[发明专利]基于行为的流量监测方法及装置

说明书

本发明涉及基于行为的流量监测方法及装置，包括：在监测到流量源发起访问时，创建针对流量源的时间窗，其中，时间窗能够容纳预设时长的数据；将流量源发起访问后的访问行为写入到时间窗中；根据时间窗中的访问行为确定流量源的至少一个行为要素，其中，每一个行为要素表征一种行为特征；根据至少一个行为要素生成流量源的当前行为链；根据当前行为链判断访问行为是否异常；当判断出访问行为异常时，触发告警事件。本方案能够帮助分析人员快速确定流量源是否异常。

技术领域

本发明涉及计算机技术领域，尤其涉及基于行为的流量监测方法及装置。

背景技术

流量分析是指在获得网站访问量基本数据的情况下对有关数据进行统计、分析，从中发现用户访问网站的规律。

当前的流量分析技术多是基于单个流量包判断，比如，一个IP与另一个IP产生一次交互后，如发现交互异常则触发告警。

但是，上述分析方式很容易因用户的误操作触发大量的告警事件，从而给分析人员带来大量的干扰数据，操作人员通过大量数据难以快速确定流量源是否异常。

因此，针对以上不足，需要提供基于行为的流量监测方法及装置。

发明内容

本发明提供了基于行为的流量监测方法及装置，能够帮助分析人员快速确定流量源是否异常。

第一方面，本发明提供了基于行为的流量监测方法，包括：

在监测到流量源发起访问时，创建针对所述流量源的时间窗，其中，所述时间窗能够容纳预设时长的数据；

将所述流量源发起访问后的访问行为写入到所述时间窗中；

根据所述时间窗中的所述访问行为确定所述流量源的至少一个行为要素，其中，每一个所述行为要素表征一种行为特征；

根据所述至少一个行为要素生成所述流量源的当前行为链；

根据所述当前行为链判断所述访问行为是否异常；

当判断出所述访问行为异常时，触发告警事件。

优选地，

所述将所述流量源发起访问后的访问行为写入到所述时间窗中，根据所述时间窗中的所述访问行为确定所述流量源的至少一个行为要素，包括：

A1：按照预设的采集周期，采集所述流量源发起访问后的访问行为；

A2：确定所述时间窗中剩余的容量是否小于预设的容量阈值，其中，所述容量阈值小于所述采集周期内采集到的所述访问行为的数据量，如果是，执行A3，否则，执行A5；

A3：根据所述时间窗中的所述访问行为确定所述流量源的至少一个行为要素；

A4：删除所述时间窗中一个所述采集周期对应的时长内的历史数据，其中，所述历史数据为所述时间窗中存储时间最长的数据；

A5：将采集到的所述访问行为写入到所述时间窗中。

优选地，

在所述在监测到流量源发起访问之后，在所述将所述流量源发起访问后的访问行为写入到所述时间窗中之前，进一步包括：

S1：将所述流量源发来的第一信息和针对所述第一信息返回给所述流量源的第二信息作为所述流量源的访问行为，执行S2；

S2：确定预存数据中是否存在针对所述流量源且被标记的会话，其中，被标记的所述会话中最新的信息对应的第一时间点与所述流量源发起访问时对应的第二时间点之差小于或等于预设的时间阈值，如果是，执行S4，否则，执行S3；

S3：创建针对所述流量源的会话，对所述会话进行标记；