323、异常访问统计 运维同学最近发现应用的访问日志有异常,需要分析下应用服务器是否被攻击了。

最新推荐文章于 2024-03-12 14:20:48 发布
原创 最新推荐文章于 2024-03-12 14:20:48 发布 · 3.9k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#运维 #java #安全

本文介绍了一种基于滑动窗口和双哈希表的算法,用于从日志文件中检测异常访问行为。具体而言,该算法能够识别那些在连续5秒内每秒访问次数超过1000次的IP地址。

阿里上机笔试

异常访问统计

运维同学最近发现应用的访问日志有异常,需要分析下应用服务器是否被攻击了。

根据经验值:若一个IP单秒访问pv >= 1000,并且,持续大于等于5s,则认为该IP有攻击嫌疑。

现在有日志文件 access.txt,每一行都表示一个访问记录,请读取文件并输出有嫌疑的IP列表。

https://maimai.cn/web/feed_detail?fid=1699171070&efid=Re5wP9K4Ixu-Q0ABjKQ_UA&share_channel=2&webid=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1IjoxNzg3MTM2MzYsImZpZCI6MTY5OTE3MTA3MH0.XSTNpELbKrIebgkf-Yf4gfooIzIsNwcSX7xKfrWDeD8&use_rn=1

 

滑动窗口 维护前后两个指针、两个hashmap 和一个储存结果的set就可以了 大文件要分割稍微麻烦一点 思想还是一样的

两个计数map,一个存结果set

一个map统计ip连续多少秒大于1000,另一个map统计当前这一秒的ip计数,假如这一秒有a b c三个ip计数大于1000

就把a b c的连续计数+1,并把非a b c的连续计数清0,清0前判断连续计数是不是≥5,是就加到结果set

双map ,滑动窗口 ,count是负数时 ,-2表示连续2,-3表示连续3

没说文件规模一律认为耍流氓

你可以考虑文件大的情况,也可以考虑文件小和情况

用快慢指针

离线的用sparksql一把撸转成全量的rdd,再用分割flatmap 过滤算count大于阈值输出ip

这不就是字符串分割,统计单词出现次数?

得物App员工:是的,你说的没错,然后怎么做呢

如果是sql,用lag可以实现吧

map里套一个map,外层map的key用ip,里层的map的key用时间,value记录出现次数,然后判断次数是否大于一千以及时间是否有连续超过五次的

用Redis的hash数据结构不就好了。时间+IP作为field

玩awk啊,我敢说就一个分组统计就没几个会的

用Java

01-07

评论赞

奇虎360员工

运维的东西开发不会很正常吧

01-10

评论赞

永辉超市员工

回复奇虎360员工:这明显是道算法题

01-18

评论赞

刘梦

奇虎360服务端资深开发

回复永辉超市员工:

现在还有这么拉的运维用日志分析有没有被攻击吗?

求教高端运维用啥。

负载均衡按IP怎么做的,等分析日志再做负载黄花菜不都凉了么

map 多线程 极致压榨CPU

c++我应该是顺序扫一遍文件就可以了,一个线程读文件一个线程序列化。

因为只需要5s的数据,只要内存里能装的下6s的数据问题就不大,析构也可以单独开一个线程。

剩下的就是用哈希map存数据count++然后简单判断而已。

一个笨点的方法,python解析文本,每一行分割,把ip当作key,访问时间做嵌套的key,value就是出现次数,出现一次就加1。然后解析这个大map,对出现次数和访问时间是否连续做判断

不会,p几的题

陈雨:P6-7

小文件的话直接构造arraylist,转成lambda表达式经过若干算子collect一下就可以了

awk sort grep 一把梭,一行命令的事…

小米员工:性能太挫。没这么简单

tail -n 100000 access.txt|awk -F"," '{print $1,$2}'|sort -n |uniq -c|sort -nr |head

陈雨:要出结果,还要连续5秒

cat文件,通过awk把秒输出、再sort,uniq-c,awk把只有秒的一列去重输出到一个文件,在for循环取秒,grep原文件取到每秒的行,awk ip地址,uniq-c次数、awk大于5000输出

from itertools import groupby

mylog = open('access.txt''r')

ips = []

for key, group in groupby(mylog):

    ip = key[20:32]

    if len(list(group)) >= 1000:

        ips.append(ip)

the_ip = []

set_ip = set(ips)

for ip in set_ip:

    if ips.count(ip) >= 5:

        the_ip.append(ip)

print(the_ip)

如果文件比较大就分割成多个chunk然后多个线程处理

第一步读取文件,文件每行以,分隔生成数组,取出时间和IP,将时间格式化为Long型,生成Map>,用TreeMap主要是方便KEY可以排序,方便判断连续5s的访问记录

第二步判断过滤IP连续5s的PV>=1000的,符合条件的输出到另一个Map>,这里可以用线程池来提高并发计算速度,每个线程判断一个IP

第三步输出符合条件的IP以及IP在相应时间阶段内的PV描述

用flink cep

异常检测在大数据领域的应用:从理论到实践全指南
AI架构师小马
08-31 716
在动手写代码前,我们需要先明确异常的定义和常见类型——这是选择算法的核心依据。异常(Outlier/Anomaly)是指不符合数据集中“正常模式”的样本。一个人的身高是2.5米(远高于平均身高);凌晨3点的电商订金额是10万元(正常时段是白天,金额多在100-500元);服务器的网络带宽突然从10Mbps跳到1000Mbps(没有活动的情况下)。异常是“不符合预期”的数据。异常检测的基础:什么是异常异常的类型;常用算法:统计、聚类、机器学习、深度学习算法的原理和代码;工程落地。
算法实战应用案例精讲-【数据分析】基于R语言的时序分析(附R语言代码)
qq_36130719的博客
01-11 1596
时间序列的异常检测问题通常表示为相对于某些标准信号或常见信号的离群点。虽然有很多的异常类型,但是我们只关注业务角度中最重要的类型,比如意外的峰值、下降、趋势变化以及等级转换(level shifts)。革新性异常:innovational outlier (IO),造成离群点干扰不仅作用于X(T),而且影响T时刻以后序列的所有观察值。附加性异常:additive outlier (AO),造成这种离群点的干扰,只影响该干扰发生的那一个时刻T上的序列值,而不影响该时刻以后的序列值。
异常访问系统总结
Yaliander的博客
06-06 609
1、查询敏感信息(红名) 根据系统自定义敏感信息,根据检索条件与敏感信息匹配结果 2、日查询总量异常 将个人前一天的查询总量与个人史均和警种史均通过join进行连接,并计算分值。其中,个人史均为30天内对应周几的均值,警种史均为30内同一系统中所有警员记录的小时均值乘24(需改进)。 3、小时内查询量异常 一次统计前30天数据,并按小时聚合 每人每系统在一天24...
nginx异常访问统计
静渊
12-22 288
awk '{a[$1]++}END{for(v in a){if(a[v]>10000)print v,a[v]}}' access.log
异常统计
Mr.Yin
02-16 524
1. jar包相关异常 遇到的问题:dom4j解析xml出错,java.lang.ClassNotFoundException: org.jaxen.JaxenException;java.lang.NoClassDefFoundError错误 遇到问题:今天做项目需要解析xml配置文件,自己使用dom4j解析报错,调试找不到错误。 java.lang.ClassNotFoundExcept...
异常日志
weixin_43951534的博客
03-25 447
一、异常 1.1异常分类 编译时期异常:checked异常。在编译时期,就会检查,如果没有处理异常,则编译失败。(如日期格式化异常) 运行时期异常:runtime异常。在运行时期,检查异常.在编译时期,运行异常不会编译器检测(不报错)。(如数学异常) Throwable中的常用方法: public void printStackTrace(): 打印异常的详细信息。 包含了异常的类型,异常...
spring统一管理异常访问日志
偃月工作室的专栏
05-17 685
随着产品开发的深入,我们需要对用户的访问习惯进行分析,对各种异常情况都需要统一处理。为了避免代码的冗余以及模块的耦合,很自然想到了spring的切面原理。 切面,简而言之,就是将业务中相对独立的模块,例如日志异常等作为一个处理点,统一管理并处理。这样做的好处是,以后的维护不需要大面积更改代码,提高模块之间的耦合度,代码会显得美观,可读性强,可移植性强。下面重点总结一下使用过程,具体如下: 1
Web 应用高并发的思考与实践
slw20010213的博客
12-31 1477
一、前言 2020 年初,突如其来的疫情使各行各业都进入紧张状态,互联网产品也各尽其能投入到战“疫”中。健康信息收集是抗疫过程中最基础的工作之一,腾讯问卷平台结合其信息采集、统计分析的特性,快速迭代出“健康打卡”“复学码”等功能。 然而,健康码关系着用户能否正常进出社区、公司或校园,计算的时效性和准确性必须有保证。加之用户量大、打卡时间点集中,在开发时间和资源都紧张的情况下,我们是如何应对访问高并发、数据量陡增,从而保障系统的稳定? 图 1 本文结合腾讯问卷后台的优化和改造工作,记录过程中的思考
阿里PB级Kubernetes日志平台建设实践
数据库技术
06-04 310
阿里PB级Kubernetes日志平台建设实践 QCon是由InfoQ主办的综合性技术盛会,每年在伦敦、北京、纽约、圣保罗、上海、旧金山召开。有幸参加这次QCon10周年大会,作为分享嘉宾在刘宇老师的运维专场发表了《阿里PB级Kubernetes日志平台建设实践》,现将PPT和文字稿整理下来,希望和更多的爱好者分享。 计算形态的发展与日志系统的演进 在阿里的十多年中,日志系统伴随着计...
公司内部资料!游戏上线前部署准备,就这新手都行
我是香菜
06-20 5489
公司内部资料!游戏上线前部署准备,就这新手都行
标题:Windows日志与入侵检测
09-11 1336
时间:<!--webbot bot="Timestamp" S-Type="EDITED" S-Format="%Y-%m-%d" startspan -->2004-06-13<!--webbot b
查看异常ip访问
han0373的博客
12-28 3172
场景: 有时候开发者在云平台开发或者组建服务器时,暴露了ip,且并未做防火墙防护(有时候为了开发方便,关闭防火墙)。导致成为黑客的最爱,入侵你的机子当肉机、当矿机。爆破登录。 解决: 查看ip访问情况: 常用命令: 1、查看ip访问历史 last 2、查看尝试登录的ip试错情况 grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
linux log病毒,linux – 我的httpd access_log中有很多奇怪的请求,这是否意味着我有病毒?...
weixin_30578645的博客
05-15 218
我有这样的httpd日志信息,它会一直持续下去.首先,这是否意味着我有病毒?我的服务器是僵尸网络的一部分?我的服务器是Linux Centos 5.tail -f / var / log / httpd / access_log另外我怎么能阻止这次袭击?如何确保我的服务器不发送请求?我可以添加哪些其他安全措施?69.164.209.127 - - [14/Jun/2012:18:49:05 +08...
异常访问
Bunker_Escaps的博客
06-12 604
Java中的异常类可以分为两种: 错误(Error):一般指与虚拟机相关的问题,如系统崩溃、虚拟机错误、动态链接失败等,这些错误无法恢复或捕获,将导致应用程序中断; 异常(Exception):因程序编码错误或外在因素导致的问题,这些问题能够被系统捕获并进行处理,从而避免应用程序非正常中断,例如:除以0、对负数开平方根、空指针访问等。 为了使程序出现异常时也能正常运行下去,需要对异常进行相关的处理操作,这种操作称之为“异常处理” Java异常处理机制可以让程序具有良好的容错性,当程序运行过程中出现意外情况
分析apache的日志,查找异常访问IP
God's blog
11-11 1884
tail -n 100000 access.log | grep .php | awk -F " " '{print $1 $7}' | sort |uniq -c | sort -rn awk -F" " '{print $1}'  #用空格分隔,打印第一列数据 sort|uniq -c # 排序并过滤重复,-c 输出重复次数 sort –rn # 按-n数字进行-r反向
识别恶意IP地址的有效方法
最新发布
m0_73834612的博客
03-12 2728
通过建立完善的安全策略、利用黑名、监测异常流量、地理位置分析、参与威胁情报共享以及进行主动脆弱性扫描等方法,可以有效识别和应对恶意IP地址,保障网络安全。然而,要注意识别恶意IP地址的过程中也可能会误报正常流量,因此需要结合多种方法,进行综合分析和判断,确保识别的准确性和可靠性。利用流量分析工具和机器学习算法,可以实现对异常流量的实时监测和分析,及时发现恶意IP地址。通过参与公共威胁情报平台或与其他组织进行信息共享,可以获取更多的恶意IP地址信息和相关威胁情报,提高恶意IP地址的识别准确度和及时性。
Android进阶之路 - 错误收集、统计
Android、前端、小程序、后端
08-13 892
错误收集这项功能,应该是我很早以前就想写,但是一直没写的一篇blog,不是因为这项功能不常用,而是因为一直没有接到这样需求,担心随便写误导他人… 年初的时候(时间太无情)写完了错误收集的相关功能,一直没有时间来记录,抽着空闲之余特此记录一波 写错误收集这项功能时,并未借鉴他人blog,而是一路自己撸了出来,经亲测,可用~ 在我从业期间,我认为常见的错误收集一般有本地错误收集和三方平台的错误统计,早之前我记录过一篇三方平台的 Bugly集成 - 异常捕获,有需求可用前去集成(关于类似的平台有很多,自己选择.
远程访问服务异常问题
qq_38472465的博客
10-22 574
远程访问服务异常问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值