基于状态机的业务行为溯源方法及系统

技术领域

本发明涉及互联网领域，尤其涉及一种基于状态机的业务行为溯源方法及系统。

背景技术

在如今的日常生活中，互联网已经与人们密不可分。互联网在给我们带来巨大便利和利益的同时，也伴生了互联网安全问题。为了避免网络安全问题的侵扰，人们已经广泛地使用了杀毒软件、防火墙等网络安全措施，使得病毒、主机入侵等网络安全事件发生数量大幅度下降。然而，互联网应用系统的安全跟具体的应用有关，涉及面极广，而应用系统的安全是动态的、不断变化的，因此在网络信息安全领域，如何高效、精准、智能地追溯互联网应用系统行为源，是在网络安全攻防对抗中抢占先机的关键。

现有技术中，业务行为的溯源通常采用流量分析、日志分析或代码分析的方式。其中，流量分析方法主要包括数据整理、协议的逆向以及通过算法来关联双方的数据；日志分析方法是基于攻击IP信息匹配锁定；代码分析方法主要是抓取相关行为的代码进行分析。

在上述方法中，流量分析是最常用的方法，但是，不难看出，采用流量分析方式进行用户行为的溯源存在可以预见的弊端，包括截取流量包的过程中存在丢包的问题，导致结果不准确，组包、协议逆向等工作计算量大，难度也非常大，特别是对未公开的私有协议无法逆向计算，同时，关联的算法不一定是100%准确的。

发明内容

本发明要解决的技术问题在于，针对现有技术的上述缺陷，提供一种基于状态机的业务行为溯源方法以及系统。

本发明解决其技术问题所采用的技术方案是：构造一种基于状态机的业务行为溯源方法，方法包括：

根据业务场景进行业务操作配置，生成基于状态机的业务操作流程；以及

获取用户访问信息，映射所述用户访问信息是否符合所述业务操作流程。

在本发明所述的基于状态机的业务行为溯源方法中，所述业务操作流程包括多个节点，每个所述节点对应所述状态机的一种状态。

在本发明所述的基于状态机的业务行为溯源方法中，在根据业务场景进行业务操作配置，生成基于状态机的业务操作流程的所述步骤中，根据业务场景配置用户角色、用户、操作权限以及流程节点。

在本发明所述的基于状态机的业务行为溯源方法中，所述用户访问信息包括用户登录信息、角色权限信息、URL、POST或GET请求信息。

本发明还公开了一种基于状态机的业务行为溯源系统，包括：

配置模块，用于根据业务场景进行业务操作配置，生成基于状态机的业务操作流程；以及

状态机检测模块，用于获取用户访问信息，映射所述用户访问信息是否符合所述业务操作流程。

在本发明所述的基于状态机的业务行为溯源系统中，所述业务操作流程包括多个节点，每个所述节点对应所述状态机的一种状态。

在本发明所述的基于状态机的业务行为溯源系统中，所述配置模块根据业务场景配置用户角色、用户、操作权限以及流程节点。

在本发明所述的基于状态机的业务行为溯源系统中，所述用户访问信息包括用户登录信息、角色权限信息、URL、POST或GET请求信息。

本发明还公开了一种基于状态机的业务行为溯源系统，包括至少一个处理器；以及与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器执行如上所述的基于状态机的业务行为溯源方法。

本发明还公开了一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使计算机执行如上所述的基于状态机的业务行为溯源方法。

本发明的基于状态机的业务行为溯源方法以及系统，具有以下有益效果：本发明提供了的基于状态机检测机制的业务行为溯源，不需要挖掘业务系统的代码，同时也不需要单独生成操作链映射表与实际识别到用户行操作进行匹配；而是根据业务系统自身配置的业务操作流程节点进行操作控制，完全由业务系统自身角色权限、工作流程进行操作链配置；通过业务流转的状态变化来溯源用户行为，使用工作流引擎机制，减少技术难度，能够覆盖到实际用户业务操作行业溯源。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图：

图1所示是本发明一实施例提供的基于状态机的业务行为溯源方法的流程图；

图2所示为本发明一实施例的应用场景示意图；

图3所示是本发明一实施例提供的基于状态机的业务行为溯源系统的原理图；

图4示出了本发明一实施例提供的基于状态机的业务行为溯源系的一个具体示意的结构图。

具体实施方式

为了便于理解本发明，下面将参照相关附图对本发明进行更全面的描述。附图中给出了本发明的典型实施例。但是，本发明可以以许多不同的形式来实现，并不限于本文所描述的实施例。相反地，提供这些实施例的目的是使对本发明的公开内容更加透彻全面。

除非另有定义，本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的，不是旨在于限制本发明。

图1所示是本发明一实施例提供的基于状态机的业务行为溯源方法的流程图；如图1所示，本发明提供的基于状态机的业务行为溯源方法包括以下步骤：

步骤S1、根据业务场景进行业务操作配置，生成基于状态机的业务操作流程；以及

步骤S2、获取用户访问信息，映射所述用户访问信息是否符合所述业务操作流程。

具体地，在步骤S1中，借助工作流引擎思想使用WEB应用防火墙防护技术对业务访问操作在WEB管理界面进行配置管理，根据特定的业务场景配置用户角色、用户、操作权限、流程节点等内容，保存后生成业务操作流程，形成一条完整业务操作链。业务操作流程中的每个节点（例如，图2中的节点a、c、d、e、g）为状态机中的每一种状态，一条完整的业务操作链构建了状态机的有限状态机的用户操作行为。

具体地，在步骤S2中，访问者在每个时间访问业务状态时会记录访问时间，如T1时刻是a→b，根据审计模块记录用户访问信息利用步骤S1中生成的状态机对用户的访问行为进行检测，用户访问信息具体包括用户登录信息、角色权限信息、URL，POST或GET请求信息。根据预先保存的业务操作流程映射用户访问信息，如果用户访问信息与业务操作流程不符，则阻止并记录，由此可快速溯源用户每一步操作行为。如果用户访问信息为正常业务流，则对用户访问行为进行放行，根据用户的业务需求，通过工作流引擎进行业务流程配置。

如图2所示，某用户从a状态开始访问到达h状态，在步骤S1中，根据特定的业务场景配置用户角色、用户、操作权限、流程节点等内容，为某一角色的用户user1配置了一条从a到h 正常的访问流程是：a→b→d→g→h。在步骤S2中，通过获取用户的访问信息，如果非法用户user2通过以下路径（a→b→e→f→h或a→c→g→h或a→c→h）访问业务到达h，则判定为异常的访问流程，阻止该用户的访问，并进行记录。

本发明提供了的基于状态机检测机制的业务行为溯源，不需要挖掘业务系统的代码，同时也不需要单独生成操作链映射表与实际识别到用户行操作进行匹配；而是根据业务系统自身配置的业务操作流程节点进行操作控制，完全由业务系统自身角色权限、工作流程进行操作链配置。通过业务流转的状态变化来溯源用户行为，使用工作流引擎机制，减少技术难度，能够覆盖到实际用户业务操作行业溯源。

图3所示是本发明一实施例提供的基于状态机的业务行为溯源系统的原理图；如图3所示，本发明提供的基于状态机的业务行为溯源系统，包括：

配置模块310，用于根据业务场景进行业务操作配置，生成基于状态机的业务操作流程；以及

状态机检测模块320，用于获取用户访问信息，映射所述用户访问信息是否符合所述业务操作流程。

具体地，配置模块310借助工作流引擎思想使用WEB应用防火墙防护技术对业务访问操作在WEB管理界面进行配置管理，根据特定的业务场景配置用户角色、用户、操作权限、流程节点等内容，保存后生成业务操作流程，形成一条完整业务操作链。业务操作流程中的每个节点（例如，图2中的节点a、c、d、e、g）为状态机中的每一种状态，一条完整的业务操作链构建了状态机的有限状态机的用户操作行为。

具体地，访问者在每个时间访问业务状态时会记录访问时间，如T1时刻是a→b，状态机则根据审计模块记录用户访问信息，具体包括用户登录信息、角色权限信息、URL，POST或GET请求信息。然后状态机检测模块320根据预先保存的业务操作流程映射用户访问信息，如果用户访问信息与业务操作流程不符，则阻止并记录，由此可快速溯源用户每一步操作行为。如果用户访问信息为正常业务流，则对用户访问行为进行放行，根据用户的业务需求，通过工作流引擎进行业务流程配置。

本发明装置实施例所述的各功能模块的功能可根据上述方法实施例中的方法具体实现，其具体实现过程可以参照上述方法实施例的相关描述，此处不再赘述。

需要指出的是，上文对各种模块的描述中，分割成这些模块，是为了说明清楚。然而，在实际实施中，各种模块的界限可以是模糊的。例如，本文中的任意或所有功能性模块可以共享各种硬件和/或软件元件。又例如，本文中的任何和/或所有功能模块可以由共有的处理器执行软件指令来全部或部分实施。另外，由一个或多个处理器执行的各种软件子模块可以在各种软件模块间共享。相应地，除非明确要求，本发明的范围不受各种硬件和/或软件元件间强制性界限的限制。

图4是本发明实施例提供的基于状态机的业务行为溯源系统的硬件结构示意图，如图4所示，该装置包括一个或多个处理器41以及存储器42，图4中以一个处理器41为例。处理器41和存储器42可以通过总线或者其他方式连接，图4中以通过总线连接为例。

处理器41可以为中央处理器(Central Processing Unit,CPU)处理器41还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP) >专用集成电路(Application Specif ic Integrated Circuit, ASIC) > 现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片，或者上述各类芯片的组合。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

存储器42作为一种非暂态计算机可读存储介质，可用于存储非暂态软件程序、非暂态计算机可执行程序以及模，如本发明实施例中的改善LED灯具渐变效果的方法对应的程序指令/模块。处理器41通过运行存储在存储器42中的非暂态软件程序、指令以及模块，从而执行服务器的各种功能应用以及数据处理，即实现上述实施例中的基于状态机的业务行为溯源方法。

存储器42可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储根据LED驱动脉冲调制装置的使用所创建的数据等。此外，存储器42可以包括高速随机存取存储器，还可以包括非暂态存储器，例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中，存储器42可选包括相对于处理器41远程设置的存储器，这些远程存储器可以通过网络连接至LED驱动脉冲调制装置。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

所述一个或者多个模块存储在所述存储器42中，当被所述一个或者多个处理器41执行时，执行如上所述的基于状态机的业务行为溯源方法。

上述产品可执行本发明实施例所提供的方法，具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节，具体可参见如图1所示的实施例中的相关描述。

本发明实施例还提供了一种非暂态计算机存储介质，所述计算机存储介质存储有计算机可执行指令，该计算机可执行指令可执行如上所述的改善LED灯具渐变效果的方法。其中，所述存储介质可为磁碟、光盘、只读存储记忆体(Read- Only Memory,ROM) ＞随机存储记忆体(Random Access Memory,RAM) ＞快闪存储器(Flash Memory) ＞硬盘(HardDisk Drive,缩写：HDD)或固态硬盘(Solid-State Drive,SSD)等；所述存储介质还可以包括上述种类的存储器的组合。

本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(ROM)或随机存储记忆体(RAM)等。

虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下作出各种修改和变型，这样的修改和变型均落入由所附权利要求所限定的范围之内。