(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115589307A(43)申请公布日2023.01.10(21)申请号202211107034.1(22)申请日2022.09.07(71)申请人支付宝（杭州）信息技术有限公司地址310000浙江省杭州市西湖区西溪路556号8层B段801-11(72)发明人卞恩泽(74)专利代理机构济南信达专利事务所有限公司37100专利代理师李世喆(51)Int.Cl.H04L9/40(2022.01)H04L67/10(2022.01)权利要求书2页说明书9页附图3页(54)发明名称分布式系统的风险监测方法和装置(57)摘要本说明书实施例描述了分布式系统的风险监测方法和装置。根据实施例的方法，分布式系统中的任意一个第一应用节点首先接收链路中传输的第一流量，然后判断该第一流量中是否存在表征风险隐患的风险标记。如果存在，则第一应用节点记录该第一流量在第一应用节点中的流量应用信息上报给云端服务器，以由云端服务器进一步确定该第一流量是否存在风险。如此通过切面代码注入的方式对存在风险隐患的流量进行风险标记，并且在流经应用节点时将流量的执行情况上传给云端服务器，当出现隐私数据泄露等安全隐患时云端服务器可以及时作出相应对策，从而能够提高分布式系统的安全性能。CN115589307ACN115589307A权利要求书1/2页1.分布式系统的风险监测方法，应用于所述分布式系统的任意一个第一应用节点，包括：接收所述分布式系统的链路中传输的第一流量；判断所述第一流量的头部是否包含风险标记；其中，所述风险标记用于表征所述第一流量存在风险隐患；若所述第一流量的头部存在风险标记，则记录所述第一流量在第一应用节点中的流量应用信息；将所述流量应用信息上报所述分布式系统的云端服务器，以由所述云端服务器根据所述流量应用信息确定所述第一流量是否存在风险。2.根据权利要求1所述的方法，其中，所述第一应用节点为与网关相连接的节点；相应地，包含风险标记的第一流量是由所述网关对所述第一流量的IP进行识别，并在识别出所述第一流量的IP存在风险隐患后，将所述风险标记植入所述第一流量的头部得到的；或者，所述第一流量为：所述第一应用节点调用其他应用节点时所产生的调用请求所对应的流量；相应地，包含风险标记的第一流量为所述第一应用节点将所述风险标记植入调用请求的头部后生成的。3.根据权利要求1所述的方法，所述流量应用信息包括如下中的至少一个：所述第一流量对应的IP、所述第一应用节点所要调用节点的域名信息、所述第一应用节点调用其他节点的方法签名、所述第一流量在所述第一应用节点的入参和出参、以及所述第一流量在所述第一应用节点的执行时间。4.根据权利要求1所述的方法，其中，在将所述流量应用信息上报所述分布式系统的云端服务器时，还包括：调度一个线程接收所述第一流量；其中，该线程分配有唯一的上下文；将所述风险标记存储至接收有所述第一流量的线程的上下文。5.根据权利要求4所述的方法，其中，在将所述流量应用信息上报所述分布式系统的云端服务器之后，进一步包括：判断所述第一应用节点内是否存在对应所述第一流量的线程的上下文；若存在，从所述第一流量的线程的上下文中获取所述风险标记；将所述风险标记植入第一调用请求的头部；其中，所述第一调用请求用于调用第二应用节点；以及，将植入风险标记的第一调用请求传输至所述第二应用节点。6.根据权利要求1至5中任一所述的方法，其中，当所述流量应用信息包括域名信息，且所述第一应用节点调用第三应用节点时，云端服务器根据所述流量应用信息确定所述第一流量是否存在风险的方法，包括：判断所述流量应用信息中的域名信息是否为所述第三应用节点的域名信息；若是，则确定所述第一流量不存在服务器端请求伪造的风险；若否，则确定所述第一流量存在服务器端请求伪造的风险。7.分布式系统的风险监测装置，应用于所述分布式系统的任意一个第一应用节点，包2CN115589307A权利要求书2/2页括：接收模块、判断模块、记录模块和上报模块；所述接收模块，配置为接收所述分布式系统的链路中传输的第一流量；所述判断模块，配置为判断所述接收模块接收到的所述第一流量的头部是否包含风险标记；其中，所述风险标记用于表征所述第一流量存在风险隐患；所述记录模块，配置为若所述判断模块判断出所述第一流量的头部存在风险标记，则记录所述第一流量在第一应用节点中的流量应用信息；所述上报模块，配置为将所述记录模块记录的所述流量应用信息上报所述分布式系统的云端服务器，以由所述云端服务器根据所述流量应用信息确定所述第一流量是否存在风险。8.根据权利要求7所述的装置，其中，所述上报模块在将所述流量应用信息上报所述分布式系统的云端服务器时，还配置为执行如下操作：调度一个线程接收所述第一流量；其中，