CN110516439A - 一种检测方法、装置、服务器及计算机可读介质 - Google Patents
一种检测方法、装置、服务器及计算机可读介质 Download PDFInfo
- Publication number
- CN110516439A CN110516439A CN201910677436.7A CN201910677436A CN110516439A CN 110516439 A CN110516439 A CN 110516439A CN 201910677436 A CN201910677436 A CN 201910677436A CN 110516439 A CN110516439 A CN 110516439A
- Authority
- CN
- China
- Prior art keywords
- event
- systems
- generated
- source
- belonging
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Abstract
本申请实施例提供了一种检测方法、装置、服务器及计算机可读介质,该方法包括:基于所有在系统中产生的事件的跟踪信息,从所有在系统中产生的事件中查找出属于同一事件源的多个在系统中产生的事件;基于属于同一事件源的多个在系统中产生的事件的跟踪信息,检测属于同一事件源的多个在系统中产生的事件的产生过程中是否存在异常情况,当检测出存在异常情况时,生成告警信息。实现了对属于同一个事件源的多个在系统中产生的事件的产生过程中是否存在异常情况进行检测,及时发现属于同一个事件源的多个在系统中产生的事件的产生过程中存在的异常情况并且及时通过告警信息进行告警。
Description
技术领域
本申请涉及计算机领域,具体涉及检测方法、装置、服务器及计算机可读介质。
背景技术
在诸如认证系统的系统中,在用户进行诸如登录操作的操作之后,系统会响应用户的操作,在系统中产生多个事件,通过在系统中产生的多个事件去完成诸如对用户的登录权限进行校验的工作。
在系统的运行过程中,对相关联的多个事件的产生过程中是否存在异常情况进行检测,及时发现相关联的多个事件的产生过程中存在的异常情况并且进行告警是监控系统是否正常运行的关键环节。因此,如何对相关联的多个事件的产生过程中是否存在异常情况进行检测,及时发现相关联的多个事件的产生过程中存在的异常情况并且进行告警成为一个需要解决的问题。
发明内容
本申请实施例提供了检测方法和装置。
第一方面,本申请实施例提供了检测方法,该方法包括:
基于所有在系统中产生的事件的跟踪信息,从所有在系统中产生的事件中查找出属于同一事件源的多个在系统中产生的事件,其中,所述属于同一事件源的多个在系统中产生的事件基于同一个用户的操作而产生,在系统中产生的事件的跟踪信息包括:所述在系统中产生的事件对应的用户标识、所述在系统中产生的事件所属的事件源的类型标识、所述事件源的产生时间、所述在系统中产生的事件的上一个在系统中产生的事件的事件标识,其中,所述属于同一事件源的多个在系统中产生的事件的跟踪信息中的用户标识相同并且跟踪信息中的事件源的类型标识相同以及跟踪信息中的事件源的产生时间相同;
基于所述属于同一事件源的多个在系统中产生的事件的跟踪信息,检测所述属于同一事件源的多个在系统中产生的事件的产生过程中是否存在异常情况,以及当检测出存在异常情况时,生成指示存在异常情况的告警信息。
第二方面,本申请实施例提供了检测装置,该装置包括:
跟踪单元,被配置为基于所有在系统中产生的事件的跟踪信息,从所有在系统中产生的事件中查找出属于同一事件源的多个在系统中产生的事件,其中,所述属于同一事件源的多个在系统中产生的事件基于同一个用户的操作而产生,在系统中产生的事件的跟踪信息包括:所述在系统中产生的事件对应的用户标识、所述在系统中产生的事件所属的事件源的类型标识、所述事件源的产生时间、所述在系统中产生的事件的上一个在系统中产生的事件的事件标识,其中,所述属于同一事件源的多个在系统中产生的事件的跟踪信息中的用户标识相同并且跟踪信息中的事件源的类型标识相同以及跟踪信息中的事件源的产生时间相同;
检测单元,被配置为基于所述属于同一事件源的多个在系统中产生的事件的跟踪信息,检测所述属于同一事件源的多个在系统中产生的事件的产生过程中是否存在异常情况,以及当检测出存在异常情况时,生成指示存在异常情况的告警信息。
本申请实施例提供的检测方法和装置,具有以下优点:
通过所有在系统中产生的事件的跟踪信息,查找出属于同一个事件源的多个在系统中产生的事件,对属于同一个事件源的多个在系统中产生的事件的产生过程中是否存在异常情况进行检测,及时发现属于同一个事件源的多个在系统中产生的事件的产生过程中存在的异常情况并且及时通过告警信息进行告警。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本请求的其它特征、目的和优点将会变得更明显:
图1示出了本申请实施例提供的检测方法的一个实施例的流程图;
图2示出了对属于同一事件源的多个在系统中产生的事件的跟踪信息进行持久化的一个流程图;
图3示出了本申请实施例提供的检测装置的一个结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
请参考图1,其示出了本申请实施例提供的检测方法的流程。该方法中的各个步骤可以由服务器执行,该方法包括以下步骤:
步骤101,基于所有在系统中产生的事件的跟踪信息,从所有在系统中产生的事件中查找出属于同一事件源的多个在系统中产生的事件。
在本申请中,在系统中产生的事件可以为在诸如用于对用户的权限进行检测的认证系统的系统中产生的事件。
在本申请中,事件源为相关联的事件的集合。用户每进行一个操作,系统均可以响应用户的操作,在系统中产生多个事件,每产生一个事件,均执行事件对应的事件处理操作,基于用户的一个操作而产生的多个事件组成一个事件源。用户进行的每一个操作各自对应一个事件源。
例如,用户进行了一个登陆操作,系统可以响应该登陆操作,在系统中产生与对用户的登陆权限进行检测相关的多个事件,每产生一个事件,均执行事件对应的事件处理操作,产生的与对用户的登陆权限进行检测相关的多个事件组成一个事件源,该登录操作对应于该事件源。
在本申请中,由于属于同一事件源的多个在系统中产生的事件多个在系统中产生的事件基于同一个用户的操作而产生,因此,基于所有在系统中产生的事件的跟踪信息,从所有在系统中产生的事件中查找出属于同一事件源的多个在系统中产生的事件相当于从所有在系统中产生的事件中查找出因同一个用户的操作而产生的彼此相关联的事件。
在本申请中,针对任意一个用户的任意一个操作,均可以分别从所有在系统中产生的事件中查找出属于操作对应的事件源的多个在系统中产生的事件。
在本申请中,每一个在系统中产生的事件均具有各自的跟踪信息。在系统中产生的事件的跟踪信息包括:在系统中产生的事件对应的用户标识、在系统中产生的事件所属的事件源的类型标识、在系统中产生的事件所属的事件源的产生时间、该在系统中产生的事件的上一个在系统中产生的事件的事件标识。
在本申请中,在系统中产生的事件的跟踪信息还可以包括在系统中产生的事件的事件标识。在系统中产生的事件的事件标识可以为在系统中产生的事件的事件名称。
在一些实施例中,在系统中产生的事件的跟踪信息还包括:在系统中产生的事件的开始时间、在系统中产生的事件的结束时间。
在本申请中,在系统中产生的事件对应的事件处理操作可以从在系统中产生的事件的开始时间起开始执行,当在系统中产生的事件对应的事件处理操作执行完成时,可以相当于在系统中产生的事件结束,可以将在系统中产生的事件对应的事件处理操作的结束时间作为在系统中产生的事件的结束时间。
在本申请中,在系统中产生的事件的跟踪信息中的在系统中产生的事件对应的用户标识可以为:进行在系统中产生的事件所属的事件源对应的操作的用户的用户标识。
例如,当一个用户进行一个操作时,在系统中产生属于该操作对应的事件源的多个事件。属于该操作对应的事件源的多个在系统中产生的事件均具有一个跟踪信息。对于属于该操作对应的事件源的多个在系统中产生的事件,在系统中产生的事件的跟踪信息中的在系统中产生的事件对应的用户标识为该用户的用户标识。
在本申请中,在系统中产生的事件的跟踪信息中的在系统中产生的事件所属的事件源的类型标识可以为事件源的类型的名称。
在本申请中,同一个类型的所有操作中的每一个操作各自对应的事件源的类型相同。
例如,多个用户在一个时间段内均分别进行了登录操作,多个用户均进行了属于登录类型的操作。每一个用户进行登录操作时,均会分别在系统中分别产生多个事件。对于每一个用户进行的登录操作,因登录操作而导致在系统中产生的多个事件组成一个事件源。每一个用户进行的登录操作各自对应一个事件源。每一个用户进行的登录操作各自对应的一个事件源的类型相同。
在本申请中,在系统中产生的事件所属的事件源的产生时间可以为:在系统中产生的事件所属的事件源中的首个产生的事件的开始时间。
在本申请中,可以按照属于同一个事件源的多个在系统中产生的事件的产生时间,确定属于同一个事件源的多个在系统中产生的事件的产生顺序。
例如,一个用户进行了一个操作,在系统中产生属于该操作对应的事件源的一个写入自媒体业务表事件、一个写入运营表事件、一个写入基础信息表事件。假设按照该写入自媒体业务表事件的产生时间、该写入运营表事件的产生时间、该写入基础信息表事件的产生时间,确定出的产生顺序为:该写入自媒体业务表事件—>该写入运营表事件—>该写入基础信息表事件。其中,写入自媒体业务表事件为属于该操作对应的事件源的首个产生的事件。跟踪信息中的上一个在系统中产生的事件的事件标识为上一个在系统中产生的事件的事件名称。
该在系统中产生的自媒体业务表事件的跟踪信息包括:该用户的用户标识、该操作对应的事件源的类型标识、该操作对应的事件源的类型标识、该操作对应的事件源的产生时间。由于该在系统中产生的自媒体业务表事件为首个产生的事件,该在系统中产生的自媒体业务表事件不存在上一个在系统中产生的事件,因此,该在系统中产生的自媒体业务表事件的跟踪信息中的上一个在系统中产生的事件的事件名称的取值为空。
该在系统中产生的写入运营表事件的跟踪信息包括:该用户的用户标识、该操作对应的事件源的类型标识、该操作对应的事件源的类型标识、该操作对应的事件源的产生时间、该在系统中产生的写入运营表事件的上一个在系统中产生的事件即该在系统中产生的写入自媒体业务表事件的事件名称。
该在系统中产生的写入基础信息表事件的跟踪信息包括:该用户的用户标识、该操作对应的事件源的类型标识、该操作对应的事件源的产生时间、该在系统中产生的写入基础信息表事件的上一个在系统中产生的事件即该在系统中产生的写入运营表事件的事件名称。
在本申请中,当基于所有在系统中产生的事件的跟踪信息,从所有在系统中产生的事件中查找出属于同一事件源的多个在系统中产生的事件时,可以从所有在系统中产生的事件的跟踪信息中查找出具有的跟踪信息中的用户标识、事件源的类型标识、事件源的产生时间均相同的多个跟踪信息,将具有的跟踪信息中的用户标识、事件源的类型标识、事件源的产生时间均相同的多个跟踪信息中的每一个跟踪信息各自所属的在系统中产生的事件作为查找出的属于同一个事件源的多个在系统中产生的事件。
在本申请中,所有在系统中产生的事件中的每一个在系统中产生的事件的跟踪信息均已经预先记录在数据库中。当基于所有在系统中产生的事件的跟踪信息,从所有在系统中产生的事件中查找出属于同一事件源的多个在系统中产生的事件时,可以从数据库中读取出每一个在系统中产生的的事件的跟踪信息均已经记录在数据库中,从而,基于所有在系统中产生的事件的跟踪信息,从所有已经产生的事件中查找出属于同一个事件源多个在系统中产生的事件。
在本申请中,可以利用用于记录事件的跟踪信息的数据结构来记录事件的跟踪信息。
例如,用于记录事件的跟踪信息的名称为EventSourcingTracker的数据结构包括:表示产生的事件对应的用户标识的uid字段、表示产生的事件所属的事件源的类型标识的eventSourcingId字段、表示产生的所属的事件源的产生时间的eventTimeStamp字段。名称为EventSourcingTracker的数据结构还包括名称为trackerNode的数据结构。名称为trackerNode的数据结构可以称之为跟踪器结构。名称为trackerNode的数据结构包括:表示产生的事件的事件名称的eventName字段、表示产生的事件的开始时间的startTimeStamp字段、表示产生的事件的结束时间的endTimeStamp字段、表示产生的事件的上一个产生的事件的事件标识的字段。
在本申请中,每产生一个事件,即可创建一个用于记录产生的事件的跟踪信息的数据结构。当产生事件时,可以在系统中执行产生的事件对应的事件处理操作。在产生的事件处理操作执行完成之后,可以设置用于记录产生的事件的跟踪信息的数据结构中的表示跟踪信息中的项的字段的字段值。每在系统中产生一个事件并且执行在系统中产生的事件对应的事件处理操作之后,可以将记录产生的事件的跟踪信息的数据结构写入到数据库中,对记录产生的事件的跟踪信息的数据结构进行持久化。
例如,认证系统基于领域驱动架构来构建。在认证系统中每产生一个事件,均会创建用于记录该事件的跟踪信息的名称为EventSourcingTracker的数据结构。在认证系统中每产生一个事件,均会由产生一个新的command命令,由认证系统中的负责对产生的事件进行处理的单元解析command命令,执行在系统中产生的事件对应的事件处理操作。每产生一个事件并且执行在系统中产生的事件对应的事件处理操作之后,可以设置在系统中产生的事件的EventSourcingTracker中的表示跟踪信息中的项的字段的字段值,将设置了表示跟踪信息中的项的字段的字段值之后的在系统中产生的事件的EventSourcingTracker写入数据库中,对在系统中产生的事件的EventSourcingTracker进行持久化。当在系统中产生的事件的下一个事件产生之后,当设置在系统中产生的事件的下一个事件的EventSourcingTracker中的表示跟踪信息中的项的字段的字段值时,可以将在系统中产生的事件的EventSourcingTracker中的在系统中产生的事件的事件标识加入到在系统中产生的事件的下一个事件的EventSourcingTracker中,作为在系统中产生的事件的下一个事件的EventSourcingTracker中的表示产生的事件的上一个产生的事件的事件标识的字段的字段值。
步骤102,基于查找出的属于同一事件源的多个在系统中产生的事件的跟踪信息,检测查找出的属于同一事件源的多个在系统中产生的事件的产生过程中是否存在异常情况,以及当存在异常情况时,生成指示存在异常情况的告警信息。
在本申请中,在任意一个用户的任意一个操作均导致属于同一事件源的多个事件在系统中产生,在任意一个用户的任意一个操作均导致属于同一事件源的多个事件在系统中产生之后,均可以分别从所有在系统中产生的事件中查找出属于操作对应的事件源的多个在系统中产生的事件,根据属于操作对应的事件源的多个在系统中产生的事件的跟踪信息,检测属于操作对应的事件源的多个在系统中产生的事件的产生过程中是否存在异常情况。
在本申请中,在查找出属于同一事件源的多个在系统中产生的事件之后,可以检测查找出的属于同一事件源的多个在系统中产生的事件的产生过程中,是否存在写入到数据库中的数据出现错误这一异常情况。
例如,查找出的属于同一事件源的多个在系统中产生的事件为与将数据写入系统的数据库中的数据表的写入自媒体业务表事件、写入运营表事件、写入基础信息表事件。一个用户进行了一个操作,在系统中产生一个写入自媒体业务表事件、一个写入运营表事件、一个写入基础信息表事件。
当在系统中产生该写入自媒体业务表事件时,可以在系统中执行该写入自媒体业务表事件对应的事件处理操作来将相关数据写入到自媒体业务表中。当在系统中产生该写入运营表事件时,可以在系统中执行该写入运营表事件对应的事件处理操作来将相关数据写入到运营表中。当在系统中产生写入基础信息表事件时,可以在系统中执行写入基础信息表事件对应的事件处理操作来将相关数据写入到基础信息表中。
当检测查找出的属于同一事件源的属于该用户的该操作对应的数据源的该写入自媒体业务表事件、该写入运营表事件、该写入基础信息表事件的产生过程中,是否存在写入到系统的数据库中的数据出现错误这一异常情况进行检测时,可以分别判断在自媒体业务表中写入的相关数据是否正确、在运营表中写入的相关数据是否正确、在基础信息表中写入的相关数据是否正确。
当在自媒体业务表中写入的相关数据、在运营表中写入的相关数据、在基础信息表写入的相关数据中的任意一个相关数据不正确时,可以产生告警信息。可以由服务器将告警信息发送至认证系统的运维工程师使用的设备,从而,使得认证系统的运维工程师了解到写入到相应的数据表中的相关数据出现错误,对相应的数据表中的相关数据出现错误的原因进行分析。
在一些实施例中,当基于查找出的属于同一事件源的多个在系统中产生的事件的跟踪信息,检测查找出的属于同一事件源的多个在系统中产生的事件的产生过程中是否存在异常情况时,可以检测查找出的属于同一事件源的多个在系统中产生的事件的产生过程中是否存在查找出的属于同一事件源的多个在系统中产生的事件的产生顺序与查找出的属于同一事件源的多个在系统中产生的事件所属的事件源对应的预设产生顺序不一致这一异常情况。
可以首先基于查找出的属于同一事件源的多个在系统中产生的事件的跟踪信息,确定查找出的属于同一事件源的多个在系统中产生的事件的产生顺序。然后,检测查找出的属于同一事件源的多个在系统中产生的事件的产生顺序与查找出的属于同一事件源的多个在系统中产生的事件所属的事件源对应的预设产生顺序是否一致。
当查找出的属于同一事件源的多个在系统中产生的事件的产生顺序与查找出的属于同一事件源的多个在系统中产生的事件所属的事件源对应的预设产生顺序不一致时,则可以生成告警信息。可以由服务器将告警信息发送至认证系统的运维工程师使用的设备,从而,使得认证系统的运维工程师了解到属于同一事件源的多个在系统中产生的的事件的产生顺序与事件源对应的预设产生顺序不一致这一异常情况,对出现异常的原因进行分析。
例如,一个用户进行了一个操作,在系统中产生属于该操作对应的事件源的一个写入自媒体业务表事件、一个写入运营表事件、一个写入基础信息表事件。假设在系统中产生的事件的产生顺序为:该写入自媒体业务表事件—>该写入运营表事件—>该写入基础信息表事件。其中,写入自媒体业务表事件为属于该操作对应的事件源的首个产生的事件。跟踪信息中的上一个在系统中产生的事件的事件标识为上一个在系统中产生的事件的事件名称。
该在系统中产生的自媒体业务表事件的跟踪信息包括:该用户的用户标识、该操作对应的事件源的类型标识、该操作对应的事件源的类型标识、该操作对应的事件源的产生时间。由于该在系统中产生的自媒体业务表事件为首个产生的事件,该在系统中产生的自媒体业务表事件不存在上一个在系统中产生的事件,因此,该在系统中产生的自媒体业务表事件的跟踪信息中的上一个在系统中产生的事件的事件名称的取值为空。
该在系统中产生的写入运营表事件的跟踪信息包括:该用户的用户标识、该操作对应的事件源的类型标识、该操作对应的事件源的类型标识、该操作对应的事件源的产生时间、该在系统中产生的写入运营表事件的上一个在系统中产生的事件即该在系统中产生的写入自媒体业务表事件的事件名称。
该在系统中产生的写入基础信息表事件的跟踪信息包括:该用户的用户标识、该操作对应的事件源的类型标识、该操作对应的事件源的产生时间、该在系统中产生的写入基础信息表事件的上一个在系统中产生的事件即该在系统中产生的写入运营表事件的事件名称。
在查找出属于该操作对应的事件源的该系统中产生的写入自媒体业务表事件、该在系统中产生的写入运营表事件、该在系统中产生的写入基础信息表事件之后,可以根据属于该操作对应的事件源中的每一个事件的跟踪信息中的上一个在系统中产生的事件的事件名称,确定出查找出的属于该操作对应的事件源多个在系统中产生的事件的产生顺序为该在系统中产生的写入自媒体业务表事件—>该在系统中产生的写入运营表事件—>该在系统中产生的写入基础信息表事件。
若预设产生顺序为:写入自媒体业务表事件—>写入运营表事件—>写入基础信息表系统,则查找出的属于该操作对应的事件源的多个在系统中产生的事件的产生顺序与预设产生顺序一致,不存在查找出的属于同一事件源的多个在系统中产生的事件的产生顺序与查找出的属于同一事件源的多个在系统中产生的事件所属的事件源对应的预设产生顺序不一致的异常情况。
若预设产生顺序为:写入自媒体业务表事件—>写入基础信息表系统—>写入运营表事件,则存在查找出的属于同一事件源的多个在系统中产生的事件的产生顺序与查找出的属于同一事件源的多个在系统中产生的事件所属的事件源对应的预设产生顺序不一致的异常情况,生成指示查找出的属于同一事件源的多个在系统中产生的事件的产生顺序与查找出的属于同一事件源的多个在系统中产生的事件所属的事件源对应的预设产生顺序不一致的告警信息。
在一些实施例中,当基于查找出的属于同一事件源的多个在系统中产生的事件的跟踪信息,检测查找出的属于同一事件源的多个在系统中产生的事件的产生过程中是否存在异常情况时,可以检测查找出的属于同一事件源的多个在系统中产生的事件的产生过程中是否存在超时事件和/或高耗时事件这一异常情况。
可以首先根据查找出的属于同一事件源的多个在系统中产生的事件中的每一个在系统中产生的事件的跟踪信息中的开始时间和结束时间,确定每一个在系统中产生的事件的持续时长。一个在系统中产生的事件的持续时长为该在系统中产生的事件的开始时间与在系统中产生的事件的结束时间之间的时间差。超时事件为在系统中产生的持续时长大于预先针对该超时事件的类型设置的最大定时时长的事件。高耗时事件为在系统中产生的持续时长大于针对该高耗时事件的类型而设置的最大持续时长的事件。
在确定查找出的属于同一事件源的多个在系统中产生的事件中的每一个事件的持续时长之后,可以检测查找出的属于同一事件源的多个在系统中产生的事件中是否存在超时事件和/或高耗时事件,当查找出的属于同一事件源的多个在系统中产生的事件中存在超时事件和/或高耗时事件时,可以生成指示查找出的属于同一事件源的多个在系统中产生的事件中存在超时事件和/或高耗时事件告警信息。
在本申请中,可以由服务器将告警信息发送至认证系统的运维工程师使用的设备,从而,使得认证系统的运维工程师了解到属于同一事件源的多个在系统中产生的事件中存在超时事件和/或高耗时事件这一异常情况,对出现异常的原因进行分析。
请参考图2,其示出了对属于同一事件源的多个在系统中产生的事件的跟踪信息进行持久化的一个流程图。
web服务接口、http接口、移动设备接口均部署在服务器上。服务器上运行有认证系统。web服务接口用于接收用户在设备上进行的与web服务相关的操作对应的请求。http接口用于接收用户在设备上进行的与基于http的服务相关的操作对应的请求。移动设备接口用于接收用户在移动设备上进行的操作对应的请求。用户在用户的设备上进行操作之后,在用户的设备上生成用户的操作对应的请求,用户的设备向服务器发送用户进行的操作对应的请求。
一个用户进行了一个操作之后,服务器通过相应的接口接收到该用户的设备发送的该用户的该操作对应的请求,可以由运行在服务器上的应用服务响应于用户的操作对应的请求,向认证系统中用于产生事件的单元发送事件产生指令,由认证系统中用于产生事件的单元产生属于该操作对应的事件源的事件1、事件2、事件3、事件4等属于同一事件源的多个事件。事件1、事件2、事件3、事件4的产生顺序表示为事件1—>事件2—>事件3—>事件4。
当事件1产生时,在系统中执行事件1对应的处理操作,在事件1对应的处理操作执行完成之后,可以产生事件1的跟踪信息,将事件1的跟踪信息写入到数据库中,从而,对事件1的跟踪信息进行持久化。事件1的跟踪信息包括:该用户的用户标识、该用户的该操作对应的事件源的类型标识、该用户的该操作对应的事件源的产生时间。由于事件1为首个产生的事件,事件1不存在上一个事件,因此,事件1的跟踪信息中的事件1的上一个事件的事件标识的取值为空。
当事件2产生时,执行事件2对应的处理操作,在事件2对应的处理操作执行完成之后,可以产生事件2的跟踪信息,将事件2的跟踪信息写入到数据库中,从而,对事件2的跟踪信息进行持久化。事件2的跟踪信息包括:该用户的用户标识、该用户的该操作对应的事件源的类型标识、该用户的该操作对应的事件源的产生时间、事件2的上一个在系统中产生的事件即事件1的事件名称。
当事件3产生时,执行事件3对应的处理操作,在事件3对应的处理操作执行完成之后,可以产生事件3的跟踪信息,将事件3的跟踪信息写入到数据库中,从而,对事件3的跟踪信息进行持久化。事件3的跟踪信息包括:该用户的用户标识、该用户的该操作对应的事件源的类型标识、该用户的该操作对应的事件源的产生时间、事件3的上一个在系统中产生的事件即事件2的事件名称。
当事件4产生时,执行事件4对应的处理操作,在事件4对应的处理操作执行完成之后,可以产生事件4的跟踪信息,将事件4的跟踪信息写入到数据库中,从而,对事件4的跟踪信息进行持久化。事件4的跟踪信息包括:该用户的用户标识、该用户的该操作对应的事件源的类型标识、该用户的该操作对应的事件源的产生时间、事件4的上一个在系统中产生的事件即事件3的事件名称。
请参考图3,作为对上述各图所示方法的实现,本申请提供了一种检测装置的一个实施例,该装置实施例与图1所示的方法实施例相对应。检测装置中的各个单元被配置为完成的操作的具体实现方式可以参考方法实施例中描述的相应的操作的具体实现方式。
如图3所示,本实施例的检测装置包括:跟踪单元301,检测单元302。
跟踪单元301被配置为基于所有在系统中产生的事件的跟踪信息,从所有在系统中产生的事件中查找出属于同一事件源的多个在系统中产生的事件,其中,所述属于同一事件源的多个在系统中产生的事件基于同一个用户的操作而产生,在系统中产生的事件的跟踪信息包括:所述在系统中产生的事件对应的用户标识、所述在系统中产生的事件所属的事件源的类型标识、所述事件源的产生时间、所述在系统中产生的事件的上一个在系统中产生的事件的事件标识,其中,所述属于同一事件源的多个在系统中产生的事件的跟踪信息中的用户标识相同并且跟踪信息中的事件源的类型标识相同以及跟踪信息中的事件源的产生时间相同;
检测单元302被配置为基于所述属于同一事件源的多个在系统中产生的事件的跟踪信息,检测所述属于同一事件源的多个在系统中产生的事件的产生过程中是否存在异常情况,以及当检测出存在异常情况时,生成指示存在异常情况的告警信息。
在一些实施例中,所述在系统中产生的事件的跟踪信息还包括:所述在系统中产生的事件的开始时间、所述在系统中产生的事件的结束时间。
在一些实施例中,检测单元302进一步被配置为:基于所述属于同一事件源的多个在系统中产生的事件的跟踪信息,确定所述属于同一事件源的多个在系统中产生的事件的产生顺序;检测所述属于同一事件源的多个在系统中产生的事件的产生顺序与所述属于同一事件源的多个在系统中产生的事件所属的事件源对应的预设产生顺序是否一致;若否,生成指示所述属于同一事件源的多个在系统中产生的事件的产生顺序与所述预设产生顺序不一致的告警信息。
在一些实施例中,检测单元302进一步被配置为:基于所述属于同一事件源的多个在系统中产生的事件中的每一个在系统中产生的事件的开始时间和结束时间,分别确定所述每一个在系统中产生的事件的持续时长;基于所述每一个在系统中产生的事件的持续时长,检测所述属于同一事件源的多个在系统中产生的事件中是否存在超时事件和/或高耗时事件;当所述属于同一事件源的多个在系统中产生的事件中存在超时事件和/或高耗时事件时,生成指示所述属于同一事件源的多个在系统中产生的事件中存在超时事件和/或高耗时事件的告警信息。
本申请还提供了一种服务器,该服务器可以配置有一个或多个处理器;存储器,用于存储一个或多个程序,一个或多个程序中可以包括用以执行上述实施例中描述的步骤的指令。当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器执行上述实施例中描述的步骤的指令。
本申请还提供了一种计算机可读介质,该计算机可读介质可以是服务器中所包括的;也可以是单独存在,未装配入服务器中。上述计算机可读介质承载有一个或者多个程序,当一个或者多个程序被服务器执行时,使得服务器执行上述实施例中描述的步骤。
需要说明的是,本申请所述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以包括但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包括或存储程序的有形介质,该程序可以被消息执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多方面形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由消息执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包括的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和事件。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包括一个或多个用于实现规定的逻辑功能的可执行消息。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序产生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或事件的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机消息的组合来实现。
以上描述仅为本请求的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术实施例,同时也应涵盖在不脱离所述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术实施例。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术实施例。
Claims (10)
1.一种检测方法,其特征在于,所述方法包括:
基于所有在系统中产生的事件的跟踪信息,从所有在系统中产生的事件中查找出属于同一事件源的多个在系统中产生的事件,其中,所述属于同一事件源的多个在系统中产生的事件基于同一个用户的操作而产生,在系统中产生的事件的跟踪信息包括:所述在系统中产生的事件对应的用户标识、所述在系统中产生的事件所属的事件源的类型标识、所述事件源的产生时间、所述在系统中产生的事件的上一个在系统中产生的事件的事件标识,其中,所述属于同一事件源的多个在系统中产生的事件的跟踪信息中的用户标识相同并且跟踪信息中的事件源的类型标识相同以及跟踪信息中的事件源的产生时间相同;
基于所述属于同一事件源的多个在系统中产生的事件的跟踪信息,检测所述属于同一事件源的多个在系统中产生的事件的产生过程中是否存在异常情况,以及当检测出存在异常情况时,生成指示存在异常情况的告警信息。
2.根据权利要求1所述的方法,其特征在于,所述在系统中产生的事件的跟踪信息还包括:所述在系统中产生的事件的开始时间、所述在系统中产生的事件的结束时间。
3.根据权利要求2所述的方法,其特征在于,所述基于所述属于同一事件源的多个在系统中产生的事件的跟踪信息,检测所述属于同一事件源的多个在系统中产生的事件的产生过程中是否存在异常情况,以及当检测出存在异常情况时,生成指示存在异常情况的告警信息包括:
基于所述属于同一事件源的多个在系统中产生的事件的跟踪信息,确定所述属于同一事件源的多个在系统中产生的事件的产生顺序;
检测所述属于同一事件源的多个在系统中产生的事件的产生顺序与所述属于同一事件源的多个在系统中产生的事件所属的事件源对应的预设产生顺序是否一致;
若否,生成指示所述属于同一事件源的多个在系统中产生的事件的产生顺序与所述预设产生顺序不一致的告警信息。
4.根据权利要求2所述的方法,其特征在于,所述基于所述属于同一事件源的多个在系统中产生的事件的跟踪信息,检测所述属于同一事件源的多个在系统中产生的事件的产生过程中是否存在异常情况,以及当检测出存在异常情况时,生成指示存在异常情况的告警信息包括:
基于所述属于同一事件源的多个在系统中产生的事件中的每一个在系统中产生的事件的开始时间和结束时间,分别确定所述每一个在系统中产生的事件的持续时长;
基于所述每一个在系统中产生的事件的持续时长,检测所述属于同一事件源的多个在系统中产生的事件中是否存在超时事件和/或高耗时事件;
当所述属于同一事件源的多个在系统中产生的事件中存在超时事件和/或高耗时事件时,生成指示所述属于同一事件源的多个在系统中产生的事件中存在超时事件和/或高耗时事件的告警信息。
5.一种检测装置,其特征在于,所述装置包括:
跟踪单元,被配置为基于所有在系统中产生的事件的跟踪信息,从所有在系统中产生的事件中查找出属于同一事件源的多个在系统中产生的事件,其中,所述属于同一事件源的多个在系统中产生的事件基于同一个用户的操作而产生,在系统中产生的事件的跟踪信息包括:所述在系统中产生的事件对应的用户标识、所述在系统中产生的事件所属的事件源的类型标识、所述事件源的产生时间、所述在系统中产生的事件的上一个在系统中产生的事件的事件标识,其中,所述属于同一事件源的多个在系统中产生的事件的跟踪信息中的用户标识相同并且跟踪信息中的事件源的类型标识相同以及跟踪信息中的事件源的产生时间相同;
检测单元,被配置为基于所述属于同一事件源的多个在系统中产生的事件的跟踪信息,检测所述属于同一事件源的多个在系统中产生的事件的产生过程中是否存在异常情况,以及当检测出存在异常情况时,生成指示存在异常情况的告警信息。
6.根据权利要求5所述的装置,其特征在于,所述在系统中产生的事件的跟踪信息还包括:所述在系统中产生的事件的开始时间、所述在系统中产生的事件的结束时间。
7.根据权利要求6所述的装置,其特征在于,所述检测单元进一步被配置为:基于所述属于同一事件源的多个在系统中产生的事件的跟踪信息,确定所述属于同一事件源的多个在系统中产生的事件的产生顺序;检测所述属于同一事件源的多个在系统中产生的事件的产生顺序与所述属于同一事件源的多个在系统中产生的事件所属的事件源对应的预设产生顺序是否一致;若否,生成指示所述属于同一事件源的多个在系统中产生的事件的产生顺序与所述预设产生顺序不一致的告警信息。
8.根据权利要求6所述的装置,其特征在于,所述检测单元进一步被配置为:基于所述属于同一事件源的多个在系统中产生的事件中的每一个在系统中产生的事件的开始时间和结束时间,分别确定所述每一个在系统中产生的事件的持续时长;基于所述每一个在系统中产生的事件的持续时长,检测所述属于同一事件源的多个在系统中产生的事件中是否存在超时事件和/或高耗时事件;当所述属于同一事件源的多个在系统中产生的事件中存在超时事件和/或高耗时事件时,生成指示所述属于同一事件源的多个在系统中产生的事件中存在超时事件和/或高耗时事件的告警信息。
9.一种服务器,其特征在于,包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如权利要求1-4中任一所述的方法。
10.一种计算机可读介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-4中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910677436.7A CN110516439B (zh) | 2019-07-25 | 2019-07-25 | 一种检测方法、装置、服务器及计算机可读介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910677436.7A CN110516439B (zh) | 2019-07-25 | 2019-07-25 | 一种检测方法、装置、服务器及计算机可读介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110516439A true CN110516439A (zh) | 2019-11-29 |
| CN110516439B CN110516439B (zh) | 2021-05-25 |
Family
ID=68624027
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910677436.7A Active CN110516439B (zh) | 2019-07-25 | 2019-07-25 | 一种检测方法、装置、服务器及计算机可读介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110516439B (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1417684A (zh) * | 2001-11-07 | 2003-05-14 | 松下电器产业株式会社 | 跟踪信息检索装置及其方法 |
| CN101272286A (zh) * | 2008-05-15 | 2008-09-24 | 上海交通大学 | 网络入侵事件关联检测方法 |
| CN103886252A (zh) * | 2013-04-26 | 2014-06-25 | 卡巴斯基实验室封闭式股份公司 | 受信进程地址空间中执行的软件代码的恶意性的选择评估 |
| CN105024876A (zh) * | 2014-04-30 | 2015-11-04 | 中兴通讯股份有限公司 | 业务信令跟踪的方法及装置 |
| CN105264861A (zh) * | 2013-03-29 | 2016-01-20 | 英国电讯有限公司 | 用于检测多阶段事件的方法和设备 |
| CN105681286A (zh) * | 2015-12-31 | 2016-06-15 | 中电长城网际系统应用有限公司 | 关联分析方法和关联分析系统 |
| CN106415581A (zh) * | 2014-06-27 | 2017-02-15 | 迈克菲股份有限公司 | 用于追踪和检测恶意软件的系统和方法 |
| CN107992751A (zh) * | 2017-12-21 | 2018-05-04 | 郑州云海信息技术有限公司 | 一种基于分支行为模型的实时威胁检测方法 |
| WO2019070675A1 (en) * | 2017-10-03 | 2019-04-11 | Rutgers, The State University Of New Jersey | TRACKING INFORMATION FLOW BASED ON VALUES IN PROGICIELS |
-
2019
- 2019-07-25 CN CN201910677436.7A patent/CN110516439B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1417684A (zh) * | 2001-11-07 | 2003-05-14 | 松下电器产业株式会社 | 跟踪信息检索装置及其方法 |
| CN101272286A (zh) * | 2008-05-15 | 2008-09-24 | 上海交通大学 | 网络入侵事件关联检测方法 |
| CN105264861A (zh) * | 2013-03-29 | 2016-01-20 | 英国电讯有限公司 | 用于检测多阶段事件的方法和设备 |
| CN103886252A (zh) * | 2013-04-26 | 2014-06-25 | 卡巴斯基实验室封闭式股份公司 | 受信进程地址空间中执行的软件代码的恶意性的选择评估 |
| CN105024876A (zh) * | 2014-04-30 | 2015-11-04 | 中兴通讯股份有限公司 | 业务信令跟踪的方法及装置 |
| CN106415581A (zh) * | 2014-06-27 | 2017-02-15 | 迈克菲股份有限公司 | 用于追踪和检测恶意软件的系统和方法 |
| CN105681286A (zh) * | 2015-12-31 | 2016-06-15 | 中电长城网际系统应用有限公司 | 关联分析方法和关联分析系统 |
| WO2019070675A1 (en) * | 2017-10-03 | 2019-04-11 | Rutgers, The State University Of New Jersey | TRACKING INFORMATION FLOW BASED ON VALUES IN PROGICIELS |
| CN107992751A (zh) * | 2017-12-21 | 2018-05-04 | 郑州云海信息技术有限公司 | 一种基于分支行为模型的实时威胁检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110516439B (zh) | 2021-05-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101738550B (zh) | 电子装置测试装置及测试方法 | |
| US10679135B2 (en) | Periodicity analysis on heterogeneous logs | |
| US9442832B2 (en) | User workflow replication for execution error analysis | |
| CN104428777A (zh) | 利用音频码和/或签名减少由于溢出引起的计入误差的方法和系统 | |
| CN109766697A (zh) | 应用于Linux系统的漏洞扫描方法、存储介质、设备及系统 | |
| CN110018920A (zh) | 一种页面展示异常的检测方法、装置及设备 | |
| CN111459692B (zh) | 用于预测驱动器故障的方法、设备和计算机程序产品 | |
| US20150186195A1 (en) | Method of analysis application object which computer-executable, server performing the same and storage media storing the same | |
| CN103455313B (zh) | 用于关联被测系统的输入消息与输出消息的方法和设备 | |
| CN109491646B (zh) | 一种消息录入方法、装置、电子设备及可读介质 | |
| JPWO2018069950A1 (ja) | ログ分析方法、システムおよびプログラム | |
| US20160360418A1 (en) | Unauthorized beacon detection | |
| CN110516439A (zh) | 一种检测方法、装置、服务器及计算机可读介质 | |
| CN113760689A (zh) | 接口故障的报警方法、装置、设备及存储介质 | |
| CN109918439A (zh) | 数据同步方法及其应用的环路检测方法和相关装置 | |
| KR20140055160A (ko) | 금융기기의 장애관리장치 및 방법, 그리고 장애관리시스템 | |
| JP7354568B2 (ja) | 検出プログラム、検出方法および検出装置 | |
| CN110399243B (zh) | 蓝屏原因确定方法、系统、计算机可读介质及电子设备 | |
| WO2022137354A1 (ja) | 通信ケーブル障害推定装置、方法およびプログラム | |
| US11822036B2 (en) | Passive spychip detection through time series monitoring of induced magnetic field and electromagnetic interference | |
| CN109408270B (zh) | 一种读写操作的处理方法及装置 | |
| JP2016170713A (ja) | 情報処理装置、方法及びプログラム | |
| Hiruta et al. | Patterns to Improve Fidelity for Model-Based Testing | |
| CN105912230A (zh) | 便签中时间信息的生成方法及设备 | |
| CN109033800A (zh) | 一种验证信息的提取方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |