的数目,减少了确定目标异常类型的时间。从所述多个用户交易日志中,获得多个用户字典序列,所述用户字典序列包括:用户标识、交易标识、交易时间以及交易信息;可以理解的是,多个用户字典序列中,有的用户字典序列为无效用户字典序列,有的用户字典序列为有效用户字典序列。将所述多个有效用户字典序列的总数目确定为所述当前时间窗口的访问次数。将所述当前时间窗口对应的访问次数与至少一个历史时间窗口对应的访问次数进行比较,以得到所述当前时间窗口满足的目标条件;从预设的条件与异常类型的对应关系中,查找所述目标条件对应的目标异常类型,从而实现了探测服务器发生的异常的类型的目的。由于无效用户字典序列几乎不占用服务器的访问资源,若当前时间窗口的访问次数包括无效用户字典序列的数目,则基于当前时间窗口的访问次数确定的目标异常类型不准确。本申请实施例中,当前时间窗口的访问次数仅包括有效用户字典序列的数目,所以基于当前时间窗口的访问次数确定的目标异常类型更加准确。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的第一种***架构的示意图;
图2为本申请实施例提供的异常类型检测方法的流程图;
图3为本申请实施例提供的异常类型检测装置的结构图;
图4为本申请实施例提供的一种服务器的结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供了一种异常类型检测方法、装置、服务器以及介质,在介绍本申请实施例提供的技术方案之前,先对本申请实施例涉及的硬件架构进行说明。
如图1所示,为本申请实施例提供的第一种***架构的示意图。***架构包括但不限于:服务器11以及服务器12。
示例性的,服务器11可以是一台服务器,也可以是由多台服务器组成的服务器集群,或者是一个云计算服务器中心。服务器11可以包括处理器、存储器以及网络接口等。
示例性的,服务器12可以是一台服务器,也可以是由多台服务器组成的服务器集群,或者是一个云计算服务器中心。服务器12可以包括处理器、存储器以及网络接口等。
在一可选实现方式中,服务器11在运行过程中可能会出现异常,例如,服务器由于遭受恶意攻击,导致出现异常;服务器本身故障,即机器故障,导致出现异常;为各个服务器进行负载均衡的负载均衡服务器出现故障,导致将客户端的请求集中发送给某一个或某几个服务器。
若服务器11出现异常,可能会导致无法正常为客户端提供服务。
例如,若服务器11遭受恶意攻击,恶意攻击者会频繁向服务器11发送请求,服务器11能够响应的请求的数目有限,可能仅响应恶意攻击者的请求,或者,响应少数正常客户端的请求,导致大量其他正常客户端的请求无法响应,或响应延迟。
例如,若服务器11本身出现故障,例如,服务器不能正常运行,导致服务器无法响应任何请求。
例如,若服务器对应的负载均衡服务器出现故障,则无法平衡各个服务器接收到的请求的数目,可能某个服务器A接收到的请求已经饱和,但是负载均衡服务器仍旧向该服务器转发请求,使得服务器A无法及时响应后续接收到的请求。
客户端访问服务器11的过程中,服务器11会产生相应的日志。示例性的,客户端每与服务器11交易一次,服务器11产生一个日志;若同一客户端多次与服务器11进行交易,服务器11会产生不同日志;不同客户端与服务器11进行交易,服务器11会产生不同日志。
本申请实施例中,客户端访问服务器11,服务器11响应客户端发送的请求,并向客户端反馈信息,客户端可以基于服务器11的反馈信息再次访问服务器11,服务器11再次向客户端反馈信息,直至客户端与服务器11的交互结束,称为客户端与服务器的一次交易。
示例性的,服务器12可以从服务器11中获得服务器11运行过程中产生的日志,并分析日志,以得到当前时间窗口对应的访问次数;将当前时间窗口对应的访问次数与至少一个历史时间窗口对应的访问次数进行比较,以得到服务器11的目标异常类型。
在一可选实现方式中,本申请实施例提供了第二种***架构,第二种***架构包括但不限于:服务器11。
在一可选实现方式中,服务器11在运行过程中会产生相应的日志。服务器11可以分析日志,以得到当前时间窗口对应的访问次数;将当前时间窗口对应的访问次数与至少一个历史时间窗口对应的访问次数进行比较,以得到服务器11的目标异常类型。
本申请实施例提供的异常类型检测方法可以应用于上述服务器11中,也可以运行于上述服务器12中。
本领域技术人员应能理解上述电子设备和服务器仅为举例,其他现有的或今后可能出现的服务器如可适用于本公开,也应包含在本公开保护范围以内,并在此以引用方式包含于此。
下面对本申请实施例提供的异常类型检测方法进行说明,如图2所示,为本申请实施例提供的异常类型检测方法的流程图,该方法包括以下步骤S21至步骤S27。
步骤S21:获取当前时间窗口内的多个日志。
示例性的,时间窗口的大小可以基于实际情况而定。
本申请实施例中称当前的时间窗口为当前时间窗口,称历史的时间窗口为历史时间窗口。当前时间窗口和历史时间窗口均为时间窗口。示例性的,随着时间流逝,当前时间窗口也会变为历史时间窗口。
示例性的,可以划分服务器的闲忙时,例如春季夏季的忙时为上午8点到下午5点,其余时间为闲时,秋季冬季的忙时为上午9点到下午6点,其余时间为闲时。
示例性的,闲时的时间窗口和忙时的时间窗口不同。
例如,忙时的时间窗口为1分钟,闲时的时间窗口为5分钟。
示例性的,工作日的忙时的时间窗口和节假日的忙时的时间窗口不同,例如,工作日的忙时的时间窗口为1分钟,节假日的忙时的时间窗口为0.5分钟;节假日的闲时的时间窗口为5分钟,节假日的闲时的时间窗口为2分钟。
示例性的,对各个时间窗口进行日志采集,并且各个时间窗口通过指针相互链接,以形成链表。
假设当前时间为忙时,时间窗口为1分钟,若当前时间为16:10,则“获取当前时间窗口内的多个日志”是指获得在16:10至16:11之间产生的日志。
步骤S22:从所述多个日志中,筛选出表征与用户具有交互的多个用户交易日志。
可以理解的是,服务器11在运行过程中,可能会产生***日志,例如,在服务器中设定的在预设时间打印信息,在打印信息的过程中,也会形成日志,由于该日志不属于客户端与服务器进行交互的日志,因此,该日志不是用户交易日志。
示例性的,用户交易日志中包括交易渠道,交易渠道包括但不限于:手机银行、电话银行、机器人。
示例性的,若交易渠道为电话银行,则用户交易日志还包括接通电话的人工座席编号。
示例性的,用户交易日志和***日志包含的交易标识不同。
综上,可以从多个日志中,获得包含交易渠道,或,人工座席标号,或为用户交易日志的交易标识的日志,从而得到用户交易日志。
本步骤从多个日志中筛选出多个用户交易日志,从而减少了后续需要分析的日志的数目,减少了确定目标异常类型的时间。
步骤S23:从所述多个用户交易日志中,获得多个用户字典序列,所述用户字典序列包括:用户标识、交易标识、交易时间以及交易信息,不同所述用户字典序列对应不同的交易。
示例性的,用户标识包括:用户使用的电子设备的IP(Internet ProtocolAddress,网际协议地址)地址、用户的用户名称中的至少一个。
示例性的,交易标识可以为交易序列号。
示例性的,交易时间包括交易的开始时间以及结束时间。
示例性的,交易信息包括:表征用户交易意图的信息,例如,取钱、存钱、寒暄、咨询问题等
示例性的,用户字典序列的表现形式有多种,本申请实施例提供但不限于表格、集合、数组等。
步骤S24:从所述多个用户字典序列中,获取多个有效用户字典序列,所述有效用户字典序列包含的交易信息为有效交易信息。
可以理解的是,多个用户字典序列中,有的用户字典序列为无效用户字典序列,有的用户字典序列为有效用户字典序列。
下面举例对无效用户字典序列和有效用户字典序列进行说明。
无效用户字典序列,是指包含的交易信息为无效交易信息的用户字典序列。
示例性的,若交易信息为空,或,交易信息仅包括寒暄,则交易信息为无效交易信息。
例如,用户通过电话银行渠道,与人工座席进行交互,但是在拨通电话后,用户并未发出任何声音就挂断,此时交易信息为空。
例如,用户通过客户端中的窗口咨询问题(此处对应机器人渠道),在输入“在吗”,机器人回复“您有什么问题”后,用户在设定时长内未回复任何内容,则交易信息仅包含寒暄,即“在吗”。
示例性的,可以预先设置寒暄的关键词。
有效用户字典序列,是指包含的交易信息为有效交易信息的用户字典序列。
示例性的,若交易信息不为空,且不仅仅包含寒暄,则该交易信息为有效交易信息。
步骤S25:将所述多个有效用户字典序列的总数目确定为所述当前时间窗口的访问次数。
本申请实施例中将多个有效用户字典序列的总数目确定为所述当前时间窗口的访问次数,即当前时间窗口的访问次数不包括无效用户字典序列的数目。
由于无效用户字典序列几乎不占用服务器的访问资源,若当前时间窗口的访问次数包括无效用户字典序列的数目,则基于当前时间窗口的访问次数确定的目标异常类型不准确。本申请实施例中,当前时间窗口的访问次数仅包括有效用户字典序列的数目,所以基于当前时间窗口的访问次数确定的异常类型更加准确。
步骤S26:将所述当前时间窗口对应的访问次数与至少一个历史时间窗口对应的访问次数进行比较,以得到所述当前时间窗口满足的目标条件。
历史时间窗口对应的访问次数也仅包括历史时间窗口内的有效用户字典序列的数目。
在一可选实现方式中,步骤S26的实现方式有多种,本申请实施例提供但不限于以下三种。
第一种步骤S26的实现方式包括以下步骤A1至步骤A2。
步骤A1:若所述当前时间窗口的访问次数高于最大访问次数第一阈值,将具有相同用户标识的有效用户字典序列划分至同一字典序列集合,所述最大访问次数为所述至少一个历史时间窗口对应的访问次数中的最大值。
示例性的,假设所述至少一个历史时间窗口对应的访问次数依次为:访问次数1、访问次数2、访问次数3;则最大访问次数=max{访问次数1,访问次数2,访问次数3}。
示例性的,第一阈值可以基于实际情况而定,这里不进行限定。
示例性的,当前窗口的访问次数和多个历史时间窗口的访问次数可以按照时间顺序存储,示例性的,以链表或数组或表格的形式进行存储。可以基于多个历史时间窗口的访问次数,得到访问规律,基于访问规律确定当前时间窗口的预测访问次数,示例性的,第一阈值=预测访问次数-最大访问次数+误差值。
示例性的,误差值可以基于实际情况设置。
由于当前时间窗口的访问次数高于最大访问次数第一阈值,说明当前时间窗口的访问次数远远高于历史时间窗口对应的访问次数,说明当前时间窗口的存在异常现象。
步骤A2:若各所述字典序列集合包含的有效用户字典序列的数目的差值中的最大值小于或等于第二阈值,确定所述当前时间窗口满足第一条件,其中,所述第一条件对应的目标异常类型为负载均衡服务器故障类型。
假设,一共有3个字典序列集合,且分别为:字典序列集合1、字典序列集合2、字典序列集合3;则4个字典序列集合包含的有效用户字典序列的数目的差值中的最大值=max{字典序列集合1-字典序列集合2,字典序列集合1-字典序列集合3,字典序列集合2-字典序列集合3}。
示例性的,第二阈值可以基于实际情况而定,这里不进行限定。
若各所述字典序列集合包含的有效用户字典序列的数目的差值中的最大值小于或等于第二阈值,说明各个用户对应的有效用户字典序列浮动不大,说明不存在恶意攻击用户。但是由于当前时间窗口的存在异常现象,所以应该是负载均衡服务器故障类型。
第二种步骤S26的实现方式包括以下步骤B1至步骤B2。
步骤B1:若所述当前时间窗口的访问次数高于最大访问次数第一阈值,将具有相同用户标识的有效用户字典序列划分至同一字典序列集合,所述最大访问次数为所述至少一个历史时间窗口对应的访问次数中的最大值。
针对步骤B1的说明,可以参见针对步骤A1的说明,这里不再赘述。
步骤B2:若各所述字典序列集合包含的有效用户字典序列的数目的差值中的最大值大于或等于第三阈值,确定所述当前时间窗口满足第二条件;其中,所述第二条件对应的目标异常类型为恶意攻击类型。
示例性的,第三阈值可以基于实际情况而定,这里不进行限定。
若各所述字典序列集合包含的有效用户字典序列的数目的差值中的最大值大于或等于第三阈值,说明某个字典序列集合包含的有效用户字典序列的数目远远高于其他字典序列集合包含的有效用户字典序列的数目,即存在恶意攻击用户。
示例性的,包含的有效用户字典序列的数目最大的字典序列集合对应恶意攻击用户。
第三种步骤S26的实现方式包括以下步骤C1。
步骤C1:若所述当前时间窗口的访问次数与所述至少一个历史时间窗口对应的访问次数均为零,确定所述当前时间窗口满足第三条件;其中,所述第三条件对应的目标异常类型为机器故障类型。
若当前时间窗口的访问次数与所述至少一个历史时间窗口对应的访问次数均为零,说明该服务器无法接收到请求,即异常类型为机器故障类型。
步骤S27:从预设的条件与异常类型的对应关系中,查找所述目标条件对应的目标异常类型。
本申请实施例提供的异常类型检测方法中,从当前时间窗口内的多个日志中筛选出多个用户交易日志,从而减少了后续需要分析的日志的数目,减少了确定目标异常类型的时间。从所述多个用户交易日志中,获得多个用户字典序列,所述用户字典序列包括:用户标识、交易标识、交易时间以及交易信息;可以理解的是,多个用户字典序列中,有的用户字典序列为无效用户字典序列,有的用户字典序列为有效用户字典序列。将所述多个有效用户字典序列的总数目确定为所述当前时间窗口的访问次数。将所述当前时间窗口对应的访问次数与至少一个历史时间窗口对应的访问次数进行比较,以得到所述当前时间窗口满足的目标条件;从预设的条件与异常类型的对应关系中,查找所述目标条件对应的目标异常类型,从而实现了探测服务器发生的异常的类型的目的。由于无效用户字典序列几乎不占用服务器的访问资源,若当前时间窗口的访问次数包括无效用户字典序列的数目,则基于当前时间窗口的访问次数确定的目标异常类型不准确。本申请实施例中,当前时间窗口的访问次数仅包括有效用户字典序列的数目,所以基于当前时间窗口的访问次数确定的目标异常类型更加准确。
本申请实施例中,通过日志对服务器进行监控和分析,可以在异常产生初期就发现该异常,从而指导运维人员了解异常类型,做到异常的极速解决。
在一可选实现方式中,还包括:若查找到所述目标条件对应的目标异常类型,从预设的异常类型与解决方案的对应关系中,查找所述目标异常类型对应的第一解决方案。
在一可选实现方式中,还包括:控制运行所述第一解决方案。
在一可选实现方式中,若异常类型检测方法应用于服务器11中,则服务器11运行第一解决方案。
在一可选实现方式中,若异常类型检测方法应用于服务器12中,则服务器12将第一解决方案发送至服务器11,服务器11运行第一解决方案。
在一可选实现方式中,还包括:将所述第一解决方案、所述目标异常类型、所述当前时间窗口内的多个有效用户字典序列、所述至少一个历史时间窗口内的多个有效用户字典序列发送至电子设备。
可以理解的是,虽然运行第一解决方案很大概率上会解决该异常,但是也可能无法解决该异常,因此,可以将所述第一解决方案、所述目标异常类型、所述当前时间窗口内的多个有效用户字典序列、所述至少一个历史时间窗口内的多个有效用户字典序列发送至电子设备。
第一解决方案为位于电子设备侧的运维人员提供了解决问题的思路。运维人员可以基于所述第一解决方案、所述目标异常类型、所述当前时间窗口内的多个有效用户字典序列、所述历史时间窗口内的多个有效用户字典序列确定的第二解决方案。
在一可选实现方式中,还包括以下步骤D1至步骤D3。
步骤D1:接收所述电子设备发送的基于所述第一解决方案、所述目标异常类型、所述当前时间窗口内的多个有效用户字典序列、所述历史时间窗口内的多个有效用户字典序列确定的第二解决方案。
步骤D2:控制运行所述第二解决方案。
步骤D3:关联所述目标异常类型与所述第二解决方案。
在本申请实施例中,由于运维人员制定出第二解决方案后,服务器自动关联目标异常类型与所述第二解决方案,从而使得若再次发生目标异常类型的异常后,则可以查找到相应的解决方案。无需运维人员再次进行维护。
上述本申请公开的实施例中详细描述了方法,对于本申请的方法可采用多种形式的装置实现,因此本申请还公开了一种装置,下面给出具体的实施例进行详细说明。
如图3所示,为本申请实施例提供的异常类型检测装置的结构图,该异常类型检测装置包括:第一获取模块31、第一查找模块32、第二获取模块33、第三获取模块34、第一确定模块35、比较模块36以及第二查找模块37,其中:
第一获取模块31,用于获取当前时间窗口内的多个日志;
第一查找模块32,用于从所述多个日志中,查找表征与用户具有交互的多个用户交易日志;
第二获取模块33,用于从所述多个用户交易日志中,获得多个用户字典序列,所述用户字典序列包括:用户标识、交易标识、交易时间以及交易信息,不同所述用户字典序列对应不同的交易;
第三获取模块34,用于从所述多个用户字典序列中,获取多个有效用户字典序列,所述有效用户字典序列包含的交易信息为有效交易信息;
第一确定模块35,用于将所述多个有效用户字典序列的总数目确定为所述当前时间窗口的访问次数;
比较模块36,用于将所述当前时间窗口对应的访问次数与至少一个历史时间窗口对应的访问次数进行比较,以得到所述当前时间窗口满足的目标条件;
第二查找模块37,用于从预设的条件与异常类型的对应关系中,查找所述目标条件对应的目标异常类型。
在一可选实现方式中,比较模块包括:
第一划分单元,用于若所述当前时间窗口的访问次数高于最大访问次数第一阈值,将具有相同用户标识的有效用户字典序列划分至同一字典序列集合,所述最大访问次数为所述至少一个历史时间窗口对应的访问次数中的最大值;
第一确定单元,用于若各所述字典序列集合包含的有效用户字典序列的数目的差值中的最大值小于或等于第二阈值,确定所述当前时间窗口满足第一条件,其中,所述第一条件对应的目标异常类型为负载均衡服务器故障类型。
在一可选实现方式中,比较模块包括:
第二划分单元,用于若所述当前时间窗口的访问次数高于最大访问次数第一阈值,将具有相同用户标识的有效用户字典序列划分至同一字典序列集合,所述最大访问次数为所述至少一个历史时间窗口对应的访问次数中的最大值;
第二确定单元,用于若各所述字典序列集合包含的有效用户字典序列的数目的差值中的最大值大于或等于第三阈值,确定所述当前时间窗口满足第二条件;其中,所述第二条件对应的目标异常类型为恶意攻击类型。
在一可选实现方式中,比较模块包括:
第三确定单元,用于若所述当前时间窗口的访问次数与所述至少一个历史时间窗口对应的访问次数均为零,确定所述当前时间窗口满足第三条件;其中,所述第三条件对应的目标异常类型为机器故障类型。
在一可选实现方式中,还包括:
第三查找模块,用于若查找到所述目标条件对应的目标异常类型,从预设的异常类型与解决方案的对应关系中,查找所述目标异常类型对应的第一解决方案。
在一可选实现方式中,还包括:
第一控制模块,用于控制运行所述第一解决方案;或,
发送模块,用于将所述第一解决方案、所述目标异常类型、所述当前时间窗口内的多个有效用户字典序列、所述至少一个历史时间窗口内的多个有效用户字典序列发送至电子设备。
在一可选实现方式中,还包括:
接收模块,用于接收所述电子设备发送的基于所述第一解决方案、所述目标异常类型、所述当前时间窗口内的多个有效用户字典序列、所述历史时间窗口内的多个有效用户字典序列确定的第二解决方案;
第二控制模块,用于控制运行所述第二解决方案;
关联模块,用于关联所述目标异常类型与所述第二解决方案。
如图4所示,为本申请实施例提供的一种服务器的结构图。
如图4所示,服务器包括但不限于:处理器401、存储器402、网络接口403、I/O控制器404以及通信总线405。
需要说明的是,本领域技术人员可以理解,图4中示出的服务器的结构并不构成对服务器的限定,服务器可以包括比图4所示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
下面结合图4对服务器的各个构成部件进行具体的介绍:
处理器401是服务器的控制中心,利用各种接口和线路连接整个服务器的各个部分,通过运行或执行存储在存储器402内的软件程序和/或模块,以及调用存储在存储器1002内的数据,执行服务器的各种功能和处理数据,从而对服务器进行整体监控。处理器401可包括一个或多个处理单元;可选的,处理器401可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作***、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器401中。
处理器401可能是一个中央处理器(CentralProcessing Unit,CPU),或者是特定集成电路ASIC(Application Specific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路等;
存储器402可能包含内存,例如高速随机存取存储器(Random-Access Memory,RAM)4021和只读存储器(Read-Only Memory,ROM)4022,也可能还包括大容量存储设备4023,例如至少1个磁盘存储器等。当然,存储器402还可能包括其他业务所需要的硬件。
其中,上述的存储器402,用于存储上述处理器401可执行指令。上述处理器401被配置为执行应用于服务器的异常类型检测方法实施例中任一步骤。
一个有线或无线网络接403被配置为将服务器连接到网络。
处理器401、存储器402、网络接口403和I/O控制器404可以通过通信总线405相互连接,该通信总线可以是ISA(Industry Standard Architecture,工业标准体系结构)总线、PCI(PeripheralComponent Interconnect,外设部件互连标准)总线或EISA(ExtendedIndustry Standard Architecture,扩展工业标准结构)总线等。所述总线可以分为地址总线、数据总线、控制总线等。
在示例性实施例中,服务器可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述异常类型检测方法。
在示例性实施例中,还提供了一种包括指令的存储介质,例如包括指令的存储器402,上述指令可由服务器的处理器401执行以完成上述方法。可选地,存储介质可以是非临时性计算机可读存储介质,例如,所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
在示例性实施例中,还提供了一种计算机程序产品,可直接加载到计算机的内部存储器,例如上述存储器402中,并含有软件代码,该计算机程序经由计算机载入并执行后能够实现上述任一异常类型检测方法。
需要说明的是,本说明书中的各个实施例中记载的特征可以相互替换或者组合。对于装置或***类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种异常类型检测方法,其特征在于,包括:
获取当前时间窗口内的多个日志;
从所述多个日志中,筛选出表征与用户具有交互的多个用户交易日志;
从所述多个用户交易日志中,获得多个用户字典序列,所述用户字典序列包括:用户标识、交易标识、交易时间以及交易信息,不同所述用户字典序列对应不同的交易;
从所述多个用户字典序列中,获取多个有效用户字典序列,所述有效用户字典序列包含的交易信息为有效交易信息;
将所述多个有效用户字典序列的总数目确定为所述当前时间窗口的访问次数;
将所述当前时间窗口对应的访问次数与至少一个历史时间窗口对应的访问次数进行比较,以得到所述当前时间窗口满足的目标条件;
从预设的条件与异常类型的对应关系中,查找所述目标条件对应的目标异常类型。
2.根据权利要求1所述异常类型检测方法,其特征在于,所述将所述当前时间窗口对应的访问次数与至少一个历史时间窗口对应的访问次数进行比较,以得到所述当前时间窗口满足的目标条件步骤包括:
若所述当前时间窗口的访问次数高于最大访问次数第一阈值,将具有相同用户标识的有效用户字典序列划分至同一字典序列集合,所述最大访问次数为所述至少一个历史时间窗口对应的访问次数中的最大值;
若各所述字典序列集合包含的有效用户字典序列的数目的差值中的最大值小于或等于第二阈值,确定所述当前时间窗口满足第一条件,其中,所述第一条件对应的目标异常类型为负载均衡服务器故障类型。
3.根据权利要求1所述异常类型检测方法,其特征在于,所述将所述当前时间窗口对应的访问次数与至少一个历史时间窗口对应的访问次数进行比较,以得到所述当前时间窗口满足的目标条件步骤包括:
若所述当前时间窗口的访问次数高于最大访问次数第一阈值,将具有相同用户标识的有效用户字典序列划分至同一字典序列集合,所述最大访问次数为所述至少一个历史时间窗口对应的访问次数中的最大值;
若各所述字典序列集合包含的有效用户字典序列的数目的差值中的最大值大于或等于第三阈值,确定所述当前时间窗口满足第二条件;其中,所述第二条件对应的目标异常类型为恶意攻击类型。
4.根据权利要求1所述异常类型检测方法,其特征在于,所述将所述当前时间窗口对应的访问次数与至少一个历史时间窗口对应的访问次数进行比较,以得到所述当前时间窗口满足的目标条件步骤包括:
若所述当前时间窗口的访问次数与所述至少一个历史时间窗口对应的访问次数均为零,确定所述当前时间窗口满足第三条件;其中,所述第三条件对应的目标异常类型为机器故障类型。
5.根据权利要求1至4任一所述异常类型检测方法,其特征在于,还包括:
若查找到所述目标条件对应的目标异常类型,从预设的异常类型与解决方案的对应关系中,查找所述目标异常类型对应的第一解决方案。
6.根据权利要求5所述异常类型检测方法,其特征在于,还包括:
控制运行所述第一解决方案;或,
将所述第一解决方案、所述目标异常类型、所述当前时间窗口内的多个有效用户字典序列、所述至少一个历史时间窗口内的多个有效用户字典序列发送至电子设备。
7.根据权利要求6所述异常类型检测方法,其特征在于,还包括:
接收所述电子设备发送的基于所述第一解决方案、所述目标异常类型、所述当前时间窗口内的多个有效用户字典序列、所述历史时间窗口内的多个有效用户字典序列确定的第二解决方案;
控制运行所述第二解决方案;
关联所述目标异常类型与所述第二解决方案。
8.一种异常类型检测装置,其特征在于,包括:
第一获取模块,用于获取当前时间窗口内的多个日志;
第一查找模块,用于从所述多个日志中,查找表征与用户具有交互的多个用户交易日志;
第二获取模块,用于从所述多个用户交易日志中,获得多个用户字典序列,所述用户字典序列包括:用户标识、交易标识、交易时间以及交易信息,不同所述用户字典序列对应不同的交易;
第三获取模块,用于从所述多个用户字典序列中,获取多个有效用户字典序列,所述有效用户字典序列包含的交易信息为有效交易信息;
第一确定模块,用于将所述多个有效用户字典序列的总数目确定为所述当前时间窗口的访问次数;
比较模块,用于将所述当前时间窗口对应的访问次数与至少一个历史时间窗口对应的访问次数进行比较,以得到所述当前时间窗口满足的目标条件;
第二查找模块,用于从预设的条件与异常类型的对应关系中,查找所述目标条件对应的目标异常类型。
9.一种服务器,其特征在于,包括:
处理器;
用于存储所述处理器可执行指令的存储器;
其中,所述处理器被配置为执行所述指令,以实现如权利要求1至7任一所述的异常类型检测装置。
10.一种计算机可读存储介质,当所述计算机可读存储介质中的指令由服务器的处理器执行时,使得服务器能够执行如权利要求1至7任一所述的异常类型检测装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110740771.4A CN113419890A (zh) | 2021-06-30 | 2021-06-30 | 异常类型检测方法、装置、服务器及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110740771.4A CN113419890A (zh) | 2021-06-30 | 2021-06-30 | 异常类型检测方法、装置、服务器及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113419890A true CN113419890A (zh) | 2021-09-21 |
Family
ID=77717493
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110740771.4A Pending CN113419890A (zh) | 2021-06-30 | 2021-06-30 | 异常类型检测方法、装置、服务器及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113419890A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113890821A (zh) * | 2021-09-24 | 2022-01-04 | 绿盟科技集团股份有限公司 | 一种日志关联的方法、装置及电子设备 |
| CN115659377A (zh) * | 2022-12-13 | 2023-01-31 | 闪捷信息科技有限公司 | 接口异常访问识别方法、装置、电子设备和存储介质 |
| WO2024000904A1 (zh) * | 2022-06-30 | 2024-01-04 | 方未科技(荷兰) | 一种流量检测方法、装置、设备及可读存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106027577A (zh) * | 2016-08-04 | 2016-10-12 | 四川无声信息技术有限公司 | 一种异常访问行为检测方法及装置 |
| CN108683562A (zh) * | 2018-05-18 | 2018-10-19 | 深圳壹账通智能科技有限公司 | 异常检测定位方法、装置、计算机设备及存储介质 |
| CN109842628A (zh) * | 2018-12-13 | 2019-06-04 | 成都亚信网络安全产业技术研究院有限公司 | 一种异常行为检测方法及装置 |
| CN110321371A (zh) * | 2019-07-01 | 2019-10-11 | 腾讯科技(深圳)有限公司 | 日志数据异常检测方法、装置、终端及介质 |
| WO2020007367A1 (zh) * | 2018-07-06 | 2020-01-09 | 北京白山耘科技有限公司 | 一种检查异常web访问的方法、装置、介质及设备 |
| CN112306982A (zh) * | 2020-11-16 | 2021-02-02 | 杭州海康威视数字技术股份有限公司 | 异常用户检测方法、装置、计算设备及存储介质 |
| WO2021056731A1 (zh) * | 2019-09-23 | 2021-04-01 | 平安科技(深圳)有限公司 | 基于日志数据分析的行为检测方法、装置、设备及介质 |
-
2021
- 2021-06-30 CN CN202110740771.4A patent/CN113419890A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106027577A (zh) * | 2016-08-04 | 2016-10-12 | 四川无声信息技术有限公司 | 一种异常访问行为检测方法及装置 |
| CN108683562A (zh) * | 2018-05-18 | 2018-10-19 | 深圳壹账通智能科技有限公司 | 异常检测定位方法、装置、计算机设备及存储介质 |
| WO2020007367A1 (zh) * | 2018-07-06 | 2020-01-09 | 北京白山耘科技有限公司 | 一种检查异常web访问的方法、装置、介质及设备 |
| CN109842628A (zh) * | 2018-12-13 | 2019-06-04 | 成都亚信网络安全产业技术研究院有限公司 | 一种异常行为检测方法及装置 |
| CN110321371A (zh) * | 2019-07-01 | 2019-10-11 | 腾讯科技(深圳)有限公司 | 日志数据异常检测方法、装置、终端及介质 |
| WO2021056731A1 (zh) * | 2019-09-23 | 2021-04-01 | 平安科技(深圳)有限公司 | 基于日志数据分析的行为检测方法、装置、设备及介质 |
| CN112306982A (zh) * | 2020-11-16 | 2021-02-02 | 杭州海康威视数字技术股份有限公司 | 异常用户检测方法、装置、计算设备及存储介质 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113890821A (zh) * | 2021-09-24 | 2022-01-04 | 绿盟科技集团股份有限公司 | 一种日志关联的方法、装置及电子设备 |
| CN113890821B (zh) * | 2021-09-24 | 2023-11-17 | 绿盟科技集团股份有限公司 | 一种日志关联的方法、装置及电子设备 |
| WO2024000904A1 (zh) * | 2022-06-30 | 2024-01-04 | 方未科技(荷兰) | 一种流量检测方法、装置、设备及可读存储介质 |
| CN115659377A (zh) * | 2022-12-13 | 2023-01-31 | 闪捷信息科技有限公司 | 接口异常访问识别方法、装置、电子设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113419890A (zh) | 异常类型检测方法、装置、服务器及介质 | |
| CN108737333B (zh) | 一种数据检测方法以及装置 | |
| WO2022068645A1 (zh) | 数据库故障发现方法、装置、电子设备及存储介质 | |
| CN106778260B (zh) | 攻击检测方法和装置 | |
| US10320833B2 (en) | System and method for detecting creation of malicious new user accounts by an attacker | |
| US11784974B2 (en) | Method and system for intrusion detection and prevention | |
| CN108092777B (zh) | 数字证书的监管方法及装置 | |
| CN115204733A (zh) | 数据审计方法、装置、电子设备及存储介质 | |
| CN114285822A (zh) | 一种域名解析服务器切换方法及装置 | |
| CN113901441A (zh) | 一种用户异常请求检测方法、装置、设备及存储介质 | |
| US10110440B2 (en) | Detecting network conditions based on derivatives of event trending | |
| CN113656252A (zh) | 故障定位方法、装置、电子设备以及存储介质 | |
| CN116743606A (zh) | 一种异常流量监测方法、装置、设备及存储介质 | |
| CN108255710B (zh) | 一种脚本的异常检测方法及其终端 | |
| CN114116128B (zh) | 容器实例的故障诊断方法、装置、设备和存储介质 | |
| CN115242621A (zh) | 网络专线监控方法、装置、设备及计算机可读存储介质 | |
| CN115130112A (zh) | 一种快速启停方法、装置、设备及存储介质 | |
| CN109150666B (zh) | 一种预防网站宕机的方法 | |
| CN113791897A (zh) | 一种农信***的服务器基线检测报告的展现方法及*** | |
| CN109150871B (zh) | 安全检测方法、装置、电子设备及计算机可读存储介质 | |
| JP2011004082A (ja) | 不正端末特定方法および不正端末特定システム | |
| CN112367324B (zh) | Cdn的攻击检测方法、装置、存储介质及电子设备 | |
| RU2381550C2 (ru) | Способ мониторинга безопасности web-сервера | |
| CN113094243A (zh) | 节点性能检测方法和装置 | |
| CN112835737A (zh) | ***异常处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |