【flink】连续登陆失败两次检测

最新推荐文章于 2023-09-17 18:46:38 发布
最新推荐文章于 2023-09-17 18:46:38 发布
阅读量543 收藏 1
点赞数
分类专栏: 大数据学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37023928/article/details/113577244
版权 
package com.atguigu.loginfail_detect;/**
 * Copyright (c) 2018-2028 尚硅谷 All Rights Reserved
 * <p>
 * Project: UserBehaviorAnalysis
 * Package: com.atguigu.loginfail_detect
 * Version: 1.0
 * <p>
 * Created by wushengran on 2020/11/17 14:02
 */

import com.atguigu.loginfail_detect.beans.LoginEvent;
import com.atguigu.loginfail_detect.beans.LoginFailWarning;
import org.apache.flink.api.common.state.ListState;
import org.apache.flink.api.common.state.ListStateDescriptor;
import org.apache.flink.api.common.state.ValueState;
import org.apache.flink.api.common.state.ValueStateDescriptor;
import org.apache.flink.configuration.Configuration;
import org.apache.flink.shaded.guava18.com.google.common.collect.Lists;
import org.apache.flink.streaming.api.TimeCharacteristic;
import org.apache.flink.streaming.api.datastream.DataStream;
import org.apache.flink.streaming.api.datastream.SingleOutputStreamOperator;
import org.apache.flink.streaming.api.environment.StreamExecutionEnvironment;
import org.apache.flink.streaming.api.functions.KeyedProcessFunction;
import org.apache.flink.streaming.api.functions.timestamps.BoundedOutOfOrdernessTimestampExtractor;
import org.apache.flink.streaming.api.windowing.time.Time;
import org.apache.flink.util.Collector;

import java.net.URL;
import java.util.ArrayList;
import java.util.Iterator;

/**
 * @ClassName: LoginFail
 * @Description:
 * @Author: wushengran on 2020/11/17 14:02
 * @Version: 1.0
 */
public class LoginFail {
    public static void main(String[] args) throws Exception{
        StreamExecutionEnvironment env = StreamExecutionEnvironment.getExecutionEnvironment();
        env.setParallelism(1);
        env.setStreamTimeCharacteristic(TimeCharacteristic.EventTime);

        // 1. 从文件中读取数据
        URL resource = LoginFail.class.getResource("/LoginLog.csv");
        DataStream<LoginEvent> loginEventStream = env.readTextFile(resource.getPath())
                .map(line -> {
                    String[] fields = line.split(",");
                    return new LoginEvent(new Long(fields[0]), fields[1], fields[2], new Long(fields[3]));
                })
                .assignTimestampsAndWatermarks(new BoundedOutOfOrdernessTimestampExtractor<LoginEvent>(Time.seconds(3)) {
                    @Override
                    public long extractTimestamp(LoginEvent element) {
                        return element.getTimestamp() * 1000L;
                    }
                });

        // 自定义处理函数检测连续登录失败事件
        SingleOutputStreamOperator<LoginFailWarning> warningStream = loginEventStream
                .keyBy(LoginEvent::getUserId)
                .process(new LoginFailDetectWarning(2));

        warningStream.print();

        env.execute("login fail detect job");
    }

    // 实现自定义KeyedProcessFunction
    public static class LoginFailDetectWarning0 extends KeyedProcessFunction<Long, LoginEvent, LoginFailWarning>{
        // 定义属性,最大连续登录失败次数
        private Integer maxFailTimes;

        public LoginFailDetectWarning0(Integer maxFailTimes) {
            this.maxFailTimes = maxFailTimes;
        }

        // 定义状态:保存2秒内所有的登录失败事件
        ListState<LoginEvent> loginFailEventListState;
        // 定义状态:保存注册的定时器时间戳
        ValueState<Long> timerTsState;

        @Override
        public void open(Configuration parameters) throws Exception {
            loginFailEventListState = getRuntimeContext().getListState(new ListStateDescriptor<LoginEvent>("login-fail-list", LoginEvent.class));
            timerTsState = getRuntimeContext().getState(new ValueStateDescriptor<Long>("timer-ts", Long.class));
        }

        @Override
        public void processElement(LoginEvent value, Context ctx, Collector<LoginFailWarning> out) throws Exception {
            // 判断当前登录事件类型
            if( "fail".equals(value.getLoginState()) ){
                // 1. 如果是失败事件,添加到列表状态中
                loginFailEventListState.add(value);
                // 如果没有定时器,注册一个2秒之后的定时器
                if( timerTsState.value() == null ){
                    Long ts = (value.getTimestamp() + 2) * 1000L;
                    ctx.timerService().registerEventTimeTimer(ts);
                    timerTsState.update(ts);
                }
            } else {
                // 2. 如果是登录成功,删除定时器,清空状态,重新开始
                if( timerTsState.value() != null )
                    ctx.timerService().deleteEventTimeTimer(timerTsState.value());
                loginFailEventListState.clear();
                timerTsState.clear();
            }
        }

        @Override
        public void onTimer(long timestamp, OnTimerContext ctx, Collector<LoginFailWarning> out) throws Exception {
            // 定时器触发,说明2秒内没有登录成功来,判断ListState中失败的个数
            ArrayList<LoginEvent> loginFailEvents = Lists.newArrayList(loginFailEventListState.get());
            Integer failTimes = loginFailEvents.size();

            if( failTimes >= maxFailTimes ){
                // 如果超出设定的最大失败次数,输出报警
                out.collect( new LoginFailWarning(ctx.getCurrentKey(),
                        loginFailEvents.get(0).getTimestamp(),
                        loginFailEvents.get(failTimes - 1).getTimestamp(),
                        "login fail in 2s for " + failTimes + " times") );
            }

            // 清空状态
            loginFailEventListState.clear();
            timerTsState.clear();
        }
    }

    // 实现自定义KeyedProcessFunction
    public static class LoginFailDetectWarning extends KeyedProcessFunction<Long, LoginEvent, LoginFailWarning> {
        // 定义属性,最大连续登录失败次数
        private Integer maxFailTimes;

        public LoginFailDetectWarning(Integer maxFailTimes) {
            this.maxFailTimes = maxFailTimes;
        }

        // 定义状态:保存2秒内所有的登录失败事件
        ListState<LoginEvent> loginFailEventListState;

        @Override
        public void open(Configuration parameters) throws Exception {
            loginFailEventListState = getRuntimeContext().getListState(new ListStateDescriptor<LoginEvent>("login-fail-list", LoginEvent.class));
        }

        // 以登录事件作为判断报警的触发条件,不再注册定时器
        @Override
        public void processElement(LoginEvent value, Context ctx, Collector<LoginFailWarning> out) throws Exception {
            // 判断当前事件登录状态
            if( "fail".equals(value.getLoginState()) ){
                // 1. 如果是登录失败,获取状态中之前的登录失败事件,继续判断是否已有失败事件
                Iterator<LoginEvent> iterator = loginFailEventListState.get().iterator();
                if( iterator.hasNext() ){
                    // 1.1 如果已经有登录失败事件,继续判断时间戳是否在2秒之内
                    // 获取已有的登录失败事件
                    LoginEvent firstFailEvent = iterator.next();
                    if( value.getTimestamp() - firstFailEvent.getTimestamp() <= 2 ){
                        // 1.1.1 如果在2秒之内,输出报警
                        out.collect( new LoginFailWarning(value.getUserId(), firstFailEvent.getTimestamp(), value.getTimestamp(), "login fail 2 times in 2s") );
                    }

                    // 不管报不报警,这次都已处理完毕,直接更新状态
                    loginFailEventListState.clear();
                    loginFailEventListState.add(value);
                } else {
                    // 1.2 如果没有登录失败,直接将当前事件存入ListState
                    loginFailEventListState.add(value);
                }
            } else {
                // 2. 如果是登录成功,直接清空状态
                loginFailEventListState.clear();
            }
        }
    }
}


5402,83.149.11.115,success,1558430815
23064,66.249.3.15,fail,1558430826
5692,80.149.25.29,fail,1558430833
7233,86.226.15.75,success,1558430832
5692,80.149.25.29,success,1558430840
29607,66.249.73.135,success,1558430841
1035,83.149.9.216,fail,1558430842
1035,83.149.9.216,fail,1558430843
1035,83.149.24.26,fail,1558430844
7328,193.114.45.13,success,1558430848
29607,66.249.73.135,success,1558430847
2133,50.16.19.13,success,1558430857
6745,66.249.73.185,success,1558430859
76456,110.136.166.128,success,1558430853
8345,46.105.14.53,success,1558430855
76456,110.136.166.128,success,1558430857
76456,110.136.166.128,success,1558430854
76456,110.136.166.128,fail,1558430859
76456,110.136.166.128,success,1558430861
3464,123.125.71.35,success,1558430860
76456,110.136.166.128,success,1558430865
65322,50.150.204.184,success,1558430866
23565,207.241.237.225,fail,1558430862
8455,200.49.190.101,success,1558430867
8455,200.49.190.100,success,1558430865
8455,200.49.190.101,success,1558430869
8455,200.49.190.101,success,1558430872
32031,66.249.73.185,success,1558430875
12018,66.249.73.135,success,1558430874
12018,66.249.73.135,success,1558430879
12018,66.249.73.135,success,1558430881
21419,67.214.178.190,success,1558430882
21419,67.214.178.190,success,1558430880
23565,207.241.237.220,success,1558430881
2386,46.105.14.53,success,1558430883
23565,207.241.237.227,success,1558430884
83419,91.177.205.119,success,1558430881
83419,91.177.205.119,fail,1558430882
83419,91.177.205.119,success,1558430885
83419,91.177.205.119,fail,1558430886
83419,91.177.205.119,success,1558430884
83419,91.177.205.119,success,1558430886
4325,26.249.73.15,success,1558430888
2123,207.241.237.228,success,1558430887
21083,207.241.237.101,success,1558430889
13490,87.169.99.232,success,1558430886
93765,209.85.238.199,success,1558430890
93765,209.85.238.199,success,1558430892

输出了,就要清空掉状态,
然后剔除掉最初的那一次登录失败,以第二次的登录失败作为起点
沉淀技术这十年
关注
专栏目录
Flink欺诈检测Demo
04-18
Flink欺诈检测Demo 使用docker构建 docker build -t demo-fraud-webapp:latest -f webapp/webapp.Dockerfile webapp/ docker build -t flink-job-fraud-demo:latest -f flink-job/Dockerfile flink-job/ docker-...
Flink-java 状态机实现连续三次登陆失败
m0_48379126的博客
01-05 390
import org.apache.flink.api.common.eventtime.SerializableTimestampAssigner; import org.apache.flink.api.common.eventtime.WatermarkStrategy; import org.apache.flink.api.common.state.ValueState; import org.apache.flink.api.common.state.ValueStateDescriptor;.
大数据-玩转数据-Flink恶意登录监控
最新发布
s_unbo的博客
09-17 470
因此我们考虑,应该对用户的登录失败动作进行统计,具体来说,如果同一用户(可以是不同IP)在2秒之内连续两次登录失败,就认为存在恶意登录的风险,输出相关的信息进行报警提示。这是电商网站、也是几乎所有网站风控的基本一环。对于网站而言,用户登录并不是频繁的业务操作。如果一个用户短时间内频繁登录失败,就有可能是出现了程序的恶意攻击,比如密码暴力破解。
Flink_恶意登录监控 (利用CEP)
qq_36213530的博客
09-05 983
对于网站而言,用户登录并不是频繁的业务操作。如果一个用户短时间内频繁登录失败,就有可能是出现了程序的恶意攻击,比如密码暴力破解。因此我们考虑, 应该对用户的登录失败动作进行统计,具体来说,如果同一用户(可以是不同 IP) 在 2 秒之内连续两次登录失败,就认为存在恶意登录的风险,输出相关的信息进行报警提示。这是电商网站、也是几乎所有网站风控的基本一环。 会用到 flink 的 CEP 库来实现事件流 ,方法三:利用CEP是重点方法。 pom 文件中引入 CEP 的相关依赖:...
电商用户行为分析项目 第6节 恶意登录监控CEP实现
weixin_39868387的博客
02-26 281
上篇:电商用户行为分析项目 第5节 恶意登录监控 1、CEP编程 上一节的代码实现中我们可以看到,直接把每次登录失败的数据存起来、设置定时器一段时间后再读取,这种做法尽管简单,但和我们开始的需求还是略有差异的。这种做法只能隔2秒之后去判断一下这期间是否有多次失败登录,而不是在一次登录失败之后、再一次登录失败时就立刻报警。这个需求如果严格实现起来,相当于要判断任意紧邻的事件,是否符合某种模式。这...
Flink - CEP 实时分用户析攻击行为
多一份贡献,多一份环保
11-19 5041
在这样一种场景,用户的登录行为数据都会以LoginEvent的行式记录下来,每次失败或者成功以及错误都会记录下来,一般客户端都会进行检验,正常的用户不可能在一秒钟之内登录错误多次,这时候我就得怀疑这部分数据是不是机器对用户的密码进行暴力破解,如果有需要我们得将这些攻击IP进行封锁。 Flink - CEP 优点 复杂性:多个流join,窗口聚合,事件序列或patterns检测 低延迟:秒或毫秒...
如何基于Flink+TensorFlow打造实时智能异常检测平台
02-24
他介绍了携程如何基于Flink与TensorFlow构建实时智能异常检测平台,以解决规则告警系统准确率低、时效性低、规则配置复杂与耗费人力等诸多问题,实现了业务指标毫秒级延迟与智能化检测,同时依托Flink实现了强大的...
Flink动态表的连续查询
02-24
因为这些特性,Flink能够近实时对大量的输入数据计算出一个确定和精确的结果,并且在发生故障的时候提供一次性语义。Flink的核心流处理API,DataStreamAPI,非常具有表现力,并且为许多常见操作提供了原语。在其他...
Flink官网实例:基于DataStream API 实现欺诈检测,完整实现
02-07
本实例将详细讲解如何利用 Flink 的 DataStream API 实现欺诈检测,这是一个非常实用的应用场景,例如在金融交易、网络安全等领域。我们将探讨以下几个关键知识点: 1. **Flink DataStream API**:DataStream API ...
基于flink的电商用户行为数据分析【4】| 恶意登录监控
大数据梦想家
11-28 5957
基于flink的电商用户行为数据分析之【恶意登录监控】,另附超强 CEP 讲解,真的不点进来学习一下吗!!!
Flink代码之CEP-----复杂事件处理,订单超时,连续三次登录失败(九)
YellowXiuHui的博客
06-18 1297
一、检测连续三次登录失败的事件 import org.apache.flink.cep.scala.CEP import org.apache.flink.cep.scala.pattern.Pattern import org.apache.flink.streaming.api.TimeCharacteristic import org.apache.flink.streaming.api.scala._ import org.apache.flink.streaming.api.windowing.t
基于Flink和规则引擎的实时风控解决方案
climbs的专栏
10-16 1102
对一个互联网产品来说,典型的风控场景包括:注册风控、登陆风控、交易风控、活动风控等,而风控的最佳效果是防患于未然,所以事前事中和事后三种实现方案中,又以事前预警和事中控制最好。 这要求风控系统一定要有实时性。 本文就介绍一种实时风控解决方案。 1.总体架构 风控是业务场景的产物,风控系统直接服务于业务系统,与之相关的还有惩罚系统和分析系统,各系统关系与角色如下: 业务系统,通常是APP+后台 或者 web,是互联网业务的载体,风险从业务系统触发; 风控系统,为业务系统提供支持,根据业务系统传
Maven第三方依赖包所依赖Guava包高低版本不同互不兼容的解决方案
热门推荐
延宝小白马的博客
01-09 2万+
                由于从maven3.0开始,maven将不重复引用同一个依赖包(同一groupId和artifactId)。Guava没有向后兼容,由其第三库再依赖guava后,极易再项目里造成jar冲突,真实头疼。不过方法总比困难多。          以下解决方案是在引用的不同第三方包所依赖的Guava冲突背景下进行的。如果你可以简单的通过排除Guava包便可达到兼容的话,...
成功解决 -- flink.shaded.guava18.NumberFormatException: Not a version
L小Ray想有腮
05-07 2713
问题描述 Flink 客户端程序编译时报错: Exception in thread "main" org.apache.flink.shaded.guava18.com.google.common.util.concurrent.UncheckedExecutionException: java.lang.NumberFormatException: Not a version: 9 at org.apache.flink.shaded.guava18.com.google.common.cache
Flink的CEP机制实现恶意登录检测
木子李下的博客
12-08 603
一、思路 使用登录日志文件来进行代码测试,日志格式如下: //用户id、IP、登录成功或失败、时间戳 76456,110.136.166.128,success,1558430853 8345,46.105.14.53,success,1558430855 76456,110.136.166.128,success,1558430857 76456,110.136.166.128,success,1558430854 76456,110.136.166.128,fail,1558430859 76456,1
恶意登录监控。同一用户(可以是不同IP)在2秒内连续两次登录失败,则报警。
oO_DoraHe的博客
04-13 448
//输入事件样例类 case class LoginEvent(userid:Long,ip:String,eventType:String,eventTime:Long) //中间输出报警的样例类 case class Warning(userid:Long,firstFailTime:Long,lastFailTime:Long,warning: String) object LoginFai...
Flink_基于状态编程关于连续登录失败的过滤
weixin_43003792的博客
04-09 156
package com.loginfail import java.util import org.apache.flink.api.common.state.{ListState, ListStateDescriptor, ValueState, ValueStateDescriptor} import org.apache.flink.shaded.netty4.io.netty.handler.codec.http2.Http2Exception.StreamException import org.
flink 1.10.1 cep java版本案例(登录连续失败检测
liaomingwu的专栏
02-10 1152
flink 1.10.1 cep java版本案例(登录连续失败检测
实时数仓使用Flink识别新老客户
weixin_42796403的博客
03-15 1112
识别新老客户 识别新老客户 本身客户端业务有新老用户的标识,但是不够准确,需要用实时计算再次确认(不涉及业务操作,只是单纯的做个状态确认)。 数据拆分 不同数据写入Kafka不同的Topic中 1. 封装kafka工具类 public class MyKafkaUtil { static Properties props = new Properties(); static { props.setProperty("bootstrap.servers","hadoop
第一次部署flink 启动失败
05-18
1. 检查flink配置文件是否正确:确保flink的配置文件中的路径、端口号等参数都正确,特别是flink的日志文件目录配置,可能会因为权限问题导致启动失败。 2. 检查运行环境是否配置正确:flink需要Java环境和Hadoop...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值