Flink之CEP案例分析-网络攻击检测

最新推荐文章于 2024-03-08 21:32:38 发布
最新推荐文章于 2024-03-08 21:32:38 发布
阅读量1w 收藏 17
点赞数 2
分类专栏: 【Flink】 Apache Flink 文章标签: Flink
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yanghua_kobe/article/details/59169473
版权

上一篇我们介绍了Flink CEP的API,这一篇我们将以结合一个案例来练习使用CEP的API编写应用程序,以强化对API的理解。所选取的案例是对网络遭受的潜在攻击进行检测并给出告警。当下互联网安全形势仍然严峻,网络攻击屡见不鲜且花样众多,这里我们以DDOS(分布式拒绝服务攻击)产生的流入流量来作为遭受攻击的判断依据。

假定一家云服务提供商,有多个跨地区的数据中心,每个数据中心会定时向监控中心上报其瞬时流量。

我们将检测的结果分为三个等级:

  • 正常:流量在预设的正常范围内;
  • 警告:某数据中心在10秒内连续两次上报的流量超过认定的正常值;
  • 报警:某数据中心在30秒内连续两次匹配警告;

首先,我们构建source,这里我们选择的是并行source,因此需要继承RichParallelSourceFunction类。所有的数据通过模拟器随机生成,其中数据中心编号为整型且取值范围为[0, 10),数据生成的事件间隔由PAUSE常量指定,默认为100毫秒:

//parallel source
DataStream<MonitorEvent> inputEventStream = env.addSource(
    new MonitorEventSource(
        MAX_DATACENTER_ID,
        STREAM_STD,
        STREAM_MEAN,
        PAUSE
    )
).assignTimestampsAndWatermarks(new IngestionTimeExtractor<MonitorEvent>());

下面,我们来构建警告模式,按照我们设定的警告等级,其模式定义如下:

Pattern<MonitorEvent, ?> warningPattern = Pattern.<MonitorEvent>begin("first")
    .subtype(NetworkStreamEvent.class)
    .where(evt -> evt.getStream() >= STREAM_THRESHOLD)
    .next("second")
    .subtype(NetworkStreamEvent.class)
    .where(evt -> evt.getStream() >= STREAM_THRESHOLD)
    .within(Time.seconds(10));

根据该模式构建模式流:

PatternStream<MonitorEvent> warningPatternStream =
    CEP.pattern(inputEventStream.keyBy("dataCenterId"), warningPattern);

在警告的模式流中筛选出配对的警告事件对,生成警告事件对象流(告警事件对象会算出,前后两个匹配的流量事件的平均值):

DataStream<NetworkStreamWarning> warnings = warningPatternStream.select(
    (Map<String, MonitorEvent> pattern) -> {
        NetworkStreamEvent first = (NetworkStreamEvent) pattern.get("first");
        NetworkStreamEvent second = (NetworkStreamEvent) pattern.get("second");

        return new NetworkStreamWarning(first.getDataCenterId(),
            (first.getStream() + second.getStream()) / 2);
    }
);

按照设定的等级,告警模式定义如下:

Pattern<NetworkStreamWarning, ?> alertPattern = Pattern.<NetworkStreamWarning>
    begin("first").next("second").within(Time.seconds(30));

在警告事件流中应用告警模式,得到告警模式流:

PatternStream<NetworkStreamWarning> alertPatternStream = CEP.pattern(warnings.keyBy
    ("dataCenterId"), alertPattern);

在告警模式流中匹配警告模式对,如果模式对中第一个警告对象的平均流量值小于第二个警告对象的平均流量值,则构建告警对象并输出该对象从而形成告警流:

DataStream<NetworkStreamAlert> alerts = alertPatternStream.flatSelect(
    (Map<String, NetworkStreamWarning> pattern, Collector<NetworkStreamAlert> out) -> {
        NetworkStreamWarning first = pattern.get("first");
        NetworkStreamWarning second = pattern.get("second");

        //first avg < second avg
        if (first.getAverageStream() < second.getAverageStream()) {
            out.collect(new NetworkStreamAlert(first.getDataCenterId()));
        }
    }
);

最终,sink到控制台:

warnings.print();
alerts.print();

从上面的代码段可见,CEP的关键是定义合适的模式。关于模式的相关的API,我们之前已进行过分析。为了节省篇幅,本文只列出了核心代码片段。

需要注意的是,因为包含Java 8的lambdas,当你使用javac作为编译器时,将会得到错误提示:

Exception in thread "main" org.apache.flink.api.common.functions.InvalidTypesException: 
The generic type parameters of 'Map' are missing. 
It seems that your compiler has not stored them into the .class file. 
Currently, only the Eclipse JDT compiler preserves the type information necessary to 
use the lambdas feature type-safely. 
See the documentation for more information about how to compile jobs containing lambda expressions.
at org.apache.flink.api.java.typeutils.TypeExtractor.validateLambdaGenericParameter(TypeExtractor.java:1331)
at org.apache.flink.api.java.typeutils.TypeExtractor.validateLambdaGenericParameters(TypeExtractor.java:1317)
at org.apache.flink.api.java.typeutils.TypeExtractor.getUnaryOperatorReturnType(TypeExtractor.java:347)
at org.apache.flink.cep.PatternStream.select(PatternStream.java:81)
at com.diveintoapacheflink.chapter11.NetworkAttackMonitor.main(NetworkAttackMonitor.java:55)
at ...

解决方案是使用Eclipse JDT来编译代码。

微信扫码关注公众号:Apache_Flink

apache_flink_weichat

QQ扫码关注QQ群:Apache Flink学习交流群(123414680)

qrcode_for_apache_flink_qq_group

vinoYang
关注
  • 2
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
基于Flink的安全数据分析与异常检测.pdf
12-03
安全领域的数据分析与异常检测的特点与要求 安全领域的数据处理流程 基于ELK的日志收集及分析方案 基于ELK的日志收集及分析方案 基于Flink的数据分析与异常检测基本方案 FLINK的使用场景
Flink CEP结合案例详解
一个数据小开发的博客
02-19 2672
1、介绍 FlinkCEP是在Flink之上实现的复杂事件处理(CEP)库。它允许您在无穷无尽的事件流中检测事件模式,使您有机会掌握数据中重要的内容。通常会用来做一些用户操作APP的日志风控策略等多种复杂事件,下面详细以用户连续10s内登陆失败超过3次告警为需求,进行全面讲解。 1.1、整体需求数据详解图 ...
FlinkCEP使用流程+使用案例
haibucuoba的博客
07-23 6129
一、CEP 一个或多个由简单事件构成的事件流通过一定的规则匹配,然后输出用户想得到的数据,满足规则的复杂事件。 CEP支持在流上进行模式匹配,根据模式的条件不同,分为连续的条件或不连续的条件;模式的条件允许有时间的限制,当在条件范围内没有达到满足的条件时,会导致模式匹配超时。 、 CEP就相当于在流上对event进行模式匹配。比如 连续两条登录失败日志不超过2秒,则进行错误预...
Flink-Java报错之org.apache.flink.api.common.functions.InvalidTypesException
最新发布
BugEveryday的博客
03-08 416
An easy workaround is to use an (anonymous) class instead that implements the 'org.apache.flink.api.common.functions.FlatMapFunction' interface. Otherwise the type has to be specified explicitly using type information.可以搜索这个报错,有很多文章提到了解决方法,并给出了示例代码。
flink CEP示例
a3125504x的博客
10-01 981
CEP示例三分钟时间内,出现三次及以上的温度高于40度就算作是异常温度,进行报警输出创建订单之后15分钟之内一定要付款,否则就取消订单 三分钟时间内,出现三次及以上的温度高于40度就算作是异常温度,进行报警输出 场景介绍 现在工厂当中有大量的传感设备,用于检测机器当中的各种指标数据,例如温度,湿度,气压等,并实时上报数据到数据中心,现在需要检测,某一个传感器上报的温度数据是否发生异常。 异常的定义 三分钟时间内,出现三次及以上的温度高于40度就算作是异常温度,进行报警输出 测试数据
Flink_CEP 功能和简单案例
weixin_45417821的博客
03-15 650
文章目录FlinkCEP——Flink的复杂事件处理FlinkCEP 简单流程Pattern API个体模式(Individual Patterns)量词条件模式组(Groups of Patterns)近邻引入 FlinkCEP——Flink的复杂事件处理 FlinkCEP是在Flink之上实现的复杂事件处理 (CEP)库。它使您可以检查无穷无尽的事件流的事件模型,从而使您有机会掌握数据中的重要信息 FlinkCEP 简单流程 DataStream<Event> input = ... Pa
FlinkCEP - Flink的复杂事件处理 - 简单案例
京河小蚁的博客
06-18 460
下面两个pattern: 1. 5s内点击浏览了商品3次 2. 3秒内先点击浏览商品,然后将商品加入收藏 更多关于flink cep内容请移步到https://github.com/DeveloperZJQ/learning-flink/blob/master/flink-learning-base/src/main/java/com/flink/cep/CEPDemo1.java.........
一个Flink-Cep使用案例
微信搜:import_bigdata,大数据领域硬核原创作者
08-29 1091
声明:本系列博客部分是根据SGG的视频整理而成,非常适合大家入门学习。部分文章是通过爬虫等技术手段采集的,目的是学习分享,如果有版权问题请留言,随时删除。 《2021年最新版大数据面试题全面开启更新》 本篇主要演练使用Flink-Cep+Groovy+Aviator 来实现一个物联网监控规则中的一个场景案例,后续将会介绍如何实现规则动态变更。 技术背景简介 Flink-Cepflink中的高级library,用于进行复杂事件处理,例如某一类事件连续出现三次就触发告警,可以类比Siddhi、E
FlinkFlink CEP 案例
九师兄
07-01 560
1.案例 我们先产生一个输入流,这个输入Event流由Event对象和event time组成,那么要使用EventTime,除了指定TimeCharacteristic外,在Flink中还要assignTimestampsAndWatermarks,其中分别定义了Eventtime和WaterMark, /** * 测试结果: * {start=[Event(id=1, name=start, money=1.0)], middle=[Event(id=5, name=middl.
Flink CEP 超时预警实现案例
leaeason的博客
09-18 3203
文章目录1. 案例-离厂超时预警 实现思路1.1 定义一个刷卡事件类1.2 定义一个事件模式(Pattern)1.3 Build pattern stream,模式匹配输出1.4 Use side output get timeout stream,获取超时输出流2. 其他可参考案例2.1 案例-订单超时统计2.2 案例-CEP 实现空气质量检测2.3 案例-Flink CEP实现超时状态监控 1. 案例-离厂超时预警 实现思路 利用Flink CEP 的实现思路,暂时没考虑其他的干扰条件。假定只刷卡 出
Flink CEP兵书
11-25
Flink CEP兵书全面系统的介绍Flink CEP相关知识点以及相关代码讲解。分别讲解了:Flink CEP与流式处理的区别、原理、api讲解、Flink CEP各种模式、跳过策略、模式匹配、水位线的讲解等内容。以及在代码例子中,给大家提供了代码实现及代码讲解。
flink-cep-2.11-1.10.0-API文档-中文版.zip
04-23
赠送jar包:flink-cep_2.11-1.10.0.jar; 赠送原API文档:flink-cep_2.11-1.10.0-javadoc.jar; 赠送源代码:flink-cep_2.11-1.10.0-sources.jar; 赠送Maven依赖信息文件:flink-cep_2.11-1.10.0.pom; 包含翻译后...
flink-table-planner-blink-2.11-1.12.7-API文档-中文版.zip
07-07
赠送jar包:flink-table-planner-blink_2.11-1.12.7.jar; 赠送原API文档:flink-table-planner-blink_2.11-1.12.7-javadoc.jar; 赠送源代码:flink-table-planner-blink_2.11-1.12.7-sources.jar; 赠送Maven依赖...
flink-1.14.0-bin-scala_2.11.tgz
07-18
flink-1.14.0-bin-scala_2.11.tgz
Apache Flinkflink-1.15.0-bin-scala_2.12.tgz)
05-07
Apache Flinkflink-1.15.0-bin-scala_2.12.tgz)是由Apache软件基金会开发的开源流处理框架,其核心是用Java和Scala编写的分布式流数据流引擎。Flink以数据并行和流水线方式执行任意流数据程序,Flink的流水线运行...
flink-shaded-hadoop-3下载
05-19
flink-shaded-hadoop-3下载
Apache Flink fault tolerance源码剖析(一)
热门推荐
VinoYang的专栏
05-26 1万+
因某些童鞋的建议,从这篇文章开始结合源码谈谈Flink Fault Tolerance相关的话题。上篇官方介绍的翻译是理解这个话题的前提,所以如果你想更深入得了解Flink Fault Tolerance的机制,推荐先读一下前篇文章理解它的实现原理。当然原理归原理,原理体现在代码实现里并不是想象中的那么直观。这里的源码剖析也是我学习以及理解的过程。
Akka在Flink中的使用剖析
VinoYang的专栏
04-14 1万+
Akka与Actor 模型Akka是一个用来开发支持并发、容错、扩展性的应用程序框架。它是actor model的实现,因此跟Erlang的并发模型很像。在actor模型的上下文中,所有的活动实体都被认为是互不依赖的actor。actor之间的互相通信是通过彼此之间发送异步消息来实现的。每个actor都有一个邮箱来存储接收到的消息。
Apache Flink源码解析之stream-windowfunction
VinoYang的专栏
05-12 1万+
Window也即窗口,是Flink流处理的特性之一。前一篇文章我们谈到了Winodw的相关概念及其实现。窗口的目的是将无界的流转换为有界的元素集合,但这还不是最终的目的,最终的目的是在这有限的集合上apply(应用)某种函数,这就是我们本篇要谈的主题——WindowFunction(窗口函数)。
flink-cep能做什么?
06-09
Flink-CEPFlink的复杂事件处理库,它可以用于分析和处理在实时数据流中发生的复杂事件。复杂事件指的是由多个简单事件组合而成的事件,这些简单事件之间存在某种因果关系或时序关系。Flink-CEP可以识别这些事件,并根据一些预定义的规则进行处理和分析Flink-CEP可以应用于多种场景,包括: 1. 金融交易:Flink-CEP可以分析实时的金融交易数据流,识别潜在的欺诈行为或风险情况,并进行及时的响应。 2. 物联网:Flink-CEP可以分析物联网设备产生的数据流,识别设备故障、异常或危险情况,并进行实时的控制和管理。 3. 电信网络:Flink-CEP可以分析实时的网络数据流,识别网络故障、恶意攻击或流量异常,从而保障网络的稳定性和安全性。 Flink-CEP提供了一些高级的API和函数库,可以方便地定义和处理复杂事件模式,同时也提供了可视化的工具,可以帮助用户更直观地进行事件模式的定义和分析。总的来说,Flink-CEP是一个非常有用的复杂事件处理库,可以帮助用户更好地理解和处理实时数据流中的复杂事件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值