[发明专利]基于行为的流量监测方法及装置

权利要求书

1.基于行为的流量监测方法，其特征在于，包括：

在监测到流量源发起访问时，创建针对所述流量源的时间窗，其中，所述时间窗能够容纳预设时长的数据；

将所述流量源发起访问后的访问行为写入到所述时间窗中；

根据所述时间窗中的所述访问行为确定所述流量源的至少一个行为要素，其中，每一个所述行为要素表征一种行为特征；

根据所述至少一个行为要素生成所述流量源的当前行为链；

根据所述当前行为链判断所述访问行为是否异常；

当判断出所述访问行为异常时，触发告警事件；

所述根据所述至少一个行为要素生成所述流量源的当前行为链，包括：

确定每一个所述行为要素出现的次数；

按照时间顺序和每一个所述行为要素出现的次数，生成所述流量源的当前行为链。

2.根据权利要求1所述的基于行为的流量监测方法，其特征在于：

所述将所述流量源发起访问后的访问行为写入到所述时间窗中，根据所述时间窗中的所述访问行为确定所述流量源的至少一个行为要素，包括：

A1：按照预设的采集周期，采集所述流量源发起访问后的访问行为；

A2：确定所述时间窗中剩余的容量是否小于预设的容量阈值，其中，所述容量阈值小于所述采集周期内采集到的所述访问行为的数据量，如果是，执行A3，否则，执行A5；

A3：根据所述时间窗中的所述访问行为确定所述流量源的至少一个行为要素；

A4：删除所述时间窗中一个所述采集周期对应的时长内的历史数据，其中，所述历史数据为所述时间窗中存储时间最长的数据；

A5：将采集到的所述访问行为写入到所述时间窗中。

3.根据权利要求1所述的基于行为的流量监测方法，其特征在于：

在所述在监测到流量源发起访问之后，在所述将所述流量源发起访问后的访问行为写入到所述时间窗中之前，进一步包括：

S1：将所述流量源发来的第一信息和针对所述第一信息返回给所述流量源的第二信息作为所述流量源的访问行为，执行S2；

S2：确定预存数据中是否存在针对所述流量源且被标记的会话，其中，被标记的所述会话中最新的信息对应的第一时间点与所述流量源发起访问时对应的第二时间点之差小于或等于预设的时间阈值，如果是，执行S4，否则，执行S3；

S3：创建针对所述流量源的会话，对所述会话进行标记；

S4：将所述访问行为记录在所述会话中；

S5：在所述时间阈值内未接收到所述访问行为时，删除所述会话的标记。

4.根据权利要求1所述的基于行为的流量监测方法，其特征在于：

所述当判断出所述访问行为异常时，触发告警事件，包括：

D1：确定预先创建的告警队列中是否存在历史告警记录，如果是，执行D2，否则，执行D6；

D2：确定判断出所述访问行为异常时对应的异常时间点；

D3：确定所述告警队列中的第一个历史告警记录加入到所述告警队列时的入列时间点；

D4：确定所述异常时间点与所述入列时间点之间的时长是否大于预设的告警时长，如果是，执行D5，否则，执行D7；

D5：删除所述告警队列中的历史告警记录；

D6：触发告警事件；

D7：生成所述访问行为对应的新增告警记录，并将所述新增告警记录作为历史告警记录加入到所述告警队列中。

5.根据权利要求4所述的基于行为的流量监测方法，其特征在于：

在所述将所述新增告警记录作为历史告警记录加入到所述告警队列中之后，进一步包括：

确定所述告警队列中的历史告警记录的数量是否等于预设的告警数量；

当所述告警队列中的历史告警记录的数量等于所述告警数量时，执行D5。