Flink_恶意登录监控 (利用CEP)

最新推荐文章于 2024-04-29 18:56:28 发布
最新推荐文章于 2024-04-29 18:56:28 发布
阅读量878 收藏 11
点赞数 1
分类专栏: Flink 文章标签: flink
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36213530/article/details/120111770
版权
        对于网站而言, 用户登录并不是频繁的业务操作 。如果 一个用户短时间内频繁登录失败,就有可能是出现了程序的恶意攻击,比如密码暴力破解 。因此我们考虑, 应该对用户的登录失败动作进行统计,具体来说,如果 同一用户(可以是不同 IP) 在 2 秒之内连续两次登录失败,就认为存在恶意登录的风险,输出相关的信息进行报警提示 。这是电商网站、也是几乎所有网站风控的基本一环。
会用到 flink CEP 库来实现事件流 ,方法三:利用CEP是重点方法。
   pom 文件中引入 CEP 的相关依赖: 
<dependency> 
    <groupId>org.apache.flink</groupId> 
    <artifactId>flink-cep-scala_${scala.binary.version}</artifactId> 
    <version>${flink.version}</version> 
</dependency>

输入数据: 

方法一:

状态编程:

        由于引入了时间,最简单的方法其实与之前的热门统计类 似,只需要 按照用户 ID 分流,然后遇到登录失败的事件时将其保存在 ListState 中, 然后设置一个定时器,2 秒后触发。定时器触发时检查状态中的登录失败事件个数,如果大于等于 2,那么就输出报警信息。 (这种做法只能隔 2 秒之后去判断一下这期间是否有多次失败登录,而不是在一 次登录失败之后、再一次登录失败就立刻报警) 
import org.apache.flink.api.common.state.{ListState, ListStateDescriptor, ValueState, ValueStateDescriptor}
import org.apache.flink.streaming.api.TimeCharacteristic
import org.apache.flink.streaming.api.functions.KeyedProcessFunction
import org.apache.flink.streaming.api.functions.timestamps.BoundedOutOfOrdernessTimestampExtractor
import org.apache.flink.streaming.api.scala._
import org.apache.flink.streaming.api.windowing.time.Time
import org.apache.flink.util.Collector

import scala.collection.mutable.ListBuffer

//输入登录事件
case class LoginEvent(userId: Long, ip: String, eventType: String, timeStamp: Long)

// 输出报警信息样例类
case class LoginFailWarning(userId: Long, firstFailTime: Long, lastFailTime: Long, warnMsg: String)

object LoginFail {
  def main(args: Array[String]): Unit = {
    val env = StreamExecutionEnvironment.getExecutionEnvironment
    env.setParallelism(1)
    env.setStreamTimeCharacteristic(TimeCharacteristic.EventTime)

    val inputStream: DataStream[String] = env.readTextFile("D:\\Mywork\\workspace\\Project_idea\\UserBehaviorAnalysis0903\\LoginFailDetect\\src\\main\\resources\\LoginLog.csv")
    //转换成样例类,并提取时间戳和watermark
    val loginEventStream = inputStream.map{data =>
        val arr = data.split(",")
        LoginEvent(arr(0) toLong, arr(1), arr(2), arr(3).toLong)
    }.assignTimestampsAndWatermarks(new BoundedOutOfOrdernessTimestampExtractor[LoginEvent](Time.seconds(5)) {
      override def extractTimestamp(t: LoginEvent): Long = t.timeStamp * 1000L
    })

    // 进行判断和检测,如果2秒之内连续登录失败,输出报警信息
    val loginFailWarningStream = loginEventStream
      .keyBy(_.userId)
      .process(new LoginFailWarningResult(2))

    loginFailWarningStream.print()
    env.execute("login fail detect job")
  }
}

class LoginFailWarningResult(failTimes: Int) extends KeyedProcessFunction[Long, LoginEvent, LoginFailWarning]{
  // 定义状态,保存当前所有的登录失败事件,保存定时器的时间戳
  lazy val loginFailListState: ListState[LoginEvent] = getRuntimeContext.getListState(new ListStateDescriptor[LoginEvent]("loginfail-list", classOf[LoginEvent]))
  lazy val timerTsState: ValueState[Long] = getRuntimeContext.getState(new ValueStateDescriptor[Long]("timer-ts", classOf[Long]))

  override def processElement(value: LoginEvent, ctx: KeyedProcessFunction[Long, LoginEvent, LoginFailWarning]#Context, out: Collector[LoginFailWarning]): Unit = {
    // 判断当前登录事件是成功还是失败
    if( value.eventType == "fail" ){
      loginFailListState.add(value)
      // 如果没有定时器,那么注册一个2秒后的定时器
      if( timerTsState.value() == 0 ){
        val ts = value.timeStamp * 1000L + 2000L
        ctx.timerService().registerEventTimeTimer(ts)
        timerTsState.update(ts)
      }
    } else {
      // 如果是成功,那么直接清空状态和定时器,重新开始
      ctx.timerService().deleteEventTimeTimer(timerTsState.value())
      loginFailListState.clear()
      timerTsState.clear()
    }
  }

  override def onTimer(timestamp: Long, ctx: KeyedProcessFunction[Long, LoginEvent, LoginFailWarning]#OnTimerContext, out: Collector[LoginFailWarning]): Unit = {
    val allLoginFailList: ListBuffer[LoginEvent] = new ListBuffer[LoginEvent]()
    val iter = loginFailListState.get().iterator()
    while(iter.hasNext){
      allLoginFailList += iter.next()
    }
    // 判断登录失败事件的个数,如果超过了上限,报警
    if(allLoginFailList.length >= failTimes){
      out.collect(
        LoginFailWarning(
          allLoginFailList.head.userId,
          allLoginFailList.head.timeStamp,
          allLoginFailList.last.timeStamp,
          "login fail in 2s for " + allLoginFailList.length + " times."
        ))
    }
    // 清空状态
    loginFailListState.clear()
    timerTsState.clear()
  }
}
//输出结果
LoginFailWarning(1035,1558430842,1558430844,login fail in 2s for 3 times.)

方法二:

可以不用定时器触发,直接在状态中存取上 一次登录失败的事件,每次都做判断和比对。 
import org.apache.flink.api.common.state.{ListState, ListStateDescriptor}
import org.apache.flink.streaming.api.TimeCharacteristic
import org.apache.flink.streaming.api.functions.KeyedProcessFunction
import org.apache.flink.streaming.api.functions.timestamps.BoundedOutOfOrdernessTimestampExtractor
import org.apache.flink.streaming.api.scala._
import org.apache.flink.streaming.api.windowing.time.Time
import org.apache.flink.util.Collector

object LoginFailAdvance {
  def main(args: Array[String]): Unit = {

      val env = StreamExecutionEnvironment.getExecutionEnvironment
      env.setParallelism(1)
      env.setStreamTimeCharacteristic(TimeCharacteristic.EventTime)

      val inputStream = env.readTextFile("D:\\Mywork\\workspace\\Project_idea\\UserBehaviorAnalysis0903\\LoginFailDetect\\src\\main\\resources\\LoginLog.csv")
      val loginEventStream = inputStream.map { data =>
        val arr = data.split(",")
        LoginEvent(arr(0) toLong, arr(1), arr(2), arr(3).toLong)
      }.assignTimestampsAndWatermarks(new BoundedOutOfOrdernessTimestampExtractor[LoginEvent](Time.seconds(3)) {
        override def extractTimestamp(t: LoginEvent): Long = {
          t.timeStamp * 1000L
        }
      })
      // 进行判断和检测,如果2秒之内连续登录失败,输出报警信息
      val loginFailWarningStream = loginEventStream
        .keyBy(_.userId)
        .process(new LoginFailWaringAdvanceResult())

      loginFailWarningStream.print()
      env.execute("login fail detect job")
    }
}

class LoginFailWaringAdvanceResult() extends KeyedProcessFunction[Long, LoginEvent, LoginFailWarning] {
  // 定义状态,保存当前所有的登录失败事件
  lazy val loginFailListState: ListState[LoginEvent] = getRuntimeContext.getListState(new ListStateDescriptor[LoginEvent]("loginfail-list", classOf[LoginEvent]))

  override def processElement(value: LoginEvent, ctx: KeyedProcessFunction[Long, LoginEvent, LoginFailWarning]#Context, out: Collector[LoginFailWarning]): Unit = {
    // 首先判断事件类型
    if (value.eventType == "fail") {
      val iter = loginFailListState.get().iterator()
      if (iter.hasNext) { //状态迭代器非空(也就是同一次Id第二次进入)
        val firstFailEvent: LoginEvent = iter.next()
        if (value.timeStamp < firstFailEvent.timeStamp + 2) { //如果第二次fail登录时间在第一次fail登录时间的2秒内
          out.collect(LoginFailWarning(value.userId, firstFailEvent.timeStamp, value.timeStamp, "login fail 2 times in 2s"))
        }
        loginFailListState.clear()
        loginFailListState.add(value)
      } else {
        loginFailListState.add(value) //第一次错误登录记录
      }
    } else {
      loginFailListState.clear()
    }
  }
}
//输出结果
LoginFailWarning(1035,1558430842,1558430843,login fail 2 times in 2s)
LoginFailWarning(1035,1558430843,1558430844,login fail 2 times in 2s)

* 方法三: CEP(复杂时间处理)( 重点 )

flink 为我们提供了 CEP Complex Event Processing ,复杂事件处理) 库,用于在流中筛选符合某种复杂模式的事件。 
import java.util

import org.apache.flink.cep.PatternSelectFunction
import org.apache.flink.cep.scala.CEP
import org.apache.flink.cep.scala.pattern.Pattern
import org.apache.flink.streaming.api.TimeCharacteristic
import org.apache.flink.streaming.api.functions.timestamps.BoundedOutOfOrdernessTimestampExtractor
import org.apache.flink.streaming.api.scala.{DataStream, StreamExecutionEnvironment}
import org.apache.flink.streaming.api.scala._
import org.apache.flink.streaming.api.windowing.time.Time
//cep复杂问题处理 可以解决乱序问题
object LoginFailWithCep {
  def main(args: Array[String]): Unit = {
    val env = StreamExecutionEnvironment.getExecutionEnvironment
    env.setParallelism(1)
    env.setStreamTimeCharacteristic(TimeCharacteristic.EventTime)

    val inputStream: DataStream[String] = env.readTextFile("D:\\Mywork\\workspace\\Project_idea\\UserBehaviorAnalysis0903\\LoginFailDetect\\src\\main\\resources\\LoginLog.csv")
    val loginEventBykeyStream: KeyedStream[LoginEvent, Long] = inputStream.map { data =>
      val arr = data.split(",")
      LoginEvent(arr(0).toLong, arr(1), arr(2), arr(3).toLong)
    }.assignTimestampsAndWatermarks(new BoundedOutOfOrdernessTimestampExtractor[LoginEvent](Time.seconds(3)) {
      override def extractTimestamp(element: LoginEvent): Long = element.timeStamp * 1000L
    }).keyBy(_.userId)

    // 1. 定义匹配的模式,要求是一个登录失败事件后,紧跟另一个登录失败事件
    val loginFailPattern: Pattern[LoginEvent, LoginEvent] = Pattern
      .begin[LoginEvent]("firstFail").where(_.eventType == "fail")
      .next("secondFail").where(_.eventType == "fail")
      .within(Time.seconds(2))

    val patternStream = CEP.pattern(loginEventBykeyStream, loginFailPattern)

    val loginFailWarningStream = patternStream.select(new LoginFailEventMatch())
    loginFailWarningStream.print()
    env.execute("login fail with cep job")
  }
}

class LoginFailEventMatch() extends PatternSelectFunction[LoginEvent, LoginFailWarning] {
  //map(key, value)  key: firstFail, secondFail value:LoginEvent
  override def select(map: util.Map[String, util.List[LoginEvent]]): LoginFailWarning = {
    val firstFailEvent = map.get("firstFail").iterator().next()
    val secondFailEvent = map.get("secondFail").iterator().next()
    LoginFailWarning(firstFailEvent.userId, firstFailEvent.timeStamp, secondFailEvent.timeStamp, "login fail")
  }
}

//输出结果
LoginFailWarning(1035,1558430841,1558430842,login fail)
LoginFailWarning(1035,1558430843,1558430844,login fail)

远方时光
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache FlinkCEP 实现超时状态监控的步骤详解
09-14
主要介绍了Apache FlinkCEP 实现超时状态监控的步骤,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
基于端口和Flink CEP进行恶意登录监控
yiyiqi123的博客
04-13 497
package commmm import java.util import org.apache.flink.cep.PatternSelectFunction import org.apache.flink.cep.scala.CEP import org.apache.flink.cep.scala.pattern.Pattern import org.apache.flink.stream...
SpringBoot集成Flink-CDC 采集PostgreSQL变更数据发布到Kafka
jiewolf的博客
02-10 7186
SpringBoot集成Flink-CDC 采集PostgreSQL变更数据发布到Kafka搭建过程及问题解决
Flink CEP SQL详解
huahuaxiaoshao的博客
07-22 4587
1 语法 SELECT [ ALL | DISTINCT ] { * | projectItem [, projectItem ]* } FROM tableExpression [MATCH_RECOGNIZE ( [PARTITION BY {partitionItem [, partitionItem]*}] [ORDER BY {orderItem [, orderItem]*}] [MEASURES {measureItem AS col [, measureItem AS col]*}] [ON
(6)Flink CEP SQL模拟账号短时间内异地登录风控预警
NBI大数据可视化
08-30 543
本篇文章我们来模拟一个真实的风险识别场景,模拟XX平台上可能出现盗号行为。 技术实现方案: (1)通过将xxx平台用户登录时的登录日志发送到kafka(本文代码演示用的socket); (2)Flink CEP SQL规则引擎中定义好风控识别规则,接入kafka数据源,比如一个账号在5分钟内,在多个不同地区有登录行为,那我们认为该账号被盗; (3)Flink CEP将识别到的风险数据可以进行下发,为数据应用层提供数据服务,如:风控系统,数据大屏,态势感知… (1)我们先来定义一个数据生产者,模拟用户登录
Flink SQL篇,SQL实操、Flink Hive、CEP、CDC、GateWay
一个写湿的程序猿
02-10 3216
Flink SQL 篇82、Flink SQL有没有使用过?83、Flink被称作流批一体,从哪个版本开始,真正实现流批一体的?84、Flink SQL 使用哪种解析器?85、Calcite主要功能包含哪些?86、Flink SQL 处理流程说一下?87、Flink SQL包含哪些优化规则?88、Flink SQL中涉及到哪些operation?89、Flink Hive有没有使用过?90、Flink与Hive集成时都做了哪些操作?91、HiveCatalog类包含哪些方法?92、Flink SQL1.11
Flink-电商用户行为分析(每隔 5 分钟输出最近一小时内点击量最多的前 N 个商品)
Knight
07-05 7258
数据 链接:https://pan.baidu.com/s/1InfWoNYUeV1KYyvFS1aXuA 提取码:z3p4 程序主体 import org.apache.flink.streaming.api.scala.StreamExecutionEnvironment import org.apache.flink.api.scala._ import org.apache.flink.streaming.api.TimeCharacteristic //640533,3168550,47198
Flink入门到实战-阶段八(CEP)
S1124654的博客
07-18 527
Flink入门到实战-阶段八(CEP)
Flink代码之CEP-----复杂事件处理,订单超时,连续三次登录失败(九)
YellowXiuHui的博客
06-18 1234
一、检测连续三次登录失败的事件 import org.apache.flink.cep.scala.CEP import org.apache.flink.cep.scala.pattern.Pattern import org.apache.flink.streaming.api.TimeCharacteristic import org.apache.flink.streaming.api.scala._ import org.apache.flink.streaming.api.windowing.t
flink入门-09-Flink CEP简介
q287573145的博客
04-05 6959
1、 什么是 CEP ? • 复杂事件处理(Complex Event Processing,CEP) • Flink CEP是在 Flink实现的复杂事件处理(CEP)库 • CEP 允许在无休止的事件流中检测事件模式,让我们有机会掌握数据中重要的部分 • 一个或多个由简单事件构成的事件流通过一定的规则匹配,然后输出用户想得到的数据 — 满足规则的复杂事件 2、CEP 的特点 • 目标:从有序的简单事件流中发现一些高阶特征 • 输入:一个或多个由简单事件构成的事.
Flink(九)CEP
ks_1998的博客
06-28 1779
Flink CEP
flink_exporter:适用于Prometheus的Apache Flink导出器
05-01
flink_overview_taskmanagers flink_overview_slots_total flink_overview_slots_available flink_overview_jobs_running flink_overview_jobs_finished flink_overview_jobs_cancelled flink_overview_jobs_...
FLINK_ON_YARN-1.12.0.jar
11-01
适用范围CDH (>= 5.2), CDH (),系统版本 el7
Flink动态CEP,来自啤酒鸭
09-19
Flink动态CEP,来自黄瓜炖啤酒鸭的无私分享; 博主原文地址:https://blog.csdn.net/qq_31866793/article/details/115719358
Flink checkpoint 源码分析- Flink Checkpoint 触发流程分析
最新发布
TONIYH的博客
04-29 361
Flink的checkpoint的过程依赖于异步屏障快照算法,该算法在《Lightweight Asynchronous Snapshots for Distributed Dataflows》这篇paper中被提出。理解了这篇paper也就明白了flink的chekpoint机制。paper整体来说比较简单易懂,这篇博文主要是介绍flink中checkpoint触发流程。持续分析学习~
5、Flink事件时间之Watermark详解
猫猫爱吃小鱼粮
04-26 1388
Flink事件时间之Watermark详解
Flink学习(八)-Flink 集群搭建
a80C51的博客
04-23 436
装好 jdk 等必要的组件。注意,由于本身没有额外的 dns做转发。因此,需要在每台机器的 host 文件里,配置好相关 ip具体方法。
4、Flink执行模式(流/批)详解(下)
猫猫爱吃小鱼粮
04-25 617
Flink执行模式(流/批)详解(下)
阿里巴巴瓴羊基于 Flink 实时计算的优化和实践
Ververica的博客
04-26 2652
本⽂整理⾃阿里云智能集团技术专家王柳焮⽼师在 Flink Forward Asia 2023 中平台建设专场的分享。
FLINK_DIST_JAR
04-04
FLINK_DIST_JAR是Apache Flink的分发JAR文件。它是一个包含了Flink运行时和所有依赖项的可执行JAR文件。通过使用FLINK_DIST_JAR,您可以在不同的环境中部署和运行Flink应用程序。 以下是一个使用FLINK_DIST_JAR的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值