[发明专利]一种分布式用户行为日志预测网络监管方法及系统

权利要求书

1.一种分布式用户行为日志预测网络监管方法，其特征在于，所述方法包括：

数据包采集与策略预取服务器PCPP捕获网络用户发起的网络访问请求数据包，提取访问日志，上传给日志收集与分析服务器LCA；

LCA存储所述访问日志，根据所述访问日志计算网络服务流行度；

LCA根据所述访问日志获取所述网络服务流行度相对应的k个网络服务标识；并返回给所述PCPP；

PCPP根据所述k个网络服务标识以及访问日志中的用户属性信息，向预先设定的策略库中进行策略预取，根据预取到的策略对网络用户访问请求进行监管处置。

2.如权利要求1所述的方法，其特征在于，所述PCPP采用旁路监听的方式从网络数据转发设备捕获网络用户发起的网络访问请求数据包。

3.如权利要求1所述的方法，其特征在于，所述访问日志是以四元组的形式存储的，包括网络用户所处网络的标识CNID、网络用户访问目标的IP地址DIP、网络用户访问目标的端口地址DPort以及网络服务标识URL。

4.如权利要求3所述的方法，其特征在于，所述LCA存储所述访问日志，包括：

所述LCA提取<CNID,DIP，DPort>并进行散列计算获得key值；

根据key值，LCA获得所述访问日志存储的后继结点LCA，并向该后继结点分发用户访问日志；

所述后继结点LCA接收到分发的所述访问日志后，存储所述访问日志至其网络服务访问日志库中。

5.如权利要求4所述的方法，其特征在于，所述根据所述网络日志计算网络服务流行度，包括：

LCA将所述访问日志存储在网络日志存储表中，并建立网络服务流行度存储表；

循环比较所述网络日志存储表和网络服务流行度存储表，若所述网络日志存储表中的第i项记录与网络服务流行度存储表中的第j项记录的CNID,DIP，DPort以及URL相同，则LCA设置网络服务流行度存储表中的相应网络服务流行度进行加1操作，同时，删除所述网络日志存储表中该记录项；

若所述网络日志存储表中的第i项记录与网络服务流行度存储表中的第j项记录的CNID,DIP，DPort或者URL不同，则LCA在网络服务流行度存储表中增加对应的新记录项，并设置相应的网络服务流行度为“1”，同时，删除所述网络日志存储表中该记录项。

6.如权利要求5所述的方法，其特征在于，所述网络服务流行度存储表中设定时长内没有被更新的访问日志将被删除。

7.如权利要求5所述的方法，其特征在于，所述方法还包括：

当所述LCA当前系统时间与其最后一次进行的网络服务访问流行度计算时间之差等于τ时，所述LCA启动新一轮的网络服务流行度计算。

8.如权利要求5所述的方法，其特征在于，所述LCA根据所述访问日志获取所述网络服务流行度相对应的k个网络服务标识，包括：

所述LCA利用CNID、DIP、DPort在网络服务流行度存储表中获得所有相关的URL条数；

根据预先设定的k值，获得网络服务流行度排名在前k项的URL；

若存在多于k条网络服务具有相同网络服务流行度，则提取被访问时间最靠前的网络服务流行度排名在前k项的URL。

9.如权利要求1所述的方法，其特征在于，所述方法还包括：

所述访问日志中的用户属性信息由PCPP从所述网络日志中提取；所述预先设定的策略库根据网络监管的策略设定；

所述根据预取到的策略对网络用户访问请求进行监管处置，包括：

从所述策略库中获取所述网络用户与所述k个网络服务之间的监管策略；

在所述网络用户下一次访问请求时，判断其是否针对所述k个网络服务，若是，则直接根据预取的策略对其进行网络监管处置；否则，提取网络用户请求访问数据包，生成网络用户访问日志。

10.一种分布式用户行为日志预测网络监管系统，其特征在于，所述系统包括PCPP和LCA，其中，

所述PCPP用于捕获网络用户发起的网络访问请求数据包，提取访问日志，上传给LCA；获取网络服务流行度，并根据预先设定的策略库获取网络监管策略，对所述网络用户的网络访问请求进行监管处置；

所述LCA用于分发存储所述访问日志，根据所述访问日志计算网络服务流行度并下发给PCPP。

11.如权利要求10所述的系统，其特征在于，所述系统包括若干个LCA，所述LCA组成分布式哈希表DHT网络；

LCA对接收到的所述访问日志通过分布式哈希算法进行散列计算获得key值，根据key值，LCA获得所述访问日志存储的后继结点LCA，并向该后继结点分发用户访问日志。