信息安全-威胁检测日志采集-Java服务自动阶梯限流方案

已于 2022-06-04 18:03:20 修改
阅读量539 收藏
点赞数
分类专栏: 信息安全 文章标签: java 限流 随机算法 安全日志 自动降级
于 2022-06-04 18:01:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/philip502/article/details/125123284
版权

618大促流量一路狂飙,作为威胁检测安全日志通路的入口,不能让程序被打挂导致服务不可用,所以我们采取阶梯的限流模型,以确保大部分流量会被处理,而不至于让程序被打挂导致大量日志丢失。

整体思路:

  1. 预先设置阶梯的限流策略并将策略加载至内存;
  2. 当每个请求进来后在spring的AOP切面中对当前这一秒钟的请求数进行累计;
  3. 累加完成后得到当前的流量大小,将当前流量大小与限流的阶梯策略进行比较;
  4. 如果满足阶梯策略,我们对流量进行处理,要么放行,要么直接返回达到限流的目的;

 程序启动时初始化限流策略

 限流处理流程

流量累加

看下流量累加的代码

package com.ikong.demo.service.limiter;

import org.springframework.stereotype.Component;

import java.util.Date;
import java.util.concurrent.atomic.AtomicInteger;
import java.util.concurrent.atomic.AtomicLong;

@Component
public class TrafficMonitorWindow {

    private AtomicLong time = new AtomicLong(new Date().getTime());

    private AtomicInteger count = new AtomicInteger(0);
    
    private final Integer interval = 1000;//每秒
    
    private static Object lockObj = new Object();


    /*
     * 计算每秒钟的流量
     */
    public Integer trafficIncrement() { 
        
        long now = new Date().getTime();
        
        if (now > time.get() + interval) {

            synchronized (lockObj) {

                if (now > time.get() + interval) { //如果当前时钟已经过1秒,则以当前时间点为基准,切换时钟,注意这里并不是以自然秒钟为单位,而是以有流量的那个时刻来计算的
            
                    time.compareAndSet(time.get(), now);
            
                    count.compareAndSet(count.get(), 0);
            
                }
            }
        }

        count.getAndIncrement();

        return count.get();
    }

    public Integer getCount() {

        return count.get();
    
    }
}

限流策略实体类

package com.ikong.demo.service.limiter;


public class LimitingStrategy {

    private Integer limit;//限流阈值
    private Integer rate; //丢弃率

    public Integer getLimit() {
        return limit;
    }

    public void setLimit(Integer limit) {
        this.limit = limit;
    }

    public Integer getRate() {
        return rate;
    }

    public void setRate(Integer rate) {
        this.rate = rate;
    }
}

丢弃计算

判断流量是否需要丢弃:limiter:为丢弃率,当limiter=20时,丢弃率为20%,做一个简单的随机算法,随机100以内的数,如果小于20则丢弃,否则放行

package com.ikong.demo.service.limiter;

public class TrafficDiscard {

    public boolean discard(int limiter) {

        Random random = new Random();
    
        int v = random.nextInt(100);
    
        return v < limiter ;
    }
}

丢弃策略配置


limiter.switch=true #是否限流的开关

limiter.max=40000 # 这里是限流阈值

limiter.strategys[0].limit=70 //这里是超过max=40000的70%后,将超过部分按20%丢弃率进行丢弃
limiter.strategys[0].rate=20

limiter.strategys[1].limit=80 //这里是超过max=40000的80%后,将超过部分按50%丢弃率进行丢弃
limiter.strategys[1].rate=50

limiter.strategys[2].limit=100 //这里是超过max=40000的100%后,将超过部分全部丢弃
limiter.strategys[2].rate=100

流量值高效命中策略

关键的问题我们如何高效快速定位当前流量命中哪个策略

items  = limiter.strategys;
max = limiter.max;

for (int j = 1; j < max * item.get(0).getLimit() / 100; j++) {
    cache.put(j, 0);
}

for (int i = 0; i < items.size() - 1; i++) {
    for (int j = max * items.get(i).getLimit() / 100; j < max * items.get(i + 1).getLimit() / 100; j++) {
        cache.put(j, items.get(i).getRate());
    }
}

for (int i = max; i < 150000; i++) {
    cache.put(i, items.get(items.size() - 1).getRate());
}

大体的思路:

  1. 先讲策略拆分成,[0,70),[70,80),[80,100),[100,15w),4个区间,默认单机请求量极限值不超过15w,超过服务器会宕机;
  2. 针对4个区间,每一个请求流量大小都把对应的策略放到内存中;
  3. 当计算完当前流量值后,按流量值直接在内存中取出对应的策略用于计算;

码者人生
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
日志如何采集
ducc20180301的博客
05-24 3888
引言 日志是人类关于日常生活的一个记录,也是机器运作时对于事件发生的报告。关于网络设备、系统及服务程序等,在运作时都会产生一个叫log的事件记录;每一行日志都记载着日期、时间、使用者及动作等相关操作的描述。当遇到安全攻击事件时,日志能协助进行安全事件还原,能尽快找到事件发生的时间、原因等,通过大量不同安全设备的联动,日志可以关联分析监测真正有威胁的攻击行为,还原出真实的攻击情况。日志可以反应出很多的安全攻击行为,比如登录错误,异常访问等。日志还能告诉你很多关于网络中所发生事件的信息,包括性能信息、故障检测
安全日志收集与分析——抢先体验阿里云 ElasticSearch
weixin_33700350的博客
11-09 466
10月13日,云栖大会上阿里云与Elastic公司联合发布阿里云Elasticsearch产品。根据官方介绍,阿里云提供基于开源Elasticsearch及商业版X-Pack插件,致力于数据分析、数据搜索等场景服务。在开源Elasticsearch基础上提供企业级权限管控、安全监控告警、自动报表生成等功能。 Elasticsearch(ES)是中小企业安...
安全日志分析工具
weixin_33881050的博客
01-29 140
免费与付费日志监控工具 免费低端产品,可以订阅微软的Windows Event Viewer。你可以将从多台计算机那里搜集到的事件日志文件放到一个中心点以便阅读,你可以应用过滤器,如“错误和警告”。你可以每天检查文件,纠正错 误。因为与日志监控一样简单,所以你可能会错过实时的错误报警,过于简单的结果可能会隐藏或者忽略掉某些错误。Syslog和ELK stack也是免费的工具,...
设备与主机的攻击日志类型分析总结
weixin_30505485的博客
11-06 517
随着网络技术的普及,网络攻击行为出现得越来越频繁。另外,由于网络应用的多样性和复杂性,使得各种网络病毒泛滥,更加剧了网络被攻击的危险。 目前,Internet上常见的网络安全威胁分为以下三类: 1.扫描窥探攻击   扫描窥探攻击利用ping扫描(包括ICMP和TCP)标识网络上存在的活动主机,从而可以准确地定位潜在目标的位置;利用TCP和UDP端口扫描检测出目标操作系统和启用的服务类型。攻击...
限流常见方案,值得一看
AP0906424的博客
01-06 2835
- 一、限流思路 - 常见的系统服务限流有:熔断、服务降级、延迟处理和特殊处理四种。 1、熔断 将熔断措施嵌入到系统设计中,当系统出现问题时,若短时间内无法修复,系统会自动开启熔断开关,拒绝流量访问,避免大流量对后端的过载请求。 除此之外,系统还能够动态监测后端程序的修复情况,当程序已恢复稳定时,就关闭熔断开关,恢复正常服务。 常见的熔断组件有 Hystrix 以及阿里的 Sentinel。 在Spring Cloud框架里,熔断机制通过Hystrix实现。Hystrix会监控...
行业分类-设备装置-检测半导体衬底出现阶梯演变异常的方法.zip
08-18
"行业分类-设备装置-检测半导体衬底出现阶梯演变异常的方法"这一主题聚焦于半导体制造中的关键环节——衬底表面的检测技术,特别是针对阶梯演变异常的识别与处理。这种异常可能会导致晶体生长不均匀、缺陷增加,从而...
电力用户用电信息采集系统安全防护技术方案.pptx
09-21
本文档介绍了电力用户用电信息采集系统安全防护技术方案,旨在提高系统的总体安全防护能力,保障电网安全稳定运行,确保业务数据安全可靠,提高用电服务质量。 一、电力用户用电信息采集系统简介 电力用户用电信息...
行业文档-设计装置-一种阶梯钻.zip
08-29
在描述中,“行业文档-设计装置-一种阶梯钻.zip”重复了标题信息,暗示这个压缩包包含的PDF文档可能详细介绍了阶梯钻的设计原理、制造工艺、应用范围以及可能的改进方案。 标签“行业文档-设计装置-一种阶梯钻”...
行业文档-设计装置-一种阶梯衬板.zip
08-29
在本压缩包“行业文档-设计装置-一种阶梯衬板.zip”中,主要包含了一份名为“一种阶梯衬板.pdf”的文档,这份文档详细介绍了阶梯衬板的设计与应用,特别是针对工业设备中的应用。阶梯衬板是机械设备,尤其是物料破碎...
行业文档-设计装置-一种阶梯填块.zip
08-29
标题中的“行业文档-设计装置-一种阶梯填块”表明这是一个关于工业设计或者机械工程的文档,特别是关于一种阶梯填块的设计。阶梯填块通常在机械结构或建筑领域中使用,用于支撑、连接或形成阶梯状结构。在这个压缩包...
常见的几种限流算法代码实现(JAVA
最新发布
weixin_44991304的博客
08-25 3515
限流算法
【干货】日志管理与分析(一)——日志收集及来源
热门推荐
systemino的博客
08-06 1万+
对广大IT工作者,尤其是运维和安全人员来说,“日志”是一个再熟悉不过的名词。 日志从哪来?机房中的各种软件(系统、防火墙)和硬件(交换机、路由器等),都在不断地生成日志。IT安全业界的无数实践告诉我们,健全的日志记录和分析系统,是系统正常运营、优化以及安全事故响应的基础,虽然安全系统厂商为我们提供了五花八门的解决方案,但基石仍是具有充足性、可用性、安全性的日志记录系统。 实际工作中,许多单位内...
安全日志分析的五种类型
weixin_33935777的博客
11-26 885
【注:本文转载自51CTO:http://netsecurity.51cto.com/art/201309/412145.htm】无论是提高性能、收集商业情报还是检测安全威胁日志管理可以归结为三个步骤:收集日志、存储数据和分析数据来发现模。然而,虽然收集和分析日志数据是SANS协会确定的20个关键安全控制之一,大多数企业并没有定期收集和分析其日志,除非有法律明文规定。IT管理和监控软件制造商S...
Filebeat日志采集
Diligent_ten的博客
03-17 1万+
Filebeat日志采集 Filebeat日志采集 一、软件介绍 Filebeat 1,概述 2,工作流程 3, 相关链接 二、安装部署 1,安装前准备 2,windows 3,linux 4,配置filebeat 1)filebeat模块 2)安装filebeat模块 3)配置filebeat 一、软件介绍 Filebeat 1,概述 File...
日志采集中的关键技术分析
Hadoop技术博文
06-22 1964
本文原文:http://jm.taobao.org/2018/06/13/日志采集中的关键技术分析/ (点击下面阅读原文即可进入)概述日志从最初面向人类演变到现在的面向机...
一键开启态势感知日志实时收集:安全、网络、主机三大类14种日志
weixin_33979745的博客
10-04 1292
背景 目前,阿里云态势感知与日志服务打通,对外开放平台依赖或者产生的日志,包括网络、主机、安全三大类共14种子类日志。提供近实时的日志自动采集存储、并提供基于日志服务的查询分析、报表报警、下游计算对接与投递的能力。 本文介绍如何配置态势感知的日志并介绍日志的具体类别与格。 配置 前提条件 开通态势感知企业版本,并在此基础上购买日志增值模块 开通...
记录一次安全威胁事件的日志分析
kissmeprettygirl的专栏
06-18 584
昨天突然业务部门反馈有一台节点挂了,日志导出4.42GB,现在需要我们排查是否为恶意攻击。 日志文件如下:
互联网大厂技术-Nginx-负载均衡探活max_fails和fail_timeout的设置、根据参数转发upstream
码者人生的技术博客
11-24 1万+
max_fails=1 fail_timeout=30s; 转发给后端服务时,若发现后端服务故障,则将请求转发给其他节点进行处理,并将服务器标记为故障、在30s时间内不再转发给故障服务器。30s后重试转发给故障服务器,若仍旧不成功则重复刚才的操作;
X-Forwarded-For详解、如何获取到客户端IP
码者人生的技术博客
01-07 1万+
X-Forwarded-For(XFF) 在客户端访问服务器的过程中如果需要经过HTTP代理或者负载均衡服务器,可以被用来获取最初发起请求的客户端的IP地址,这个消息首部成为事实上的标准。在消息流从客户端流向服务器的过程中被拦截的情况下,服务器端的访问日志只能记录代理服务器或者负载均衡服务器的IP地址。如果想要获得最初发起请求的客户端的IP地址的话,那么 X-Forwarded-For 就派上了用场。
NB-IoT技术引领智慧燃气革命:阶梯气价与物联网解决方案
"该文档是关于‘智慧燃气物联网+应用整体解决方案’的PPT演示文稿,主要讨论了物联网在智慧燃气领域的应用,特别是利用NB-IoT技术带来的变革,以及阶梯气价政策如何推动燃气行业的智能化升级。" 在万物互联的新时代...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码者人生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值