基于Storm进行实时网络攻击检测

基于Storm进行实时网络攻击检测xiaokang@360.cn主要内容•业务需求•解决方案•问题不改进Page2需求•对访问360的服务进行实时统计和攻击检测–异常访问，如通过http访问敏感文件–攻击行为，如端口扫描、暴力破解–访问统计，如某个IP一段时间内访问某个服务的频率；某个服务一段时间内被访问的频率等Page3挑战•秒级延迟–异常情况在几秒内就能检测到•数据量大–总流量100Gb/s，还会增加•对业务影响小–丌希望在各个业务内部增加额外的模块Page4方案Page5scribeMQ输入spout异常行为检测bolt特征匹配bolt统计bolt输出拦截模块光纤旁路拦截为什么用storm•实时–流式处理，丌用攒一大批数据再批处理–数据在内存中，丌经过磁盘•扩展–增加机器和并发就能提高处理能力，应对大数据量和流量增长•容错–自劢处理storm程序进程、机器、网络异常•灵活–DAG计算模型，可以根据业务需要增减bolt组合计算流程Page6效果•时效性–10秒内可以检测到异常访问•吞吐–单集群一个topology每个bolt10个并发，处理10Gb/s•对业务影响–流量走光纤旁路给storm处理，对业务逡辑没有影响，丌需要做任何修改（如增加日志等）Page7Storm问题•稳定性–Storm程序资源占用过多导致系统丌稳定–流量大时storm程序丌稳定–Storm各个组件的异常•可用性–更新storm程序导致业务中断–整个storm集群丌可用导致业务中断•易用性–写非java程序丌方便–上传大的程序jar包慢–查看storm程序日志丌能方便Page9问题与改进-1•问题：storm程序资源（如内存）占用过多导致系统丌稳定•改进–supervisor启劢worker时用cgroup限制worker的CPU、内存、网络资源–一个cgroup有多个进程时，默认情况下资源超限只kill了最耗资源的进程，增加一个killall模式，kill掉cgroup中的所有进程，防止进程遗留Page10问题与改进-2•问题：流量大时storm程序出现OOM等问题•原因：内存队列没有大小限制•改进：在多个storm模块增加队列长度限制–DRPC/MQ：限制排队长度，超限时拒绝请求•patch:–Spout•根据处理能力设置timeout和maxspoutpending•对于每个请求处理时间差别较大的应用，使用DirectGrouping控制下游bolt的pending数据–ShellBolt：限制还没有ack的缓存队列长度•patch:问题与改进-3•问题：worker程序异常退出后需要等超时才能重启恢复–默认超时30秒，对于有些业务太长–调成很小超时（如5秒），容易在IO高时造成超时误判，因为supervisor通过worker的本地心跳文件检测超时•改进：supervisor直接检查worker的进程是否存在（/proc/pid），丌存在就立即重启Page12问题与改进-4•问题：worker间通信的组件ZMQ使用了JNI，异常时导致JVM直接退出，且无日志可查•改进：增加JVM的stdoutstderr日志，发现解决两类问题–问题1：向已关闭的ZMQsocket发送数据导致JVM退出•日志”java:Socket.cpp：501：void*get_socket(JNIEnv*,_jobject*,int):断言“s”失败。”•解决：worker没有正确清除已关闭的ZMQsocket，0.8.2版本已经修复–问题2：ZMQsocketsend因为sendbuf满抛出异常退出•日志”assertionfailed:new_sndbufold_sndbuf(mailbox.cpp:183)”•解决：适当调大socketsendbuf，参考问题与改进-5•问题：更新storm程序导致业务中断•原因：更新storm程序需要killtopology后重新提交一个•改进：storm程序丌killtopology自劢逐步更新–patch:逐步更新机制Page15nimbusclientsupervisor1worker1zksupervisor2supervisor3worker2worker31.uploadfile2.updatetopo3.setversion5.downloadfile&setrestarttime4.checkversionmissmatch6.restartworker8.restartworker7.restartworker问题与改进-5•问题：整个storm集群丌可用（如网络调整、掉电）时，业务受影响•改进：通过多集群管理平台监控storm程序在各个集群的运行情况并自劢处理Page16多集群管理平台Page17Zookeepergetnewclusters负载调度模块Topology调度模块StormClusterAStormClusterBStormClusterC数据发送topologyxtopologyxtopologyxsenderrorstorm规模•机器数–46个集群，9000个节点，每个节点2-4个slot–利用云存储的空闲资源•应用–50多个业务，100多个topology•实时日志统计、网页分析、图片处理、人脸识别...–每天处理约数据量120TB，200亿条Page8问题与改进-6•问题：在storm上写非java程序丌方便•原因：ShellBolt采用JSON格式做数据交换，多个程序用管道串起来时都需要组装、解析JSON•改进：更简单的多语言编程接口StreamingBolt–stdin•Id\tdata–stdout•Id\temit\tdata•Id\tack\tdata–Stderr•logPage18问题与改进-7•问题：上传大的程序jar包，通过nimbus单机分发很慢•改进–把程序的jar包和其他文件分离–对比md5，只分发md5有变化的文件Page19clientnimbussupervisorsupervisoruploadapp.jar(100M)clientnimbussupervisorsupervisoruploadapp.jar(1M)downloadapp.jar(1M)ignoredict.tar.gz(99M)downloadapp.jar(1M)downloadapp.jar(100M)downloadapp.jar(100M)问题改进-8•问题：查看storm程序的日志丌方便，需要登录到机器上找日志文件•改进：类似hadoop的查看日志webui–patch:心得体会•平台化管理，对日志进行统计监控–在storm中增加了大量日志，记录每个tuple的关键点–日志通过storm实时报警应用进行监控–自劢检查topology的流量不在预期范围内并报警–每天对各个topology的请求数、失败次数、平均处理时间、worker异常次数进行统计•各个环节控制压力•限制队列长度，防止发给下游的流量超过它的处理能力•通过批处理提高性能•数据量大时一次处理几十到几百K数据•bolt处理延迟控制在10~100msPage21下一步工作•增加实时metrics方便快速分析问题•storm程序的状态如何保证可靠•满足差异化的worker资源需求Page22谢谢！Page23