[发明专利]分布式数据节点异常行为检测方法、装置及服务器

说明书

本发明实施例涉及数据节点分析技术领域，具体而言，涉及一种分布式数据节点异常行为检测方法、装置及服务器。在该方法中，当第一数据节点与第二数据节点进行数据交互且它们的节点标识相同时，能够从第一数据节点和第二数据节点之间的交互记录中确定出第一数据节点的第一动作指令流以及第二数据节点的第二动作指令流并采用同一种动作解析逻辑进行解析，在解析得到的第一指令特征和第二指令特征不匹配时采用不同的行为识别逻辑进行识别以得到第一识别结果和第二识别结果，进而基于第一识别结果和第二识别结果确定出存在异常行为的数据节点。如此，在确保分布式数据节点的工作性能的前提下实现异常行为的检测从而确定出被入侵的分布式数据节点。

技术领域

本发明涉及数据节点分析技术领域，具体而言，涉及一种分布式数据节点异常行为检测方法、装置及服务器。

背景技术

随着科技的发展，分布式数据处理技术已应用于金融、物联网、保险和公益领域等领域，能够实现对数据信息的快速、安全交互以及数据信息的有效性验证。也正是由于分布式数据处理技术涉及的应用领域大多为国民生产中的重要领域，确保分布式数据网络中的分布式数据节点不被黑客入侵和攻击是非常重要的。由于分布式网络中的分布式数据节点的数量较多，且分布式数据节点通常会执行大量的数据处理工作，如果为每个分布式数据节点额外配置防火墙或者黑客监测/拦截机制从而实现对分布式数据节点的异常行为检测，会极大地影响分布式数据节点的工作性能（例如数据处理速度和数据处理精确度）。因此，如何在确保分布式数据节点的工作性能的前提下实现异常行为的检测从而确定出被入侵的分布式数据节点是现阶段亟待解决的一个技术问题。

发明内容

为了至少克服现有技术中的上述不足，本发明的目的之一在于提供一种分布式数据节点异常行为检测方法、装置及服务器。

本发明实施例提供了一种分布式数据节点异常行为检测方法，应用于服务器，所述服务器与分布式数据网络通信，所述分布式数据网络中存在相同节点标识的数据节点共用一种动作解析逻辑，设置每个数据节点与所述服务器的绑定关系、以及对应的动作解析逻辑和行为识别逻辑，每个数据节点在启动数据处理进程时通过所述服务器激活该数据节点对应的动作解析逻辑和行为识别逻辑，所述方法至少包括：

当所述分布式数据网络中的第一数据节点与第二数据节点进行数据交互时，判断所述第一数据节点的节点标识与所述第二数据节点是否相同；

在所述第一数据节点的节点标识与所述第二数据节点的节点标识相同时，从所述第一数据节点和所述第二数据节点之间的交互记录中确定出第一数据节点的第一动作指令流以及所述第二数据节点的第二动作指令流；

按照所述第一数据节点或所述第二数据节点对应的动作解析逻辑，分别对所述第一动作指令流和所述第二动作指令流进行解析，得到第一指令特征和第二指令特征；

在所述第一指令特征和所述第二指令特征不匹配时，基于所述第一数据节点对应的第一行为识别逻辑对所述第一指令特征进行识别得到第一识别结果并基于所述第二数据节点对应的第二行为识别逻辑对所述第二指令特征进行识别得到第二识别结果；

根据所述第一识别结果和所述第二识别结果确定出所述第一数据节点和所述第二数据节点中存在异常行为的数据节点。

在一种可选的实施例中，所述从所述第一数据节点和所述第二数据节点之间的交互记录中确定出第一数据节点的第一动作指令流以及所述第二数据节点的第二动作指令流，包括：

获取所述交互记录的元数据信任度以及各动作指令对；

在根据所述元数据信任度确定出所述交互记录中包含有无效交互行为的情况下，根据所述交互记录在无效交互行为下的动作指令对及其数字签名确定交互记录在有效交互行为下的各动作指令对与交互记录在无效交互行为下的各动作指令对之间的响应成功率之差，并将交互记录在有效交互行为下的与在无效交互行为下的动作指令对的响应成功率相同的动作指令对调整到相应的无效交互行为的分类下；