CN105471819A - 账号异常检测方法及装置 - Google Patents
账号异常检测方法及装置 Download PDFInfo
- Publication number
- CN105471819A CN105471819A CN201410413153.9A CN201410413153A CN105471819A CN 105471819 A CN105471819 A CN 105471819A CN 201410413153 A CN201410413153 A CN 201410413153A CN 105471819 A CN105471819 A CN 105471819A
- Authority
- CN
- China
- Prior art keywords
- account
- login
- value
- action
- courses
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
本发明公开一种账号异常检测方法及装置,本发明实施例服务器监控基于登录后的账号所触发的操作事件,获取所述操作事件映射的至少一条操作路径;根据获取的所述操作路径,计算所述账号对应的登录异常值;调用所述账号对应的历史数据,获取所述历史数据对应的历史参考值;根据所述历史参考值,识别出所述登录异常值满足预设规则时,检测出所述账号存在异常;相较于现有技术中,仅单纯地比对所述账号的本次登录地与常用登录地的方式,本发明实施例提高了信息异常检测的准确率。
Description
技术领域
本发明涉及互联网领域,尤其涉及一种账号异常检测方法及装置。
背景技术
互联网技术的飞速发展和普及给人们的工作和生活带来了极大的便利,比如,人们可以利用互联网便捷地进行信息的传递和获取以及网络购物等。但与此同时,由于互联网中木马、病毒、钓鱼邮件等非法信息的横行,互联网环境中用户的个人信息比如账号安全很难得到保证。用户账号被他人非法盗取这一现象对互联网用户的隐私和财产构成了严重威胁。
目前常用的账号异常检测方法往往是简单地比较用户账号常用登录地与该账号当前登录地,如果两者不一致,则认为本次登录是异常登录,该账号存在异常。这种账号异常检测的方法存在如下缺陷:当一个用户正常去外地出差或者旅游时,该用户的账号登录地自然会发生变化,则上述账号异常检测方法很容易造成误判。因此,如何准确地对用户账号的异常进行检测成为目前亟待解决的问题之一。
发明内容
鉴于以上内容,有必要提供一种账号异常检测方法及装置,旨在达到对用户账号的异常进行准确检测的目的。
本发明实施例提供一种账号异常检测方法,包括以下步骤:
监控基于登录后的账号所触发的操作事件,获取所述操作事件映射的至少一条操作路径;
根据获取的所述操作路径,计算所述账号对应的登录异常值;
调用所述账号对应的历史数据,获取所述历史数据对应的历史参考值;
将所述登录异常值与所述历史参考值进行比较,识别出所述登录异常值满足预设规则时,检测出所述账号存在异常。
本发明还提供一种账号异常检测装置,包括:
监控模块,用于监控基于登录后的账号所触发的操作事件,获取所述操作事件映射的至少一条操作路径;
参数获取模块,用于:根据获取的所述操作路径,计算所述账号对应的登录异常值;调用所述账号对应的历史数据,获取所述历史数据对应的历史参考值;
异常检测模块,用于将所述登录异常值与所述历史参考值进行比较,识别出所述登录异常值满足预设规则时,检测出所述账号存在异常。
本发明实施例监控基于登录后的账号所触发的操作事件,获取所述操作事件映射的至少一条操作路径;根据获取的所述操作路径,计算所述账号对应的登录异常值;调用所述账号对应的历史数据,获取所述历史数据对应的历史参考值;将所述登录异常值与所述历史参考值进行比较,识别出所述登录异常值满足预设规则时,检测出所述账号存在异常;相较于现有技术中,仅单纯地比对所述账号的本次登录地与常用登录地的方式,本发明实施例提高了信息异常检测的准确率。
附图说明
图1是本发明账号异常检测方法第一实施例流程示意图;
图2是本发明账号异常检测方法第二实施例流程示意图;
图3是本发明账号异常检测方法第三实施例流程示意图;
图4是本发明账号异常检测方法中,根据获取的所述操作路径计算所述账号对应的登录异常值一实施例流程示意图;
图5a是本发明账号异常检测方法中,同一操作路径在同一时长内映射的账号所对应的账号数量,与所述账号对应的登录地第一实施例饼状示意图;
图5b是本发明账号异常检测方法中,同一操作路径在同一时长内映射的账号所对应的账号数量,与所述账号对应的登录地第二实施例饼状示意图;
图6是本发明账号异常检测装置第一实施例功能模块示意图;
图7是本发明账号异常检测装置第二实施例功能模块示意图;
图8是本发明账号异常检测装置第三实施例功能模块示意图;
图9是本发明账号异常检测装置一实施例硬件架构示意图。
本发明实施例目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
以下结合说明书附图及具体实施例进一步说明本发明的技术方案。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明账号异常检测方法及装置适用于利用账号执行对应操作的所有应用环境中,比如利用账号登录对应的应用程序如游戏、邮件、即时通讯软件、微型博客等,或者利用账号访问对应的网址比如网络论坛、技术网站、社区等,或者利用账号访问数据库、企业局域网等,或者利用账号登录电子商务平台执行对应操作比如电子银行的支付操作等。本发明实施例对上述应用环境不进行一一穷举,只要是利用账号执行对应操作的应用环境,均可实施本发明实施例账号异常检测方法,或者运行本发明实施例账号异常检测装置。
请参照图1,图1是本发明账号异常检测方法第一实施例流程示意图;如图1所示,本发明账号异常检测方法包括以下步骤:
步骤S01、监控基于登录后的账号所触发的操作事件,获取所述操作事件映射的至少一条操作路径;
服务器接收到基于账号进行登录的操作请求时,响应上述进行登录的操作请求,对所述账号验证通过后,服务器允许基于所述账号执行登录服务器的操作。在允许基于所述账号登录服务器的操作后,服务器监控基于登录后的所述账号所触发的操作事件,并记录利用所述账号在一定时长内(比如60秒、5分钟或者1小时等)所进行的操作序列,得到所述操作事件映射的操作路径。其中,所述操作路径可以理解为:利用一个账号成功登录服务器后,在上述一定时长内(比如60秒、5分钟或者1小时等)所进行的操作事件的执行顺序、执行时间及具体的操作事件(比如登录操作、访问操作等)所组成的操作序列;也就是说,一个账号成功登录服务器后,在上述一定时长内所进行的其中一种操作序列,这种操作序列可以称做该账号对应的一条操作路径。
本发明实施例中,根据账号对应的应用环境的不同,服务器采用不同的监控方式;或者,服务器根据自身资源的利用情况,采用不同的监控方式;所述监控方式包括但不限于:基于所述账号成功登录服务器后,服务器实时监控基于登录后的所述账号所触发的操作事件,或者服务器按照预设监控时长,定时监控基于登录后的所述账号所触发的操作事件。本发明实施例对服务器监控基于登录后的所述账号所触发的操作事件的具体监控方式不做具体限定。
步骤S02、根据获取的所述操作路径,计算所述账号对应的登录异常值;
在获取到上述操作事件映射的操作路径后,服务器根据获取的所述操作路径,计算所述账号对应的登录异常值。比如,服务器根据所述操作路径,获取基于所述账号执行所述操作路径上各操作事件的本次登录地,同时获取执行所述操作路径所包括的各操作事件的事件类型和重要程度。根据获取的本次登录地以及所述操作事件的事件类型和重要程度,查找所述账号对应的异常计算参数表,获取本次登录地映射的地区变量值、事件类型映射的类型参数值以及所述重要程度映射的重要等级值。根据获取的所述地区变量值、类型参数值以及重要等级值,按照登录异常值映射的数学计算公式来计算登录异常值。其中,登录异常值映射的数学计算公式根据所述账号对应的应用环境,以及所述账号映射的操作路径的不同而有不同的配置,本发明实施例对所述数学计算公式的具体表达方式不进行限定。
本发明实施例中,服务器计算所述账号对应的登录异常值包括:针对同一操作路径,计算所述操作路径映射的各账号分别对应的登录异常值;以及,针对相同的账号,计算所述账号映射的不同操作路径分别对应的登录异常值。
步骤S03、调用所述账号对应的历史数据,获取所述历史数据对应的历史参考值;
服务器调用所述账号对应的历史数据,获取所述历史数据对应的所述账号的历史参考值。本发明实施例中,服务器可以根据所述账号及所述账号映射的所述操作路径,直接调用所述账号对应的所有历史数据或者预设历史时长内的历史数据;服务器调用所述账号的所有历史数据还是预设历史时长内的历史数据,根据服务器自身的处理能力和/或服务器当前的资源使用情况和/或所述账号的应用环境综合确定。
服务器根据调用的所述历史数据,获取所述账号对应的登录户口地,以及所述账号对应的历史操作路径,根据所述登录户口地对应的登录地变量值和所述历史操作路径映射的历史操作参数值,计算并获取所述历史数据对应的历史参考值。比如,对所述登录地变量值和所述历史操作参数值进行加权平均,根据所述登录地变量值和所述历史操作参数值分别对应的权重值,获取所述登录地变量值和所述历史操作参数值的加权平均值,并将获取的所述登录地变量值和所述历史操作参数值的加权平均值作为所述账号历史数据对应的历史参考值。其中,所述账号对应的登录户口地可以理解为:基于所述账号登录服务器时,利用所述账号的客户端或者网页地址向服务器上报登录的位置信息,服务器获取所述账号在预设登录时长和预设登录次数内的位置信息是固定的位置信息,则服务器将获取的固定的位置信息作为所述账号对应的登录户口地。
本发明实施例中,为了准确地获取所述历史参考值,服务器按照预设周期更新存储的各账号对应的历史数据。
其中,本发明实施例中,所述步骤S02和步骤S03执行的先后顺序不做限定,即服务器可以先获取所述账号对应的登录异常值,也可以先获取所述账号对应的历史参考值,当然服务器也可以同时获取所述账号的登录异常值和历史参考值。为避免本实施例进行不必要的赘述,图1实施例仅以步骤S03在步骤S02之后执行为例进行描述,但图1所描述的实施方式并不能作为对步骤S02和步骤S03执行顺序的限定。
步骤S04、将所述登录异常值与所述历史参考值进行比较,识别出所述登录异常值满足预设规则时,检测出所述账号存在异常。
服务器根据获取的所述账号对应的历史参考值和登录异常值,将所述登录异常值与所述历史参考值进行比较,识别出所述登录异常值满足预设规则时,服务器检测出所述账号存在异常;若服务器识别出所述登录异常值不满足预设规则,则检测出所述账号不存在异常。
进一步地,为了提高服务器对所述账号进行异常检测的准确率,不管服务器检测出的所述账号是否存在异常,服务器均将本次获取的所述账号对应的操作路径进行存储,作为服务器后续所述账号进行检测时,所述账号对应的历史数据。
其中,服务器将所述登录异常值与所述历史参考值进行比较,识别出所述登录异常值满足预设规则时,检测出所述账号存在异常的方式包括:
服务器按照预设函数关系式,计算所述登录异常值与历史参考值之间的相关系数;比如,服务器为所述账号对应的所述登录异常值和历史参考值分别赋予一定的权重值,然后计算所述登录异常值与历史参考值的加权平均值,将计算得到的所述登录异常值与历史参考值的加权平均值作为所述相关系数。计算得到所述相关系数后,服务器识别所述相关系数是否落入了预设范围;若服务器识别出所述相关系数在预设范围内时,则检测出所述账号存在异常。比如,服务器设置所述相关系数的取值范围为[0,0.6],则当所述相关系数在所述取值范围[0,0.6]内时,服务器检测出所述账号存在异常。
另外,服务器将所述登录异常值与所述历史参考值进行比较,识别出所述登录异常值满足预设规则时,检测出所述账号存在异常,还可以采取如下方式:
服务器计算所述登录异常值与历史参考值之间的差值,获取所述差值对应的绝对值;服务器识别所述差值对应的绝对值是否超出了预设阈值;若服务器识别出所述差值对应的绝对值超出预设阈值时,服务器检测出所述账号存在异常。比如,所述预设阈值为1,则当所述差值的绝对值大于1时,则服务器检测出所述账号存在异常。
本发明实施例服务器监控基于登录后的账号所触发的操作事件,获取所述操作事件映射的至少一条操作路径;根据获取的所述操作路径,计算所述账号对应的登录异常值;调用所述账号对应的历史数据,获取所述历史数据对应的历史参考值;将所述登录异常值与所述历史参考值进行比较,识别出所述登录异常值满足预设规则时,检测出所述账号存在异常;相较于现有技术中,仅单纯地比对所述账号的本次登录地与常用登录地的方式,本发明实施例提高了信息异常检测的准确率。
本发明实施例还提供了一种如图2所示的账号异常检测方法第二实施例;本发明实施例与图1所述实施例的区别是,服务器预先收集并存储与所述账号相关联的所述历史数据。本发明实施例仅描述与图1实施例的区别之处,有关本发明账号异常检测方法所涉及的其他步骤,请参照相关实施例的描述,在此不再赘述。
基于图1所述实施例的描述,请参照图2,本发明账号异常检测方法在图1所述实施例的“步骤S01、监控基于登录后的账号所触发的操作事件,获取所述操作事件映射的至少一条操作路径”之前,还包括步骤:
步骤S10、收集并存储预设时长内所述账号在各操作路径上对应的所述历史数据。
本发明实施例中,服务器收集基于所述账号执行各操作路径上的操作事件所对应的历史数据。为了提高信息异常检测的准确性,当基于所述账号首次登录服务器时,服务器即开始收集所述账号对应的历史数据。
为了便于服务器查找所述账号对应的历史数据,服务器按照预设存储时长,存储同一账号对应的所有所述操作路径;或者,服务器存储相同操作路径对应的所有账号。本发明实施例对服务器存储所述账号对应的所述历史数据的具体存储方式不进行限定。
进一步地,服务器每执行一次信息异常的检测操作,均保存每次执行所获取到的各账号对应的操作路径。同时,当检测到有新的账号建立时,保存新建立的账号所对应的新账号,以及所述新账号对应的操作路径。
本发明实施例服务器收集并存储预设时长内所述账号在各操作路径上的历史数据,为服务器检测信息是否异常提供了重要依据。
本发明实施例还提供了一种如图3所示的账号异常检测方法第三实施例;本发明实施例与图1或图2所述实施例的区别是,服务器检测出所述账号存在异常时,获取所述账号对应的异常类型,执行所述异常类型映射的操作。
本发明实施例仅描述与图2实施例的区别之处,有关本发明账号异常检测方法所涉及的其他步骤,请参照相关实施例的描述,在此不再赘述。
基于图1、图2所述实施例的描述,请参照图3,本发明账号异常检测方法在图2所述实施例的“步骤S04、将所述登录异常值与所述历史参考值进行比较,识别出所述登录异常值满足预设规则时,检测出所述账号存在异常”的步骤之后,还包括:
步骤S05、根据检测出的所述账号对应的异常类型,执行所述异常类型映射的操作。
服务器检测出所述账号存在异常时,服务器获取所述账号对应的异常类型;根据获取的所述账号对应的异常类型,服务器执行所述异常类型映射的操作。
比如,若服务器获取的所述账号的异常类型为第一异常类型,则服务器推送账号异常的提示信息。比如,所述第一异常类型为登录地异常,则服务器推送账号登录地异常或者账号不在常用登录地的提示信息。服务器的推送方式包括但不限于:发送手机短消息至与所述账号绑定的手机号码,或者发送邮件至于所述账号绑定的邮箱地址。
若服务器获取的所述账号的异常类型为第二异常类型,则服务器禁止基于所述账号执行预设类型的操作。比如,所述第二异常类型为基于所述账号登录电子商务平台执行小额支付(比如低于一百元人民币)操作时,支付密码的输入次数超过预设次数(比如3次),则服务器禁止基于所述账号执行支付密码的输入操作。
若服务器获取的所述账号的异常类型为第三异常类型,则服务器强制退出基于所述账号的登录操作。比如,所述第三异常类型为基于所述账号登录电子银行执行相应的金融操作时,在历史数据中不能找出与本次操作路径对应的历史数据,或者在短时间内在同一操作路径上有大量的账号执行相同的操作(比如1分钟内,同时有两万个账号同时执行转账汇款操作)时,服务器强制退出所述账号对应的登录操作。
进一步地,服务器分析所述账号对应的异常原因,根据分析出的所述账号对应的异常原因,服务器查找策略库,找出与所述异常原因相匹配的解决方案,并推送所述解决方案。
本发明实施例在检测出存在异常信息时,获取异常类型并执行对应操作,提高了信息的安全性。
进一步地,本发明实施例还提供了服务器根据获取的所述账号对应的操作路径,计算所述账号对应的登录异常值的一种实施方式。
基于图1、图2和图3所述实施例的描述,本发明实施例仅对图1或图2或图3所述实施例中的“步骤S02、根据获取的所述操作路径,计算所述账号对应的登录异常值”进行进一步描述,有关本发明账号异常检测方法所涉及的其他步骤,请参照相应实施例的描述,在此不再赘述。
在具体的应用场景中,虽然互联网用户的行为虽然千差万别,但用户基于对应的账号登录服务器后,所触发的各种操作形成的操作路径是有限的。服务器保存账号对应的登录账号数量达到预设数量的操作路径,所述操作路径上所述账号对应的登录地分布是稳定的。如图5a所示,服务器保存的其中一条操作路径上,登录账号数量最多的5个省份一直是A、B、C、D、E,且这5个省份登录的账号数量占据该操作路径上总账号数量的比例始终在80%左右。当不法分子非法盗取了大量账号,并进行恶意操作比如进行恶意消费时,在短时间内,其中一个操作路径上的账号所对应的登录地分布会产生明显变化,如图5b所示。产生这一变化的原因通常是,服务器在短时间内接收到基于非法获取的上述大量账号按照固定的操作路径进行批量操作。如图5b所示,假设利用非法获取的大量账号在登录地D省进行登录,则对应的操作路径在短时间内就会有大量来自D省的账号登录。因此,服务器可根据所述账号对应的登录地和相同操作路径在同一时长内对应的账号数量,来获取所述账号对应的登录异常值,进而根据获取的历史参考值,识别获取的所述登录异常值是否符合预设规则。
如图4所示,本发明账号异常检测方法中,服务器根据获取的所述操作路径计算所述账号对应的登录异常值可以采取如下方式:
步骤S21、根据获取的所述操作路径,获取相同操作路径在同一时长内映射的账号所对应的账号数量,同时识别出所述账号对应的至少一个登录地;
本发明实施例中,服务器获取到所述账号对应的操作路径后,由于所述操作路径包含了所述账号所执行的各操作事件的类型、执行的顺序以及执行的具体内容等,因此服务器根据获取的所述操作路径,针对同一时长内可以获取在相同的操作路径上的账号所对应的账号数量;同时,服务器根据所述操作路径,能够识别出所述账号对应的登录地。
步骤S22、查找预先存储的登录地变量映射表,获取每个登录地分别对应的登录地变量值;
在获取到所述账号对应的账号数量以及登录地后,服务器查找预先存储的登录地变量映射表,获取每个登录地分别对应的登录地变量值。
本发明实施例中,服务器为互联网信号能够覆盖的所有区域配置对应的变量值。比如,针对所述账号对应的登录户口地为中国时,服务器针对中国所包含的省、自治区、直辖市分别配置对应的变量值,为中国领土之外的其他国家,以国家为单位配置对应的变量值,比如针对美国配置一个变量值,即服务器获取到所述账号对应的登录地为美国时,不管在美国的哪个城市,其对应的登录地变量值均为同一个;便于服务器对所述登录地变量值进行管理且节约服务器的存储资源。
步骤S23、计算获取的所述登录地变量值与同一登录地对应的所述账号数量的加权平均值,将计算得到的所述加权平均值作为所述登录异常值。
在获取到所述登录地变量值后,服务器计算所述登录地变量值以及同一登录地变量值所对应的账号数量的加权平均值,将所述登录地变量值与所述账号数量的加权平均值作为所述登录异常值。
本发明实施例服务器根据账号对应的登录地和相同操作路径在同一时长内对应的账号数量,来获取所述账号对应的登录异常值,进一步提高了异常信息检测的准确率。
本发明实施例还提供一种账号异常检测装置第一实施例;如图6所示,本发明账号异常检测装置包括:监控模块01、参数获取模块02和异常检测模块03。
所述监控模块01用于:监控基于登录后的账号所触发的操作事件,获取所述操作事件映射的至少一条操作路径。
服务器接收到基于账号进行登录的操作请求时,响应上述进行登录的操作请求,对所述账号验证通过后,服务器允许基于所述账号执行登录服务器的操作。在允许基于所述账号登录服务器的操作后,所述监控模块01监控基于登录后的所述账号所触发的操作事件,并记录利用所述账号在一定时长内(比如60秒、5分钟或者1小时等)所进行的操作序列,得到所述操作事件映射的操作路径。其中,所述操作路径可以理解为:利用一个账号成功登录服务器后,在上述一定时长内(比如60秒、5分钟或者1小时等)所进行的操作事件的执行顺序、执行时间及具体的操作事件(比如登录操作、访问操作等)所组成的操作序列;也就是说,一个账号成功登录服务器后,在上述一定时长内所进行的其中一种操作序列,这种操作序列可以称做该账号对应的一条操作路径。
本发明实施例中,根据账号对应的应用环境的不同,所述监控模块01采用不同的监控方式;或者,所述监控模块01根据服务器资源的利用情况,采用不同的监控方式;所述监控方式包括但不限于:基于所述账号成功登录服务器后,所述监控模块01实时监控基于登录后的所述账号所触发的操作事件,或者所述监控模块01按照预设监控时长,定时监控基于登录后的所述账号所触发的操作事件。本发明实施例对所述监控模块01监控基于登录后的所述账号所触发的操作事件的具体监控方式不做具体限定。
所述参数获取模块02用于:根据获取的所述操作路径,计算所述账号对应的登录异常值;调用所述账号对应的历史数据,获取所述历史数据对应的历史参考值;
在所述监控模块01获取到上述操作事件映射的操作路径后,所述参数获取模块02根据所述监控模块01获取的所述操作路径,计算所述账号对应的登录异常值。比如,所述参数获取模块02根据所述操作路径,获取基于所述账号执行所述操作路径上各操作事件的本次登录地,同时获取执行所述操作路径所包括的各操作事件的事件类型和重要程度。根据获取的本次登录地以及所述操作事件的事件类型和重要程度,所述参数获取模块02查找所述账号对应的异常计算参数表,获取本次登录地映射的地区变量值、事件类型映射的类型参数值以及所述重要程度映射的重要等级值。根据获取的所述地区变量值、类型参数值以及重要等级值,所述参数获取模块02按照登录异常值映射的数学计算公式来计算登录异常值。其中,登录异常值映射的数学计算公式根据所述账号对应的应用环境,以及所述账号映射的操作路径的不同而有不同的配置,本发明实施例对所述数学计算公式的具体表达方式不进行限定。
本发明实施例中,所述参数获取模块02计算所述账号对应的登录异常值包括:针对同一操作路径,计算所述操作路径映射的各账号分别对应的登录异常值;以及,针对相同的账号,计算所述账号映射的不同操作路径分别对应的登录异常值。
所述参数获取模块02调用所述账号对应的历史数据,获取所述历史数据对应的所述账号的历史参考值。本发明实施例中,所述参数获取模块02可以根据所述账号及所述账号映射的所述操作路径,直接调用所述账号对应的所有历史数据或者预设历史时长内的历史数据;所述参数获取模块02调用所述账号的所有历史数据还是预设历史时长内的历史数据,根据服务器的处理能力和/或服务器当前的资源使用情况和/或所述账号的应用环境综合确定。
所述参数获取模块02根据调用的所述历史数据,获取所述账号对应的登录户口地,以及所述账号对应的历史操作路径,根据所述登录户口地对应的登录地变量值和所述历史操作路径映射的历史操作参数值,计算并获取所述历史数据对应的历史参考值。比如,所述参数获取模块02对所述登录地变量值和所述历史操作参数值进行加权平均,根据所述登录地变量值和所述历史操作参数值分别对应的权重值,获取所述登录地变量值和所述历史操作参数值的加权平均值,并将获取的所述登录地变量值和所述历史操作参数值的加权平均值作为所述账号历史数据对应的历史参考值。其中,所述账号对应的登录户口地可以理解为:基于所述账号登录服务器时,利用所述账号的客户端或者网页地址向服务器上报登录的位置信息,服务器获取所述账号在预设登录时长和预设登录次数内的位置信息是固定的位置信息,则服务器将获取的固定的位置信息作为所述账号对应的登录户口地。
本发明实施例中,为了所述参数获取模块02准确地获取所述历史参考值,服务器按照预设周期更新存储的各账号对应的历史数据。
所述异常检测模块03用于:将所述登录异常值与所述历史参考值进行比较,识别出所述登录异常值满足预设规则时,检测出所述账号存在异常。
所述异常检测模块03根据所述参数获取模块02获取的所述账号对应的历史参考值和登录异常值,将所述登录异常值与所述历史参考值进行比较,识别出所述登录异常值满足预设规则时,所述异常检测模块03检测出所述账号存在异常;若所述异常检测模块03识别出所述登录异常值不满足预设规则,则检测出所述账号不存在异常。
进一步地,为了提高所述异常检测模块03对所述账号进行异常检测的准确率,不管所述异常检测模块03检测出的所述账号是否存在异常,服务器均将本次获取的所述账号对应的操作路径进行存储,作为服务器后续所述账号进行检测时,所述账号对应的历史数据。
其中,所述异常检测模块03将所述登录异常值与所述历史参考值进行比较,识别出所述登录异常值满足预设规则时,检测出所述账号存在异常的方式包括:
所述异常检测模块03按照预设函数关系式,计算所述登录异常值与历史参考值之间的相关系数;比如,所述异常检测模块03为所述账号对应的所述登录异常值和历史参考值分别赋予一定的权重值,然后计算所述登录异常值与历史参考值的加权平均值,将计算得到的所述登录异常值与历史参考值的加权平均值作为所述相关系数。计算得到所述相关系数后,所述异常检测模块03识别所述相关系数是否落入了预设范围;若所述异常检测模块03识别出所述相关系数在预设范围内时,则检测出所述账号存在异常。比如,所述异常检测模块03设置所述相关系数的取值范围为[0,0.6],则当所述相关系数在所述取值范围[0,0.6]内时,所述异常检测模块03检测出所述账号存在异常。
另外,所述异常检测模块03将所述登录异常值与所述历史参考值进行比较,识别出所述登录异常值满足预设规则时,检测出所述账号存在异常,还可以采取如下方式:
所述异常检测模块03计算所述登录异常值与历史参考值之间的差值,获取所述差值对应的绝对值;所述异常检测模块03识别所述差值对应的绝对值是否超出了预设阈值;若所述异常检测模块03识别出所述差值对应的绝对值超出预设阈值时,所述异常检测模块03检测出所述账号存在异常。比如,所述预设阈值为1,则当所述差值的绝对值大于1时,则所述异常检测模块03检测出所述账号存在异常。
本发明实施例服务器监控基于登录后的账号所触发的操作事件,获取所述操作事件映射的至少一条操作路径;根据获取的所述操作路径,计算所述账号对应的登录异常值;调用所述账号对应的历史数据,获取所述历史数据对应的历史参考值;将所述登录异常值与所述历史参考值进行比较,识别出所述登录异常值满足预设规则时,检测出所述账号存在异常;相较于现有技术中,仅单纯地比对所述账号的本次登录地与常用登录地的方式,本发明实施例提高了信息异常检测的准确率。
本发明实施例还提供了一种如图7所示的账号异常检测装置第二实施例;本发明实施例与图6所述实施例的区别是,所述账号异常检测装置预先收集并存储与所述账号相关联的所述历史数据。本发明实施例仅描述与图6实施例的区别之处,有关本发明账号异常检测装置所涉及的其他功能的描述,请参照相关实施例的描述,在此不再赘述。
基于图6所述实施例的描述,请参照图7,本发明账号异常检测装置还包括:
历史数据收集模块04,用于收集并存储预设时长内所述账号在各操作路径上对应的所述历史数据。
本发明实施例中,所述历史数据收集模块04收集基于所述账号执行各操作路径上的操作事件所对应的历史数据。为了提高信息异常检测的准确性,当基于所述账号首次登录服务器时,所述历史数据收集模块04即开始收集所述账号对应的历史数据。
为了便于所述参数获取模块02查找所述账号对应的历史数据,所述历史数据收集模块04按照预设存储时长,存储同一账号对应的所有所述操作路径;或者,所述历史数据收集模块04存储相同操作路径对应的所有账号。本发明实施例对所述历史数据收集模块04存储所述账号对应的所述历史数据的具体存储方式不进行限定。
进一步地,所述账号异常检测装置每执行一次信息异常的检测操作,所述历史数据收集模块04均保存每次执行所获取到的各账号对应的操作路径。同时,当检测到有新的账号建立时,所述历史数据收集模块04保存新建立的账号所对应的新账号,以及所述新账号对应的操作路径。
本发明实施例服务器收集并存储预设时长内所述账号在各操作路径上的历史数据,为服务器检测信息是否异常提供了重要依据。
本发明实施例还提供了一种如图8所示的账号异常检测装置第三实施例;本发明实施例与图6或图7所述实施例的区别是,服务器检测出所述账号存在异常时,获取所述账号对应的异常类型,执行所述异常类型映射的操作。
本发明实施例仅描述与图7实施例的区别之处,有关本发明账号异常检测装置所涉及的其他功能模块,请参照相关实施例的描述,在此不再赘述。
基于图6、图7所述实施例的描述,请参照图8,本发明账号异常检测装置还包括:
异常处理模块05,用于获取存在异常的所述账号对应的异常类型,执行所述异常类型映射的操作。
所述异常检测模块03检测出所述账号存在异常时,所述异常处理模块05获取所述账号对应的异常类型;根据获取的所述账号对应的异常类型,所述异常处理模块05执行所述异常类型映射的操作。
比如,若获取的所述账号的异常类型为第一异常类型,则所述异常处理模块05推送账号异常的提示信息。比如,所述第一异常类型为登录地异常,则所述异常处理模块05推送账号登录地异常或者账号不在常用登录地的提示信息。所述异常处理模块05的推送方式包括但不限于:发送手机短消息至与所述账号绑定的手机号码,或者发送邮件至于所述账号绑定的邮箱地址。
若获取的所述账号的异常类型为第二异常类型,则所述异常处理模块05禁止基于所述账号执行预设类型的操作。比如,所述第二异常类型为基于所述账号登录电子商务平台执行小额支付(比如低于一百元人民币)操作时,支付密码的输入次数超过预设次数(比如3次),则所述异常处理模块05禁止基于所述账号执行支付密码的输入操作。
若获取的所述账号的异常类型为第三异常类型,则所述异常处理模块05强制退出基于所述账号的登录操作。比如,所述第三异常类型为基于所述账号登录电子银行执行相应的金融操作时,在历史数据中不能找出与本次操作路径对应的历史数据,或者在短时间内在同一操作路径上有大量的账号执行相同的操作(比如1分钟内,同时有两万个账号同时执行转账汇款操作)时,所述异常处理模块05强制退出所述账号对应的登录操作。
进一步地,所述异常处理模块05分析所述账号对应的异常原因,根据分析出的所述账号对应的异常原因,所述异常处理模块05查找策略库,找出与所述异常原因相匹配的解决方案,并推送所述解决方案。
本发明实施例在检测出存在异常信息时,获取异常类型并执行对应操作,提高了信息的安全性。
进一步地,本发明实施例还提供了所述参数获取模块02根据获取的所述账号对应的操作路径,计算所述账号对应的登录异常值的一种实施方式。
在具体的应用场景中,虽然互联网用户的行为虽然千差万别,但用户基于对应的账号登录服务器后,所触发的各种操作形成的操作路径是有限的。服务器保存账号对应的登录账号数量达到预设数量的操作路径,所述操作路径上所述账号对应的登录地分布是稳定的。如图5a所示,服务器保存的其中一条操作路径上,登录账号数量最多的5个省份一直是A、B、C、D、E,且这5个省份登录的账号数量占据该操作路径上总账号数量的比例始终在80%左右。当不法分子非法盗取了大量账号,并进行恶意操作比如进行恶意消费时,在短时间内,其中一个操作路径上的账号所对应的登录地分布会产生明显变化,如图5b所示。产生这一变化的原因通常是,服务器在短时间内接收到基于非法获取的上述大量账号按照固定的操作路径进行批量操作。如图5b所示,假设利用非法获取的大量账号在登录地D省进行登录,则对应的操作路径在短时间内就会有大量来自D省的账号登录。因此,服务器可根据所述账号对应的登录地和相同操作路径在同一时长内对应的账号数量,来获取所述账号对应的登录异常值,进而根据获取的历史参考值,识别获取的所述登录异常值是否符合预设规则。
本发明账号异常检测装置中,所述参数获取模块02根据获取的所述操作路径计算所述账号对应的登录异常值可以采取如下方式:
所述监控模块01根据获取的所述操作路径,获取相同操作路径在同一时长内映射的账号所对应的账号数量,同时识别出所述账号对应的至少一个登录地。比如,所述监控模块01获取到所述账号对应的操作路径后,由于所述操作路径包含了所述账号所执行的各操作事件的类型、执行的顺序以及执行的具体内容等,因此所述参数获取模块02根据获取的所述操作路径,针对同一时长内可以获取在相同的操作路径上的账号所对应的账号数量;同时,服务器根据所述操作路径,能够识别出所述账号对应的登录地。
在获取到所述账号对应的账号数量以及登录地后,所述参数获取模块02查找预先存储的登录地变量映射表,获取每个登录地分别对应的登录地变量值。
本发明实施例中,所述参数获取模块02为互联网信号能够覆盖的所有区域配置对应的变量值。比如,针对所述账号对应的登录户口地为中国时,所述参数获取模块02针对中国所包含的省、自治区、直辖市分别配置对应的变量值,为中国领土之外的其他国家,以国家为单位配置对应的变量值,比如针对美国配置一个变量值,即所述参数获取模块02获取到所述账号对应的登录地为美国时,不管在美国的哪个城市,其对应的登录地变量值均为同一个;便于服务器对所述登录地变量值进行管理且节约服务器的存储资源。
在获取到所述登录地变量值后,所述参数获取模块02计算所述登录地变量值以及同一登录地变量值所对应的账号数量的加权平均值,将所述登录地变量值与所述账号数量的加权平均值作为所述登录异常值。
本发明实施例服务器根据账号对应的登录地和相同操作路径在同一时长内对应的账号数量,来获取所述账号对应的登录异常值,进一步提高了异常信息检测的准确率。
本发明实施例还提供一种账号异常检测装置的硬件结构,如图9所示,所述账号异常检测装置包括:处理器101、存储器102、用户接口103、网络接口104以及通信总线105。通信总线105用于所述账号异常检测装置对应的本地服务器中各组成部件之间的通信,用户接口103用于接收用户输入的信息,该用户接口可以为有线接口及无线接口,例如键盘、鼠标等。网络接口104用于所述账号异常检测装置与外部进行互相通信,该网络接口也可以包括有线接口及无线接口。存储器102可以包括一个或一个以上计算机可读存储介质,而且其不但包括内部存储器,还包括外部存储器。该存储器中存储有操作系统及账号异常检测应用程序等等。处理器101用于调用存储器102中的账号异常检测应用程序,以执行以下操作:
通过用户接口103和/或网络接口104监控基于登录后的账号所触发的操作事件,获取所述操作事件映射的至少一条操作路径;
根据获取的所述操作路径,通过通信总线105计算所述账号对应的登录异常值;
通过通信总线105调用所述账号对应的历史数据,获取所述历史数据对应的历史参考值;
将所述登录异常值与所述历史参考值进行比较,识别出所述登录异常值满足预设规则时,检测出所述账号存在异常。
相较于现有技术中,仅单纯地比对所述账号的本次登录地与常用登录地的方式,本发明实施例提高了信息异常检测的准确率。
进一步地,处理器101用于调用存储器102中的账号异常检测应用程序,以执行以下操作:
按照存储器102中存储的预设函数关系式,计算所述登录异常值与历史参考值之间的相关系数;
识别出所述相关系数在预设范围内时,检测出所述账号存在异常。
进一步地,处理器101用于调用存储器102中的账号异常检测应用程序,以执行以下操作:
计算所述登录异常值与历史参考值之间的差值,获取所述差值对应的绝对值;
识别出所述差值对应的绝对值超出存储器102中存储的预设阈值时,检测出所述账号存在异常。
进一步地,处理器101用于调用存储器102中的账号异常检测应用程序,以执行以下操作:
通过网络接口104收集并存储预设时长内所述账号在各操作路径上对应的所述历史数据。
进一步地,处理器101用于调用存储器102中的账号异常检测应用程序,以执行以下操作:
根据获取的所述操作路径,通过网络接口104获取相同操作路径在同一时长内映射的账号所对应的账号数量,同时识别出所述账号对应的至少一个登录地;
通过通信总线105查找预先存储在存储器102中的登录地变量映射表,获取每个登录地分别对应的登录地变量值;
计算获取的所述登录地变量值与同一登录地对应的所述账号数量的加权平均值,将计算得到的所述加权平均值作为所述登录异常值。
进一步地,处理器101用于调用存储器102中的账号异常检测应用程序,以执行以下操作:
通过通信总线105获取存在异常的所述账号对应的异常类型,执行所述异常类型映射的操作。
进一步地,处理器101用于调用存储器102中的账号异常检测应用程序,以执行以下操作:
若获取的所述账号的异常类型为第一异常类型,则通过用户接口103和/或网络接口104推送账号异常的提示信息;
若获取的所述账号的异常类型为第二异常类型,则通过用户接口103和/或网络接口104禁止基于所述账号执行预设类型的操作;
若获取的所述账号的异常类型为第三异常类型,则通过用户接口103和/或网络接口104强制退出基于所述账号的登录操作。
本发明实施例在检测出存在异常信息时,获取异常类型并执行对应操作,提高了信息的安全性。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述仅为本发明的优选实施例,并非因此限制其专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (14)
1.一种账号异常检测方法,其特征在于,包括以下步骤:
监控基于登录后的账号所触发的操作事件,获取所述操作事件映射的至少一条操作路径;
根据获取的所述操作路径,计算所述账号对应的登录异常值;
调用所述账号对应的历史数据,获取所述历史数据对应的历史参考值;
将所述登录异常值与所述历史参考值进行比较,识别出所述登录异常值满足预设规则时,检测出所述账号存在异常。
2.如权利要求1所述的方法,其特征在于,所述将所述登录异常值与所述历史参考值进行比较,识别出所述登录异常值满足预设规则时,检测出所述账号存在异常的步骤包括:
按照预设函数关系式,计算所述登录异常值与历史参考值之间的相关系数;
识别出所述相关系数在预设范围内时,检测出所述账号存在异常。
3.如权利要求1所述的方法,其特征在于,所述将所述登录异常值与所述历史参考值进行比较,识别出所述登录异常值满足预设规则时,检测出所述账号存在异常的步骤包括:
计算所述登录异常值与历史参考值之间的差值,获取所述差值对应的绝对值;
识别出所述差值对应的绝对值超出预设阈值时,检测出所述账号存在异常。
4.如权利要求1所述的方法,其特征在于,所述监控基于登录后的账号所触发的操作事件,获取所述操作事件映射的至少一条操作路径的步骤之前还包括:
收集并存储预设时长内所述账号在各操作路径上对应的所述历史数据。
5.如权利要求1所述的方法,其特征在于,所述根据获取的所述操作路径,计算所述账号对应的登录异常值的步骤包括:
根据获取的所述操作路径,获取相同操作路径在同一时长内映射的账号所对应的账号数量,同时识别出所述账号对应的至少一个登录地;
查找预先存储的登录地变量映射表,获取每个登录地分别对应的登录地变量值;
计算获取的所述登录地变量值与同一登录地对应的所述账号数量的加权平均值,将计算得到的所述加权平均值作为所述登录异常值。
6.如权利要求1至5任一项所述的方法,其特征在于,所述将所述登录异常值与所述历史参考值进行比较,识别出所述登录异常值满足预设规则时,检测出所述账号存在异常的步骤之后,还包括:
获取存在异常的所述账号对应的异常类型,执行所述异常类型映射的操作。
7.如权利要求6所述的方法,其特征在于,所述获取存在异常的所述账号的异常类型,执行所述异常类型映射的操作的步骤包括:
若获取的所述账号的异常类型为第一异常类型,则推送账号异常的提示信息;
若获取的所述账号的异常类型为第二异常类型,则禁止基于所述账号执行预设类型的操作;
若获取的所述账号的异常类型为第三异常类型,则强制退出基于所述账号的登录操作。
8.一种账号异常检测装置,其特征在于,包括:
监控模块,用于监控基于登录后的账号所触发的操作事件,获取所述操作事件映射的至少一条操作路径;
参数获取模块,用于:根据获取的所述操作路径,计算所述账号对应的登录异常值;调用所述账号对应的历史数据,获取所述历史数据对应的历史参考值;
异常检测模块,用于将所述登录异常值与所述历史参考值进行比较,识别出所述登录异常值满足预设规则时,检测出所述账号存在异常。
9.如权利要求8所述的装置,其特征在于,所述异常检测模块还用于:
按照预设函数关系式,计算所述登录异常值与历史参考值之间的相关系数;
识别出所述相关系数在预设范围内时,检测出所述账号存在异常。
10.如权利要求8所述的装置,其特征在于,所述异常检测模块还用于:
计算所述登录异常值与历史参考值之间的差值,获取所述差值对应的绝对值;
识别出所述差值对应的绝对值超出预设阈值时,检测出所述账号存在异常。
11.如权利要求8所述的装置,其特征在于,所述账号异常检测装置还包括:
历史数据收集模块,用于收集并存储预设时长内所述账号在各操作路径上对应的所述历史数据。
12.如权利要求8所述的装置,其特征在于,所述参数获取模块还用于:
根据获取的所述操作路径,获取相同操作路径在同一时长内映射的账号所对应的账号数量,同时识别出所述账号对应的至少一个登录地;
查找预先存储的登录地变量映射表,获取每个登录地分别对应的登录地变量值;
计算获取的所述登录地变量值与同一登录地对应的所述账号数量的加权平均值,将计算得到的所述加权平均值作为所述登录异常值。
13.如权利要求8至12任一项所述的装置,其特征在于,所述账号异常检测装置还包括:
异常处理模块,用于获取存在异常的所述账号对应的异常类型,执行所述异常类型映射的操作。
14.如权利要求13所述的装置,其特征在于,所述异常处理模块还用于:
若获取的所述账号的异常类型为第一异常类型,则推送账号异常的提示信息;
若获取的所述账号的异常类型为第二异常类型,则禁止基于所述账号执行预设类型的操作;
若获取的所述账号的异常类型为第三异常类型,则强制退出基于所述账号的登录操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410413153.9A CN105471819B (zh) | 2014-08-19 | 2014-08-19 | 账号异常检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410413153.9A CN105471819B (zh) | 2014-08-19 | 2014-08-19 | 账号异常检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105471819A true CN105471819A (zh) | 2016-04-06 |
| CN105471819B CN105471819B (zh) | 2019-08-30 |
Family
ID=55609096
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410413153.9A Active CN105471819B (zh) | 2014-08-19 | 2014-08-19 | 账号异常检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105471819B (zh) |
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106603327A (zh) * | 2016-11-29 | 2017-04-26 | 上海亿账通互联网科技有限公司 | 行为数据分析方法及装置 |
| CN107172104A (zh) * | 2017-07-17 | 2017-09-15 | 顺丰科技有限公司 | 一种登录异常检测方法、系统及设备 |
| CN107248995A (zh) * | 2017-06-28 | 2017-10-13 | 北京五八信息技术有限公司 | 账号验证方法及装置 |
| CN107395585A (zh) * | 2017-07-17 | 2017-11-24 | 顺丰科技有限公司 | 一种基于时间节点的异常指数的获取方法、系统及设备 |
| CN107465642A (zh) * | 2016-06-02 | 2017-12-12 | 百度在线网络技术(北京)有限公司 | 一种判断账号异常登录的方法及装置 |
| CN107992744A (zh) * | 2016-10-26 | 2018-05-04 | 珠海市魅族科技有限公司 | 登陆行为的风险识别方法和装置 |
| CN108055281A (zh) * | 2017-12-27 | 2018-05-18 | 百度在线网络技术(北京)有限公司 | 账户异常检测方法、装置、服务器及存储介质 |
| CN108090332A (zh) * | 2017-12-06 | 2018-05-29 | 国云科技股份有限公司 | 一种基于用户登录行为分析的风控方法 |
| CN108540431A (zh) * | 2017-03-03 | 2018-09-14 | 阿里巴巴集团控股有限公司 | 账号类型的识别方法、装置和系统 |
| CN108665297A (zh) * | 2017-03-31 | 2018-10-16 | 北京京东尚科信息技术有限公司 | 异常访问行为的检测方法、装置、电子设备和存储介质 |
| CN108763934A (zh) * | 2018-05-30 | 2018-11-06 | 腾讯科技(深圳)有限公司 | 数据处理方法及装置、存储介质、服务器 |
| CN108768943A (zh) * | 2018-04-26 | 2018-11-06 | 腾讯科技(深圳)有限公司 | 一种检测异常账号的方法、装置及服务器 |
| CN108985755A (zh) * | 2017-05-31 | 2018-12-11 | 阿里巴巴集团控股有限公司 | 一种账号状态识别方法、装置及服务器 |
| CN109257321A (zh) * | 2017-07-13 | 2019-01-22 | 北京京东尚科信息技术有限公司 | 安全登录方法和装置 |
| CN109272319A (zh) * | 2018-08-14 | 2019-01-25 | 阿里巴巴集团控股有限公司 | 社区映射及交易违规社区标识方法、装置、电子设备 |
| CN110227268A (zh) * | 2018-03-06 | 2019-09-13 | 腾讯科技(深圳)有限公司 | 一种检测违规游戏帐号的方法及装置 |
| CN110365634A (zh) * | 2019-05-23 | 2019-10-22 | 中国平安人寿保险股份有限公司 | 异常数据监控方法、装置、介质及电子设备 |
| CN110460587A (zh) * | 2019-07-23 | 2019-11-15 | 平安科技(深圳)有限公司 | 一种异常账号检测方法、装置及计算机存储介质 |
| CN110519208A (zh) * | 2018-05-22 | 2019-11-29 | 华为技术有限公司 | 异常检测方法、装置及计算机可读介质 |
| CN110598157A (zh) * | 2019-09-20 | 2019-12-20 | 北京字节跳动网络技术有限公司 | 目标信息识别方法、装置、设备及存储介质 |
| CN111586028A (zh) * | 2020-04-30 | 2020-08-25 | 广州市百果园信息技术有限公司 | 一种异常登录的评估方法、装置、服务器和存储介质 |
| CN112347457A (zh) * | 2019-08-06 | 2021-02-09 | 上海晶赞融宣科技有限公司 | 异常账户检测方法、装置、计算机设备和存储介质 |
| CN112445785A (zh) * | 2019-08-30 | 2021-03-05 | 深信服科技股份有限公司 | 一种账号爆破检测方法及相关装置 |
| CN114510704A (zh) * | 2022-04-20 | 2022-05-17 | 深圳竹云科技股份有限公司 | 风险检测方法、装置、计算设备及计算机存储介质 |
| CN114866296A (zh) * | 2022-04-20 | 2022-08-05 | 武汉大学 | 入侵检测方法、装置、设备及可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102325062A (zh) * | 2011-09-20 | 2012-01-18 | 北京神州绿盟信息安全科技股份有限公司 | 异常登录检测方法及装置 |
| CN102402517A (zh) * | 2010-09-09 | 2012-04-04 | 北京启明星辰信息技术股份有限公司 | 数据库正常登录模型建立、登录行为异常检测方法及系统 |
| CN103001826A (zh) * | 2012-11-29 | 2013-03-27 | 北京奇虎科技有限公司 | 用于监测用户登录的设备和方法 |
| CN103532797A (zh) * | 2013-11-06 | 2014-01-22 | 网之易信息技术(北京)有限公司 | 一种用户登录异常监测方法和装置 |
| CN103544429A (zh) * | 2012-07-12 | 2014-01-29 | 中国银联股份有限公司 | 用于安全性信息交互的异常检测装置及方法 |
-
2014
- 2014-08-19 CN CN201410413153.9A patent/CN105471819B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102402517A (zh) * | 2010-09-09 | 2012-04-04 | 北京启明星辰信息技术股份有限公司 | 数据库正常登录模型建立、登录行为异常检测方法及系统 |
| CN102325062A (zh) * | 2011-09-20 | 2012-01-18 | 北京神州绿盟信息安全科技股份有限公司 | 异常登录检测方法及装置 |
| CN103544429A (zh) * | 2012-07-12 | 2014-01-29 | 中国银联股份有限公司 | 用于安全性信息交互的异常检测装置及方法 |
| CN103001826A (zh) * | 2012-11-29 | 2013-03-27 | 北京奇虎科技有限公司 | 用于监测用户登录的设备和方法 |
| CN103532797A (zh) * | 2013-11-06 | 2014-01-22 | 网之易信息技术(北京)有限公司 | 一种用户登录异常监测方法和装置 |
Cited By (39)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107465642B (zh) * | 2016-06-02 | 2020-12-11 | 百度在线网络技术(北京)有限公司 | 一种判断账号异常登录的方法及装置 |
| CN107465642A (zh) * | 2016-06-02 | 2017-12-12 | 百度在线网络技术(北京)有限公司 | 一种判断账号异常登录的方法及装置 |
| CN107992744A (zh) * | 2016-10-26 | 2018-05-04 | 珠海市魅族科技有限公司 | 登陆行为的风险识别方法和装置 |
| CN106603327B (zh) * | 2016-11-29 | 2017-12-22 | 上海壹账通金融科技有限公司 | 行为数据分析方法及装置 |
| CN106603327A (zh) * | 2016-11-29 | 2017-04-26 | 上海亿账通互联网科技有限公司 | 行为数据分析方法及装置 |
| CN108540431A (zh) * | 2017-03-03 | 2018-09-14 | 阿里巴巴集团控股有限公司 | 账号类型的识别方法、装置和系统 |
| CN108665297B (zh) * | 2017-03-31 | 2021-01-26 | 北京京东尚科信息技术有限公司 | 异常访问行为的检测方法、装置、电子设备和存储介质 |
| CN108665297A (zh) * | 2017-03-31 | 2018-10-16 | 北京京东尚科信息技术有限公司 | 异常访问行为的检测方法、装置、电子设备和存储介质 |
| CN108985755B (zh) * | 2017-05-31 | 2022-03-22 | 阿里巴巴集团控股有限公司 | 一种账号状态识别方法、装置及服务器 |
| CN108985755A (zh) * | 2017-05-31 | 2018-12-11 | 阿里巴巴集团控股有限公司 | 一种账号状态识别方法、装置及服务器 |
| CN107248995A (zh) * | 2017-06-28 | 2017-10-13 | 北京五八信息技术有限公司 | 账号验证方法及装置 |
| CN107248995B (zh) * | 2017-06-28 | 2021-06-01 | 北京五八信息技术有限公司 | 账号验证方法及装置 |
| CN109257321B (zh) * | 2017-07-13 | 2021-12-03 | 北京京东尚科信息技术有限公司 | 安全登录方法和装置 |
| CN109257321A (zh) * | 2017-07-13 | 2019-01-22 | 北京京东尚科信息技术有限公司 | 安全登录方法和装置 |
| CN107395585B (zh) * | 2017-07-17 | 2019-12-27 | 顺丰科技有限公司 | 一种基于时间节点的异常指数的获取方法、系统及设备 |
| CN107172104B (zh) * | 2017-07-17 | 2019-12-27 | 顺丰科技有限公司 | 一种登录异常检测方法、系统及设备 |
| CN107172104A (zh) * | 2017-07-17 | 2017-09-15 | 顺丰科技有限公司 | 一种登录异常检测方法、系统及设备 |
| CN107395585A (zh) * | 2017-07-17 | 2017-11-24 | 顺丰科技有限公司 | 一种基于时间节点的异常指数的获取方法、系统及设备 |
| CN108090332A (zh) * | 2017-12-06 | 2018-05-29 | 国云科技股份有限公司 | 一种基于用户登录行为分析的风控方法 |
| CN108055281A (zh) * | 2017-12-27 | 2018-05-18 | 百度在线网络技术(北京)有限公司 | 账户异常检测方法、装置、服务器及存储介质 |
| CN108055281B (zh) * | 2017-12-27 | 2021-05-18 | 百度在线网络技术(北京)有限公司 | 账户异常检测方法、装置、服务器及存储介质 |
| CN110227268A (zh) * | 2018-03-06 | 2019-09-13 | 腾讯科技(深圳)有限公司 | 一种检测违规游戏帐号的方法及装置 |
| CN108768943A (zh) * | 2018-04-26 | 2018-11-06 | 腾讯科技(深圳)有限公司 | 一种检测异常账号的方法、装置及服务器 |
| CN110519208A (zh) * | 2018-05-22 | 2019-11-29 | 华为技术有限公司 | 异常检测方法、装置及计算机可读介质 |
| CN108763934B (zh) * | 2018-05-30 | 2020-02-28 | 腾讯科技(深圳)有限公司 | 数据处理方法及装置、存储介质、服务器 |
| CN108763934A (zh) * | 2018-05-30 | 2018-11-06 | 腾讯科技(深圳)有限公司 | 数据处理方法及装置、存储介质、服务器 |
| CN109272319B (zh) * | 2018-08-14 | 2022-05-31 | 创新先进技术有限公司 | 社区映射及交易违规社区标识方法、装置、电子设备 |
| CN109272319A (zh) * | 2018-08-14 | 2019-01-25 | 阿里巴巴集团控股有限公司 | 社区映射及交易违规社区标识方法、装置、电子设备 |
| CN110365634A (zh) * | 2019-05-23 | 2019-10-22 | 中国平安人寿保险股份有限公司 | 异常数据监控方法、装置、介质及电子设备 |
| CN110460587A (zh) * | 2019-07-23 | 2019-11-15 | 平安科技(深圳)有限公司 | 一种异常账号检测方法、装置及计算机存储介质 |
| CN110460587B (zh) * | 2019-07-23 | 2022-01-25 | 平安科技(深圳)有限公司 | 一种异常账号检测方法、装置及计算机存储介质 |
| CN112347457A (zh) * | 2019-08-06 | 2021-02-09 | 上海晶赞融宣科技有限公司 | 异常账户检测方法、装置、计算机设备和存储介质 |
| CN112445785A (zh) * | 2019-08-30 | 2021-03-05 | 深信服科技股份有限公司 | 一种账号爆破检测方法及相关装置 |
| CN110598157A (zh) * | 2019-09-20 | 2019-12-20 | 北京字节跳动网络技术有限公司 | 目标信息识别方法、装置、设备及存储介质 |
| CN110598157B (zh) * | 2019-09-20 | 2023-01-03 | 北京字节跳动网络技术有限公司 | 目标信息识别方法、装置、设备及存储介质 |
| CN111586028A (zh) * | 2020-04-30 | 2020-08-25 | 广州市百果园信息技术有限公司 | 一种异常登录的评估方法、装置、服务器和存储介质 |
| CN114510704A (zh) * | 2022-04-20 | 2022-05-17 | 深圳竹云科技股份有限公司 | 风险检测方法、装置、计算设备及计算机存储介质 |
| CN114866296A (zh) * | 2022-04-20 | 2022-08-05 | 武汉大学 | 入侵检测方法、装置、设备及可读存储介质 |
| CN114510704B (zh) * | 2022-04-20 | 2022-08-16 | 深圳竹云科技股份有限公司 | 风险检测方法、装置、计算设备及计算机存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105471819B (zh) | 2019-08-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105471819A (zh) | 账号异常检测方法及装置 | |
| US9462009B1 (en) | Detecting risky domains | |
| US9154516B1 (en) | Detecting risky network communications based on evaluation using normal and abnormal behavior profiles | |
| CN104391979B (zh) | 网络恶意爬虫识别方法及装置 | |
| CN103166917B (zh) | 网络设备身份识别方法及系统 | |
| CN102741839B (zh) | 基于用户浏览器历史的url过滤 | |
| US9838419B1 (en) | Detection and remediation of watering hole attacks directed against an enterprise | |
| CN107659570A (zh) | 基于机器学习与动静态分析的Webshell检测方法及系统 | |
| CN106295349A (zh) | 账号被盗的风险识别方法、识别装置及防控系统 | |
| CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| CN103890771A (zh) | 用户定义的对抗措施 | |
| US9674210B1 (en) | Determining risk of malware infection in enterprise hosts | |
| CN110677384B (zh) | 钓鱼网站的检测方法及装置、存储介质、电子装置 | |
| CN103746992B (zh) | 基于逆向的入侵检测系统及其方法 | |
| CN104954188B (zh) | 基于云的网站日志安全分析方法、装置和系统 | |
| CN112350992A (zh) | 基于web白名单的安全防护方法、装置、设备及存储介质 | |
| CN113162923B (zh) | 基于用户行为的用户可信度评估方法、装置及存储介质 | |
| CN114866296B (zh) | 入侵检测方法、装置、设备及可读存储介质 | |
| CN115190108B (zh) | 一种检测被监控设备的方法、装置、介质及电子设备 | |
| CN112953938A (zh) | 网络攻击防御方法、装置、电子设备及可读存储介质 | |
| CN109547427B (zh) | 黑名单用户识别方法、装置、计算机设备及存储介质 | |
| CN107612946B (zh) | Ip地址的检测方法、检测装置和电子设备 | |
| CN111049838B (zh) | 黑产设备识别方法、装置、服务器及存储介质 | |
| CN110460620B (zh) | 网站防御方法、装置、设备及存储介质 | |
| CN105282091B (zh) | 安全应用的服务器检测方法及其系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |