Flink實戰-惡意登錄行爲檢測-CEP

原創 osc_j9qcf98f 2021-01-30 09:46 
FlinkCEP是在Flink上層實現的複雜事件處理庫。 它可以讓你在無限事件流中檢測出特定的事件模型,有機會掌握數據中重要的那部分。

官網文檔: https://ci.apache.org/projects/flink/flink-docs-stable/zh/dev/libs/cep.html

這裏給個demo,對比下不用cep和用cep的區別,
      實現目標: 從目標csv中讀取模擬登錄的數據,實時檢測,如果5秒鐘之內連續登錄的次數超過2次,則馬上告警

按照之前的正常操作(非CEP實現)

實現步驟:
1、準備環境和數據源加載到內存
2、進行數據切割,轉成需要的格式(樣例類)
3、指定時間窗口watermark及事件時間取哪個字段
4、按每個用戶id進行分組,統計每個用戶id的登錄行爲(畢竟不能放一起統計吧)
5、實現具體的處理邏輯ProcessFunction
6、輸出檢測數據

準備的模擬數據 userLogin.csv:

1234,10.0.1.1,fail,1611373940
1235,10.0.1.2,fail,1611373941
1234,10.0.1.3,fail,1611373942
1234,10.0.1.3,success,1611373943
1234,10.0.1.3,fail,1611373943
1234,10.0.1.3,fail,1611373944
1236,10.0.1.4,fail,1611373945
1234,10.0.1.4,fail,1611373957
1234,10.0.1.5,fail,1611373958
1234,10.0.11.55,fail,1611373959
1236,2.2.2.2,fail,1611373960

/*
 *
 * @author mafei
 * @date 2021/1/24
*/
package com.mafei

import org.apache.flink.api.common.state.{ListState, ListStateDescriptor, ValueState, ValueStateDescriptor}
import org.apache.flink.streaming.api.TimeCharacteristic
import org.apache.flink.streaming.api.functions.KeyedProcessFunction
import org.apache.flink.streaming.api.scala._
import org.apache.flink.util.Collector

import scala.collection.mutable.ListBuffer

/**
 * 定義一個輸入數據的樣例類
 *
 * @param userId   用戶id
 * @param ip       客戶端的ip
 * @param loginState    登錄狀態,目前只有success/fail,後期可以做擴展,所以定義爲string
 * @param ts       事件的時間戳,單位秒
 */
case class userLogin(userId: Long,ip: String,loginState: String,ts: Long)

/**
 * 定義一個輸出的樣例類
 * @param userId   用戶id
 * @param startTs   開始登錄時間
 * @param endTs     觸發事件的最後一次時間
 * @param loginCount   時間段內總共登錄的次數
 */
case class userLoginWarning(userId: Long, startTs: Long, endTs:Long, loginCount: Long)

object maliceLoginDetect {
  def main(args: Array[String]): Unit = {
    val env = StreamExecutionEnvironment.getExecutionEnvironment
    env.setStreamTimeCharacteristic(TimeCharacteristic.EventTime) //指定事件時間爲窗口和watermark的時間
    env.setParallelism(1)

    //從文件中讀取數據
    val resource = getClass.getResource("/userLogin.csv")
    val inputStream = env.readTextFile(resource.getPath)

    // 轉換成樣例類,並提取時間戳watermark
    val loginEventStream = inputStream
      .map(d => {
        val arr = d.split(",")
        // 分別對應  userId        ip      登錄狀態  時間戳
        userLogin(arr(0).toLong, arr(1), arr(2), arr(3).toLong)
      })
      .assignAscendingTimestamps(_.ts * 1000L) //把秒轉爲毫秒

    val loginWarningStream = loginEventStream
      .keyBy(_.userId)
      .process(new loginMaliceDetect(2))

    loginWarningStream.print()
    env.execute()
  }
}

class loginMaliceDetect(warningCount: Long) extends KeyedProcessFunction[Long,userLogin,userLoginWarning]{

  //定義狀態,保存當前所有的登錄事件爲list,方便後邊做數據統計
  lazy val loginFailListState: ListState[userLogin] = getRuntimeContext.getListState(new ListStateDescriptor[userLogin]("loginFail-list", classOf[userLogin]))

  //定義定時器的時間戳狀態,否則沒法刪定時器

  lazy val  timerTsState: ValueState[Long] = getRuntimeContext.getState(new ValueStateDescriptor[Long]("timerState", classOf[Long]))

  override def processElement(i: userLogin, context: KeyedProcessFunction[Long, userLogin, userLoginWarning]#Context, collector: Collector[userLoginWarning]): Unit = {
    //判斷,如果當前事件是登錄失敗事件,那再繼續操作
    if(i.loginState == "fail"){
      loginFailListState.add(i)
      //如果沒有註冊定時器,那就註冊一個定時器,5秒之後觸發
      if(timerTsState.value()== 0){
        val timerTs = i.ts * 1000L + 5000L
        context.timerService().registerEventTimeTimer(timerTs)
        timerTsState.update(timerTs)
      }
    }
    else if(i.loginState == "success"){
      context.timerService().deleteEventTimeTimer(timerTsState.value())
      timerTsState.clear()
      loginFailListState.clear()
    }
  }

  override def onTimer(timestamp: Long, ctx: KeyedProcessFunction[Long, userLogin, userLoginWarning]#OnTimerContext, out: Collector[userLoginWarning]): Unit = {
    // 判斷下如果登錄失敗次數超過了設置的閾值,則告警
    val loginFailList: ListBuffer[userLogin] = new ListBuffer[userLogin]
    val iterable = loginFailListState.get().iterator()
    while (iterable.hasNext){
      loginFailList += iterable.next()
    }
    if (loginFailList.size > warningCount){
      out.collect(userLoginWarning(userId = ctx.getCurrentKey, startTs = loginFailList.head.ts, endTs = loginFailList.last.ts, loginCount = loginFailList.size))
    }
    loginFailList.clear()
    loginFailListState.clear()
    timerTsState.clear()
  }
}

代碼結構及運行效果

Flink實戰-惡意登錄行爲檢測-CEP

使用flink CEP實現

上面代碼栗子是可以實現基本的登錄異常檢測了,但是如果碰到數據亂序等情況,
有3個失敗事件在時間範圍內,但是有個亂序的數據插在中間,這時候按照邏輯中間就會情況重新計算。。這時候就需要用到flink提供的cep(複雜事件檢測)的功能了

在pom.xml中增加cep的依賴

<properties>
        <maven.compiler.source>8</maven.compiler.source>
        <maven.compiler.target>8</maven.compiler.target>

        <flink.version>1.10.1</flink.version>
        <scala.binary.version>2.12</scala.binary.version>
    </properties>
    <dependencies>
        <dependency>
            <groupId>org.apache.flink</groupId>
            <artifactId>flink-cep-scala_${scala.binary.version}</artifactId>
            <version>${flink.version}</version>
        </dependency>
    </dependencies>
/*
 *
 * @author mafei
 * @date 2021/1/24
*/
package com.mafei

import org.apache.flink.cep.PatternSelectFunction
import org.apache.flink.cep.scala.CEP
import org.apache.flink.cep.scala.pattern.Pattern
import org.apache.flink.streaming.api.TimeCharacteristic
import org.apache.flink.streaming.api.scala._
import org.apache.flink.streaming.api.windowing.time.Time

import java.util

object maliceLoginDetectWithCep {
  def main(args: Array[String]): Unit = {
    val env = StreamExecutionEnvironment.getExecutionEnvironment
    env.setStreamTimeCharacteristic(TimeCharacteristic.EventTime) //指定事件時間爲窗口和watermark的時間
    env.setParallelism(1)

    //從文件中讀取數據
    val resource = getClass.getResource("/userLogin.csv")
    val inputStream = env.readTextFile(resource.getPath)

    // 轉換成樣例類,並提取時間戳watermark
    val loginEventStream = inputStream
      .map(d => {
        val arr = d.split(",")
        // 分別對應  userId        ip      登錄狀態  時間戳
        userLogin(arr(0).toLong, arr(1), arr(2), arr(3).toLong)
      })
      .assignAscendingTimestamps(_.ts * 1000L) //把秒轉爲毫秒

    // 1、先定義匹配的模式,需求爲一個登錄失敗事件後,緊接着出現另一個失敗事件
    val loginFailPattern = Pattern
      .begin[userLogin]("firstFail")
        .where(_.loginState == "fail")
      .next("secondFail")
        .where(_.loginState == "fail")
      .within(Time.seconds(5))

    //2、將匹配的規則應用在數據流中,得到一個PatternStream
    val patternStream = CEP.pattern(loginEventStream.keyBy(_.userId), loginFailPattern)

    // 3、匹配中符合模式要求的數據流,需要調用select
    val loginFailWarningStream = patternStream.select(new LoginFailEventMatch())
    loginFailWarningStream.print()
    env.execute("login fail detect with cep")

  }
}
class LoginFailEventMatch() extends PatternSelectFunction[userLogin,userLoginWarning]{
  override def select(map: util.Map[String, util.List[userLogin]]): userLoginWarning = {

    //前邊定義的所有pattern,都在Map裏頭,因爲map的value裏面只定義了一個事件,所以只會有一條,取第一個就可以,如果定義了多個,需要按實際情況來
    val firstFailEvent = map.get("firstFail").get(0)
    val secondFailEvent = map.get("secondFail").iterator().next()
    userLoginWarning(firstFailEvent.userId,firstFailEvent.ts,secondFailEvent.ts,2)
  }
}

代碼結構及運行效果

Flink實戰-惡意登錄行爲檢測-CEP

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Flink1.12 文檔

API 移除掉 ExecutionConfig 中過期的方法 移除掉了 ExecutionConfig#isLatencyTrackingEnabled 方法, 你可以使用 ExecutionConfig#getLatencyTracki

osc_bv96h8zs 2024-05-13 21:17:28

Apache DolphinScheduler 3.1.9 版本發佈:提升系統的穩定性和性能

🚀我們很高興宣佈,Apache DolphinScheduler 的最新版本 3.1.9 已正式發佈!此版本在 3.1.8 的基礎上進行了關鍵的 bug 修復和文檔更新,共計修復了 14 個 bug 和改進了 3 個文檔。 主要更新亮點

原創 2023-12-28 21:27:33

老知識覆盤-SQL從提交到執行到底經歷了什麼 | 京東雲技術團隊

一、什麼是SQL sql(Structured Query Language: 結構化查詢語言)是高級的費過程化編程語言,允許用戶在高層數據結構上工作, 是一種數據查詢和程序設計語言, 也是(ANSI)的一項標準的計算機語言. but...

原創 2023-11-22 12:37:34

林偉:大數據AI一體化的解讀

今年是AI大爆發的一年,大語言模型的誕生推動了席捲整個行業的大模型熱潮,許多人認爲“AI的iPhone時代”到來了。訓練大模型其實不簡單,因爲模型參數量的增加意味着需要更好的算力、更多的數據去錘鍊,並且需要合適的工具讓開發者快速迭代模型,只

原創 2023-11-10 02:50:41

實時數倉 Hologres:推出計算組實例/支持JSON數據/向量計算+大模型等新能力

阿里雲ODPS系列產品以MaxCompute、DataWorks、Hologres爲核心,致力於解決用戶多元化數據的計算需求問題,實現存儲、調度、元數據管理上的一體化架構融合,支撐交通、金融、科研、等多場景數據的高效處理,是目前國內最早自研

原創 2023-09-26 01:30:48

人力家:用 MaxCompute 事務表2.0主鍵模型去重數據持續降本增效

業務簡介 人力家是由阿里釘釘和人力窩共同投資成立,幫助客戶進入人力資源數字化,依靠產品技術創新驅動戰略的互聯網公司。公司主要提供包括人事管理、薪酬管理、社保管理、增值服務在內的人力資源SaaS服務,加速對人力資源領域賦能,實現人力資源新工

原創 2023-09-01 00:37:47

Iceberg入門介紹

1、Iceberg簡介 本質:一種數據組織格式 1.1、應用場景 ①面向大表:單表包含數十個PB的數據 ②分佈式引擎非必要:不需要分佈式SQL引擎來讀取或查找文件 ③高級過濾:使用表元數據,使用分區和列級統計信息修建數據文件 1.2、集成方

xiaomin0322 2023-08-02 00:02:27

Apache DolphinScheduler GitHub Star 突破 10000+!

今天,Apache DolphinScheduler GitHub Star 突破 10000,項目迎來一個重要里程碑。這表明 Apache DolphinScheduler 已經在全球的開發者和用戶中獲得了廣泛的認可和使用。

原創 2023-06-29 21:22:56

助力長城汽車數據管道平臺連接“數據孤島”,加強數據一元化,Apache DolphinScheduler 的角色定位

講師簡介 長城汽車-IDC-數據中臺部-劉永飛 高級工程師 我是長城汽車 IDC-數據中臺部的劉永飛,給大家分享一下我們自研的一個數據同步工具平臺,以及在使用這個工具過程中遇到的問題。今天的分享主要有四個部分: 我們自研的數據管道工具平

原創 2023-06-13 11:33:03

開源大數據平臺 E-MapReduce Serverless StarRocks 產品介紹

摘要:本文將分享阿里雲與 StarRocks 社區合作打造的雲上 StarRocks 極速湖倉的雲原生產品實踐。主要包括四個部分,第一部分介紹 StarRocks 全託管形態,以及免運維服務的 OLAP 雲產品;第二部分介紹 Star

原創 2023-06-06 00:24:27

流批一體的近實時數倉的思考與設計

摘要:基於對數據時間旅行的思考,引出了對目前三種數倉形態和兩種數倉架構的思考。結合數據湖在 Flink 的應用和數據湖元數據類型的思考,探索了基於數據湖的 Flink SQL 流批一體的實踐,在流批一體 SQL 表達一致、結果一致性、

原創 2023-05-25 12:19:59

在運行flinksql遇到的問題

一、checkpoint失敗 原因:我把insert into這個語句給註釋掉了      其他的原因大概率是flinksql不夠嚴謹 二、運行中的報錯 java.io.IOException: Failed to deserial

原創 2023-05-10 13:52:37

海量數據實時分析引擎 Apache Flink

摘要:當系統出現大量或者重大的錯誤卻不被人感知,將會對業務產生影響,從而導致資產損失。當競爭對手實施了新戰術,卻無法及時感知,跟不上競爭對手的節奏,總是追着對方尾巴走。當要做決策的時候,海量的業務數據增長卻無法實時看到聚合結果,決策總是憑

原創 2023-04-20 12:25:00

StarRocks簡單使用

從clickhouse遷移到StarRocks,研究討論後,決定使用flink進行kafka同步到StarRocks 1、數據模型 StarRocks 的數據模型主要分爲3類: Aggregate,聚合模型 Unique,主鍵模型 Dup

原創 2023-03-29 21:24:49

阿里雲消息隊列 Kafka 生態集成的實踐與探索

消息隊列 Kafka 簡介 Apache Kafka是一個分佈式流平臺,作爲互聯網領域不可或缺的消息組件,在全球獲得了廣泛的應用。在使用過程中,Kafka一般被作爲消息流轉的核心樞紐,上下游系統通過Kafka實現異步,削峯填谷。在大數據處

原創 2023-03-01 00:13:05