CN106657073A - 筛选异常登录用户的方法及系统 - Google Patents
筛选异常登录用户的方法及系统 Download PDFInfo
- Publication number
- CN106657073A CN106657073A CN201611217076.5A CN201611217076A CN106657073A CN 106657073 A CN106657073 A CN 106657073A CN 201611217076 A CN201611217076 A CN 201611217076A CN 106657073 A CN106657073 A CN 106657073A
- Authority
- CN
- China
- Prior art keywords
- user
- singularity
- degree
- singularity degree
- login
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Abstract
本发明公开了一种筛选异常登录用户的方法及系统,用以解决现有技术筛选异常登录用户困难的问题。所述方法包括:从登录行为日志中提取预设统计时间的多种维度的用户行为参数;针对每种维度的用户行为参数,量化该用户行为参数在对应维度的奇异度,按照设定的召回量,从最大奇异度或最小奇异度开始召回对应维度的候选奇异登录用户列表;根据预设权重确定出每个候选奇异登录用户的总体奇异度;按照设定的筛选量,在所有候选奇异登录用户列表中从最大总体奇异度开始筛选出异常用户列表。
Description
技术领域
本发明涉及信息安全领域,特别是涉及一种筛选异常登录用户的方法及系统。
背景技术
非法异常登录检测是信息安全领域一个重要而核心的问题。在一个管理大量用户帐号登录的系统中,由于业务/人员的变化,往往很容易出现非法异常登录。
现有技术往往依赖于各种指定的规则用于过滤筛选这些非法异常登录,这些规则往往依赖于人的主观发现,发现问题往往是在漏洞暴露很久,后果已经造成的情况下被重新定义和修正;并且普通用户行为在不断变化,很难用一个固定的规则来始终如一的筛选。
因此,通过指定的规则来确定用户是否非法异常登录非常困难,而且规则的制定与更新往往是在异常行为发生很久,后果非常明显之后才被得以实施,时效性往往很差。
发明内容
为了克服上述现有技术的缺陷,本发明要解决的技术问题是提供一种筛选异常登录用户的方法及系统,用以解决现有技术筛选异常登录用户困难的问题。
为解决上述技术问题,本发明中的一种筛选异常登录用户的方法,包括:
从登录行为日志中提取预设统计时间的多种维度的用户行为参数;
针对每种维度的用户行为参数,量化该用户行为参数在对应维度的奇异度,按照设定的召回量,从最大奇异度或最小奇异度开始召回对应维度的候选奇异登录用户列表;
根据预设权重确定出每个候选奇异登录用户的总体奇异度;
按照设定的筛选量,在所有候选奇异登录用户列表中从最大总体奇异度开始筛选出异常用户列表。
可选地,所述多种维度的用户行为参数包括用户访问频率、用户登录时间、用户登录IP数量、用户使用IMEI数量和用户访问最小间隔中的至少两种。
具体地,所述针对每种维度的用户行为参数,量化该用户行为参数在对应维度的奇异度的步骤,包括:
当用户行为参数为用户访问频率时,统计所有用户在预设统计时间的用户访问频率奇异度;按照所述用户访问频率奇异度排序;
当用户行为参数为用户登录时间时,统计所有用户在预设统计时间的用户登录时间;将每个用户的用户登录时间取归一化的对数值取负得到信息熵;根据每个用户的信息熵确定每个用户的平均登录时间奇异度;按照所有用户的平均登录时间奇异度排序;
当用户行为参数为用户登录IP数量时,统计所有用户在预设统计时间使用的用户登录IP数量奇异度;按照所述用户登录IP数量奇异度排序;
当用户行为参数为用户使用IMEI数量时,统计所有用户在预设统计时间使用的用户使用IMEI数量奇异度;按照所述用户使用IMEI数量奇异度排序;
当用户行为参数为用户访问最小间隔时,统计所有用户在预设统计时间内相邻两次登录访问之间的用户访问最小间隔奇异度;按照所述用户访问最小间隔奇异度排序。
可选地,所述根据预设权重确定出每个候选奇异登录用户的总体奇异度的步骤,包括:
将每个维度的候选奇异登录用户列表分成多个区间,并将每个区间进行相应的区间编号;
根据每个区间的区间编号,确定该区间的候选奇异登录用户的奇异度单项得分;
根据预设权重和每个候选奇异登录用户的奇异度单项得分的乘积关系,确定出每个候选奇异登录用户的总体奇异度。
具体地,所述将每个维度的候选奇异登录用户列表分成多个区间的步骤,包括:
按照等奇异度值、奇异度值对数关系或者等候选奇异登录用户数量,将每个维度的候选奇异登录用户列表分成多个区间。
为解决上述技术问题,本发明中的一种筛选异常登录用户的系统,包括:
参数提起模块,用于从登录行为日志中提取预设统计时间的多种维度的用户行为参数;
奇异度量化模块,用于针对每种维度的用户行为参数,量化该用户行为参数在对应维度的奇异度;
召回模块,用于按照设定的召回量,从最大奇异度或最小奇异度开始召回对应维度的候选奇异登录用户列表;
总体奇异度确定模块,用于根据预设权重确定出每个候选奇异登录用户的总体奇异度;
异常筛选模块,用于按照设定的筛选量,在所有候选奇异登录用户列表中从最大总体奇异度开始筛选出异常用户列表。
可选地,所述多种维度的用户行为参数包括用户访问频率、用户登录时间、用户登录IP数量、用户使用IMEI数量和用户访问最小间隔中的至少两种。
具体地,所述奇异度量化模块,用于当用户行为参数为用户访问频率时,统计所有用户在预设统计时间的用户访问频率奇异度;按照所述用户访问频率奇异度排序;
当用户行为参数为用户登录时间时,统计所有用户在预设统计时间的用户登录时间;将每个用户的用户登录时间取归一化的对数值取负得到信息熵;根据每个用户的信息熵确定每个用户的平均登录时间奇异度;按照所有用户的平均登录时间奇异度排序;
当用户行为参数为用户登录IP数量时,统计所有用户在预设统计时间使用的用户登录IP数量奇异度;按照所述用户登录IP数量奇异度排序;
当用户行为参数为用户使用IMEI数量时,统计所有用户在预设统计时间使用的用户使用IMEI数量奇异度;按照所述用户使用IMEI数量奇异度排序;
当用户行为参数为用户访问最小间隔时,统计所有用户在预设统计时间内相邻两次登录访问之间的用户访问最小间隔奇异度;按照所述用户访问最小间隔奇异度排序。
可选地,所述总体奇异度确定模块,具体用于将每个维度的候选奇异登录用户列表分成多个区间,并将每个区间进行相应的区间编号;
根据每个区间的区间编号,确定该区间的候选奇异登录用户的奇异度单项得分;
根据预设权重和每个候选奇异登录用户的奇异度单项得分的乘积关系,确定出每个候选奇异登录用户的总体奇异度。
具体地,所述总体奇异度确定模块,还用于按照等奇异度值、奇异度值对数关系或者等候选奇异登录用户数量,将每个维度的候选奇异登录用户列表分成多个区间。
本发明有益效果如下:
本发明中方法及系统根据系统记录的用户行为日志,抽取用户行为中的一些关键参数;统计这些关键参数在用户访问上按时间的分布特点;量化这些参数在各自量化维度上的奇异度,按照筛选量的要求召回各维度一定数量的奇异度最大的用户列表,对召回的所有用户根据权重计算各用户总体加权求得总体奇异度,根据总体奇异度的排序求得指定筛选量要求的用户列表,由于该筛选过程以绝大多数人的行为统计特征作为衡量标准,避免了僵化的需要人为介入而写的固定规则。
附图说明
图1是本发明实施例中一种筛选异常登录用户的方法的流程图;
图2是本发明实施例中用户登录在三天内的用户访问频率分布示意图;
图3是本发明实施例中登录时间段评率分布(按每10分钟分辨率)与归一化的信息熵;
图4是本发明实施例中平均登录时间奇异度分布示意图;
图5是本发明实施例中用户使用外部ip的数量统计分布示意图;
图6是本发明实施例中一周内用户使用不同IMEI登录的频率分布示意图;
图7是本发明实施例中用户访问间最小时间间隔分布示意图;
图8是本发明实施例中一种筛选异常登录用户的系统的结构示意图。
具体实施方式
为了解决现有技术存在的问题,本发明提供了一种筛选异常登录用户的方法及系统,以下结合附图以及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不限定本发明。
异常登录一定在某些方面有异于大多数正常登录,从分布上来看,大多数的登录分布都有一些聚集特性,而异常登录则是一些有别于常人行为的离群点,通过筛选这些离群点就能有效找到异常登录人选,如果单一维度不足以判定异常,综合多维度可以增强筛选能力;由于该筛选过程以绝大多数人的行为统计特征作为衡量标准,避免了僵化的需要人为介入而写的固定规则。
基于此,本发明实施例中一种筛选异常登录用户的方法,包括:
S101,从登录行为日志中提取预设统计时间的多种维度的用户行为参数;
S102,针对每种维度的用户行为参数,量化该用户行为参数在对应维度的奇异度,按照设定的召回量,从最大奇异度或最小奇异度开始召回对应维度的候选奇异登录用户列表;
S103,根据预设权重确定出每个候选奇异登录用户的总体奇异度;
S104,按照设定的筛选量,在所有候选奇异登录用户列表中从最大总体奇异度开始筛选出异常用户列表。
本发明实施例根据系统记录的用户行为日志,抽取用户行为中的一些关键参数;统计这些关键参数在用户访问上按时间的分布特点;量化这些参数在各自量化维度上的奇异度,按照筛选量的要求召回各维度一定数量的奇异度最大的用户列表,对召回的所有用户根据权重计算各用户总体加权求得总体奇异度,根据总体奇异度的排序求得指定筛选量要求的用户列表,由于该筛选过程以绝大多数人的行为统计特征作为衡量标准,这避免了僵化的需要人为介入而写的固定规则。
在上述实施例的基础上,进一步提出上述实施例的变型实施例,在此需要说明的是,为了使描述简要,在各变型实施例中仅描述与上述实施例的不同之处。
在本发明的一个实施方式中,所述多种维度的用户行为参数包括用户访问频率、用户登录时间、用户登录IP数量、用户使用IMEI数量和用户访问最小间隔中的至少两种。
进一步说,所述针对每种维度的用户行为参数,量化该用户行为参数在对应维度的奇异度的步骤,包括:
当用户行为参数为用户访问频率时,统计所有用户在预设统计时间的用户访问频率奇异度;按照所述用户访问频率奇异度排序,将该排序记为用户访问频率奇异度向量F;
当用户行为参数为用户登录时间时,统计所有用户在预设统计时间的用户登录时间;将每个用户的用户登录时间取归一化的对数值取负得到信息熵;根据每个用户的信息熵确定每个用户的平均登录时间奇异度;
按照所有用户的平均登录时间奇异度排序,将该排序记为用户登录时间奇异度向量T;
当用户行为参数为用户登录IP数量时,统计所有用户在预设统计时间使用的用户登录IP数量奇异度;按照所述用户登录IP数量奇异度排序,将该排序记为用户登录IP数量奇异度向量P;
当用户行为参数为用户使用IMEI数量时,统计所有用户在预设统计时间使用的用户使用IMEI数量奇异度;按照所述用户使用IMEI数量奇异度排序,将该排序记为用户登录IP数量奇异度向量M;
当用户行为参数为用户访问最小间隔时,统计所有用户在预设统计时间内相邻两次登录访问之间的用户访问最小间隔奇异度;按照所述用户访问最小间隔奇异度排序,将该排序记为用户登录IP数量奇异度向量H。
详细说,本发明实施例包括:
一、参数的抽取量化:
涉及到的参数可以包括但不局限于以下参数:
1)按天登录访问频次(即用户访问频率)。
统计所有用户累积的最近的T时间内访问频次,按访问频率排序记为向量F:
F=[(v1,c1),(v2,c2),…(vn,cn)]
其中:vi:访问者编号;ci:日访问频率;c1<=c2<=c3...<=cn;
如图2所示,尽管每天各帐号的登录频率分布有所不同,但是绝大多数情况下用户登录不会超过固定的数量。少数用户有很高的登录频次。
2)用户登录时间参数Te:
登录时间参数体现了绝大多少用户登录的习惯,如图3所示,是一个真实系统最近T时间段内用户登录行为发生在一天内的分布。由此可见绝大多数用户登录发生在9:00AM左右。极少数发生在2:00AM到6:00AM。
为量化用户登录时间(奇异度)参数,先求取按时间段分布的统计用户登录时间c(t),如图3中的上图;
然后取归一化的对数值取负得到E(t)(熵,entropy):
E(t)=-log(c(t)/max(c(t)))
用户平均登录时间奇异度Te则可以表述为:
其中,tl为单用户各登录时间点,m为该用户总登录次数。
按照用户访问时间段的奇异度排序,我们可以得到访问奇异度向量:
T=[(v0,te0),(v1,te1),…,(vi,tei),…]
其中vi为用户i,tei为平均奇异度,te0<=te1<=te2…<=tei<=tei+1。
图4为T向量元素分布打印图,由此可见在奇异度分布在高奇异度方面具有高度可区分性。
3)用户登录IP数量
对于一定的场景下,通常用户往往用较少的ip地址来进行登录。这是由用户的网络环境来决定的。通过统计,
通过统计用户在特定时间范围上的ip地址使用个数并排序,我们可以得到ip使用频率计数向量:
P=[(v0,Ci0),(v1,Ci1),…,(vi,Cii)…]
其中vi为用户i,Cii为其ip计数。
Ci0<=Ci1<=Ci2…<=Cii<=Cii+1。
图5是一个真实系统里面用户1周内的我们能看到在一定时间范围内,用户登录的ip地址使用量上也具有高度的可分辨性,很少有用户(单周内)使用超过100个ip。
4)用户使用IMEI数量
对于移动用户,通常IMEI的使用数量反应了用户切换使用移动终端的频率。通过统计一定时间段内用户使用的IMEI数量并排序后可以得到向量M:
M=[(v0,Cm0),(v1,Cm1),…,(vi,Cmi)…]
其中:vi为用户i,Cmi为用户i在特定时间段的IMEI统计计数;
Cm0<=Cm1<=…<=Cmi<=Cmi+1…
通常IMEI的频繁更迭访问具备高度的可区分性,图6为一周内某系统用户使用IMEI登录的统计频率分布。很少有用户使用频繁的更换IMEI来登录访问,但一部分用户很明显用了不合常规多的终端来登录访问。
5)用户访问最小间隔
统计用户一定时间范围内相邻两次访问之间的最小时间间隔,并按时间排序记为向量H:
H=[(v0,t0),(v1,t1),…,(vi,ti),…]
其中,vi为用户i,ti为用户i的最小时间间隔。
t0<=t1<=t2…<=ti<=ti+1…。
用户相邻访问时间往往能反应是人为的登录还是程序登录访问。如图7所示,真实统计分布可见很少有用户能在少于0.1秒。那些在向量中排列前面的小于人的极限访问时间有较大概率为异常(程序)访问。
5)其他参数
以上只提到了部分登录直接相关的信息,除了用户登录基本参数数据外,其他可以利用的数据包括用户发表的文本和图片等内容信息。通过量化有别于正常登录的奇异度,也可以做类似的筛选区分。既可以作为本文中提到的额外参数。比如通过ML,可以量化度量文本,图片等偏离正常,异常情况的程度等。
二、待选奇异登陆用户列表召回
通过参数的抽取量化,得到了按照各参数排序的各向量,进一步的可以按照用户访问的的特殊性通过如下算法分别召回一定数量的候选奇异登录用户列表:
1)截取有序向量F里面最后面n个候选人Fn
2)截取有序向量T里面最后面n个候选人Tn
3)截取有序向量P里面最后面n个候选人Pn
4)截取有序向量M里面最后面n个候选人Mn
5)截取有序向量H里面最前面的n个候选人Hn
也就是说,按照设定的召回量,从最大奇异度或最小奇异度开始召回对应维度的候选奇异登录用户列表。
说明:1)n的大小的确定取决于总的期望的筛选用户数。
2)考虑到边界可能有不同用户但大小一致的情况,为增加公平性需要将扩大待选用户(左移或右移),因此Fn、Tn、Pn、Mn、Hn列表可能有大于n个元素。
在本发明的另一个实施例中,所述根据预设权重确定出每个候选奇异登录用户的总体奇异度的步骤,包括:
将每个维度的候选奇异登录用户列表分成多个区间,并将每个区间进行相应的区间编号;
根据每个区间的区间编号,确定该区间的候选奇异登录用户的奇异度单项得分;
根据预设权重和每个候选奇异登录用户的奇异度单项得分的乘积关系,确定出每个候选奇异登录用户的总体奇异度。
具体说,所述将每个维度的候选奇异登录用户列表分成多个区间的步骤,包括:
按照等奇异度值、奇异度值对数关系或者等候选奇异登录用户数量,将每个维度的候选奇异登录用户列表分成多个区间。
详细说,本发明实施例计算所有待选用户的奇异度单项得分值和按权重求和的总奇异度得分值:
1)单项得分值:
截取的Fn、Tn、Pn、Mn、Hn可以按照值域范围分别各自划分为一定数量的段区间设为[d0,d1],[d1,d2],…,[dn-1,dn],相应的的区间编号为0,1,…,n。根据数据的分布特点,区间的设定可以是等值的,也可以是对数的,也可以是基于等数量的,于是每个用户在该单项中的得分Score由如下公式确定:
Si(Vi)=f(c(Vi)/n)
其中Vi是其中第i个用户,c(Vi)为该用户归属的等值段区间号(1~n),n为总区间,n的取值根据分辨率的需要确定其大小。可以是10或100等方便计算的整数。
f为一个权重函数用于给定特定区间的得分。
f可以选择f(x)=1,f(x)=x,或f(x)=1-x分别表示所有待选用户在该项上拥有同样得分或得分依所在区间编号线性增加或减小,目标是尽量能反应该区间在异常度上的体现。
2)综合得分计算
通过以上单项得分可以加权得到每用户的综合得分
其中Wi为单项权重,Si为该用户在第i单项上根据1)计算的得分。
权重可以是等权重的,Wi=1,或者根据应用系统的特点,为把对用户区分度不明显或意义不大的单项统计去掉而将其权重设为0或其他相对较小的值。
上式写成向量即为:
Sc=W*Si
按照所有待选用户综合得分排序可以得到最终得分向量:
Sc=[(v0,s0),(v1,s1),…,(vi,si),…]
其中,vi为序号为i的用户
si为用户i的总得分值,s0>=s1>=…>=si>=si+1。
选取最根据需要截取顶部k个用户即为最终的返回筛选异常用户列表。
当然基于上述描述的各实施例,可以进一步参数调优:
1)为及时跟踪用户访问的统计特点,可以根据需要及时更新统计时间区间,通常可以选择过去一周或一天。也可以将某些特定时间段单独抽取(比如最近工作日,休息日等)出来作为特征区间用于区分相似时间段的用户行为。
2)召回数量,以及筛选权重的选择是一个影响效果的主要因素。不同的系统对于各选择参数的权重以及召回数量往往是不一样的。需要具体分析优化。本文提到的方法中,由于各指标的直观特性,调整也是相对较容易的过程。
另外,通过筛选返回的异常用户列表,在线系统可以据此发起强制认证验证并阻断异常访问。或发起人工审核。根据强制认证反馈的阻断成功率(人为或审核确认正确率),我们可以评价看到实际的效果。因此该问题可以看作是一个参数最优化问题以最大化阻断成功率(正确率)。可以通过人工或算法自动优化参数的选择。
本发明实施例采用n=100,等值区间数10,所有参数采用同等权重系数Wi=1(W=[1,1,1,1,]1所筛选出来的用户id列表:
该结果十分直观地反应了用户访问id在一些方面的显著特点,比如201304022306317ac6843e在访问频率(freq),使用不同终端次数,访问间隔方面明显各维度存在异于正常访问的特性。
下表是仅考虑其中两项H,M中Wi=1时不同的筛选结果:
因此通过改变筛选权重配比,可以方便而直观的筛选符合条件的异常登录,得到该用户列表后,在线系统可以据此发起强制认证验证并阻断异常访问。并通过观察正确率来适当调整。
本发明实施例通过分析用户登录行为参数的统计信息,通过量化登录奇异度,多维度寻找有别于正常人群的异常点,通过计算总体加权奇异度,有效筛选异常登录。该方案自适应强,直观,通用,参数可调,具有较广的适用性。
基于上述各实施例的方法,本发明进一步提出一种筛选异常登录用户的系统。
如图8所示,本发明实施例中一种筛选异常登录用户的系统,包括:
参数提起模块210,用于从登录行为日志中提取预设统计时间的多种维度的用户行为参数;
奇异度量化模块211,用于针对每种维度的用户行为参数,量化该用户行为参数在对应维度的奇异度;
召回模块212,用于按照设定的召回量,从最大奇异度或最小奇异度开始召回对应维度的候选奇异登录用户列表;
总体奇异度确定模块213,用于根据预设权重确定出每个候选奇异登录用户的总体奇异度;
异常筛选模块214,用于按照设定的筛选量,在所有候选奇异登录用户列表中从最大总体奇异度开始筛选出异常用户列表。
本发明实施例根据系统记录的用户行为日志,抽取用户行为中的一些关键参数;统计这些关键参数在用户访问上按时间的分布特点;量化这些参数在各自量化维度上的奇异度,按照筛选量的要求召回各维度一定数量的奇异度最大的用户列表,对召回的所有用户根据权重计算各用户总体加权求得总体奇异度,根据总体奇异度的排序求得指定筛选量要求的用户列表,由于该筛选过程以绝大多数人的行为统计特征作为衡量标准,这避免了僵化的需要人为介入而写的固定规则。
在本发明的一个实施例中,所述多种维度的用户行为参数包括用户访问频率、用户登录时间、用户登录IP数量、用户使用IMEI数量和用户访问最小间隔中的至少两种。
进一步说,所述奇异度量化模块,用于当用户行为参数为用户访问频率时,统计所有用户在预设统计时间的用户访问频率奇异度;按照所述用户访问频率奇异度排序,将该排序记为用户访问频率奇异度向量F;
当用户行为参数为用户登录时间时,统计所有用户在预设统计时间的用户登录时间;将每个用户的用户登录时间取归一化的对数值取负得到信息熵;根据每个用户的信息熵确定每个用户的平均登录时间奇异度;
按照所有用户的平均登录时间奇异度排序,将该排序记为用户登录时间奇异度向量T;
当用户行为参数为用户登录IP数量时,统计所有用户在预设统计时间使用的用户登录IP数量奇异度;按照所述用户登录IP数量奇异度排序,将该排序记为用户登录IP数量奇异度向量P;
当用户行为参数为用户使用IMEI数量时,统计所有用户在预设统计时间使用的用户使用IMEI数量奇异度;按照所述用户使用IMEI数量奇异度排序,将该排序记为用户登录IP数量奇异度向量M;
当用户行为参数为用户访问最小间隔时,统计所有用户在预设统计时间内相邻两次登录访问之间的用户访问最小间隔奇异度;按照所述用户访问最小间隔奇异度排序,将该排序记为用户登录IP数量奇异度向量H。
在本发明的另一个实施例中,所述总体奇异度确定模块,具体用于将每个维度的候选奇异登录用户列表分成多个区间,并将每个区间进行相应的区间编号;
根据每个区间的区间编号,确定该区间的候选奇异登录用户的奇异度单项得分;
根据预设权重和每个候选奇异登录用户的奇异度单项得分的乘积关系,确定出每个候选奇异登录用户的总体奇异度。
进一步说,所述总体奇异度确定模块,还用于按照等奇异度值、奇异度值对数关系或者等候选奇异登录用户数量,将每个维度的候选奇异登录用户列表分成多个区间。
虽然本申请描述了本发明的特定示例,但本领域技术人员可以在不脱离本发明概念的基础上设计出来本发明的变型。
本领域技术人员在本发明技术构思的启发下,在不脱离本发明内容的基础上,还可以对本发明的方法做出各种改进,这仍落在本发明的保护范围之内。
Claims (10)
1.一种筛选异常登录用户的方法,其特征在于,所述方法包括:
从登录行为日志中提取预设统计时间的多种维度的用户行为参数;
针对每种维度的用户行为参数,量化该用户行为参数在对应维度的奇异度,按照设定的召回量,从最大奇异度或最小奇异度开始召回对应维度的候选奇异登录用户列表;
根据预设权重确定出每个候选奇异登录用户的总体奇异度;
按照设定的筛选量,在所有候选奇异登录用户列表中从最大总体奇异度开始筛选出异常用户列表。
2.如权利要求1所述的方法,其特征在于,所述多种维度的用户行为参数包括用户访问频率、用户登录时间、用户登录IP数量、用户使用IMEI数量和用户访问最小间隔中的至少两种。
3.如权利要求2所述的方法,其特征在于,所述针对每种维度的用户行为参数,量化该用户行为参数在对应维度的奇异度的步骤,包括:
当用户行为参数为用户访问频率时,统计所有用户在预设统计时间的用户访问频率奇异度;按照所述用户访问频率奇异度排序;
当用户行为参数为用户登录时间时,统计所有用户在预设统计时间的用户登录时间;将每个用户的用户登录时间取归一化的对数值取负得到信息熵;根据每个用户的信息熵确定每个用户的平均登录时间奇异度;按照所有用户的平均登录时间奇异度排序;
当用户行为参数为用户登录IP数量时,统计所有用户在预设统计时间使用的用户登录IP数量奇异度;按照所述用户登录IP数量奇异度排序;
当用户行为参数为用户使用IMEI数量时,统计所有用户在预设统计时间使用的用户使用IMEI数量奇异度;按照所述用户使用IMEI数量奇异度排序;
当用户行为参数为用户访问最小间隔时,统计所有用户在预设统计时间内相邻两次登录访问之间的用户访问最小间隔奇异度;按照所述用户访问最小间隔奇异度排序。
4.如权利要求1-3中任意一项所述的方法,其特征在于,所述根据预设权重确定出每个候选奇异登录用户的总体奇异度的步骤,包括:
将每个维度的候选奇异登录用户列表分成多个区间,并将每个区间进行相应的区间编号;
根据每个区间的区间编号,确定该区间的候选奇异登录用户的奇异度单项得分;
根据预设权重和每个候选奇异登录用户的奇异度单项得分的乘积关系,确定出每个候选奇异登录用户的总体奇异度。
5.如权利要求4所述的方法,其特征在于,所述将每个维度的候选奇异登录用户列表分成多个区间的步骤,包括:
按照等奇异度值、奇异度值对数关系或者等候选奇异登录用户数量,将每个维度的候选奇异登录用户列表分成多个区间。
6.一种筛选异常登录用户的系统,其特征在于,所述系统包括:
参数提起模块,用于从登录行为日志中提取预设统计时间的多种维度的用户行为参数;
奇异度量化模块,用于针对每种维度的用户行为参数,量化该用户行为参数在对应维度的奇异度;
召回模块,用于按照设定的召回量,从最大奇异度或最小奇异度开始召回对应维度的候选奇异登录用户列表;
总体奇异度确定模块,用于根据预设权重确定出每个候选奇异登录用户的总体奇异度;
异常筛选模块,用于按照设定的筛选量,在所有候选奇异登录用户列表中从最大总体奇异度开始筛选出异常用户列表。
7.如权利要求6所述的系统,其特征在于,所述多种维度的用户行为参数包括用户访问频率、用户登录时间、用户登录IP数量、用户使用IMEI数量和用户访问最小间隔中的至少两种。
8.如权利要求7所述的系统,其特征在于,所述奇异度量化模块,用于当用户行为参数为用户访问频率时,统计所有用户在预设统计时间的用户访问频率奇异度;按照所述用户访问频率奇异度排序;
当用户行为参数为用户登录时间时,统计所有用户在预设统计时间的用户登录时间;将每个用户的用户登录时间取归一化的对数值取负得到信息熵;根据每个用户的信息熵确定每个用户的平均登录时间奇异度;按照所有用户的平均登录时间奇异度排序;
当用户行为参数为用户登录IP数量时,统计所有用户在预设统计时间使用的用户登录IP数量奇异度;按照所述用户登录IP数量奇异度排序;
当用户行为参数为用户使用IMEI数量时,统计所有用户在预设统计时间使用的用户使用IMEI数量奇异度;按照所述用户使用IMEI数量奇异度排序;
当用户行为参数为用户访问最小间隔时,统计所有用户在预设统计时间内相邻两次登录访问之间的用户访问最小间隔奇异度;按照所述用户访问最小间隔奇异度排序。
9.如权利要求6-8中任意一项所述的系统,其特征在于,所述总体奇异度确定模块,具体用于将每个维度的候选奇异登录用户列表分成多个区间,并将每个区间进行相应的区间编号;
根据每个区间的区间编号,确定该区间的候选奇异登录用户的奇异度单项得分;
根据预设权重和每个候选奇异登录用户的奇异度单项得分的乘积关系,确定出每个候选奇异登录用户的总体奇异度。
10.如权利要求9所述的系统,其特征在于,所述总体奇异度确定模块,还用于按照等奇异度值、奇异度值对数关系或者等候选奇异登录用户数量,将每个维度的候选奇异登录用户列表分成多个区间。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611217076.5A CN106657073A (zh) | 2016-12-26 | 2016-12-26 | 筛选异常登录用户的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611217076.5A CN106657073A (zh) | 2016-12-26 | 2016-12-26 | 筛选异常登录用户的方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106657073A true CN106657073A (zh) | 2017-05-10 |
Family
ID=58827987
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611217076.5A Pending CN106657073A (zh) | 2016-12-26 | 2016-12-26 | 筛选异常登录用户的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106657073A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107172104A (zh) * | 2017-07-17 | 2017-09-15 | 顺丰科技有限公司 | 一种登录异常检测方法、系统及设备 |
| CN107248995A (zh) * | 2017-06-28 | 2017-10-13 | 北京五八信息技术有限公司 | 账号验证方法及装置 |
| CN107493321A (zh) * | 2017-07-27 | 2017-12-19 | 无锡天脉聚源传媒科技有限公司 | 一种用户召回的方法及装置 |
| CN107563194A (zh) * | 2017-09-04 | 2018-01-09 | 杭州安恒信息技术有限公司 | 潜伏性盗取用户数据行为检测方法及装置 |
| CN107612882A (zh) * | 2017-08-03 | 2018-01-19 | 北京奇安信科技有限公司 | 一种基于中间日志的用户行为识别方法及装置 |
| CN108306861A (zh) * | 2017-12-29 | 2018-07-20 | 亿阳安全技术有限公司 | 一种生成登录高峰期时间参考的方法及装置 |
| CN109215794A (zh) * | 2017-07-05 | 2019-01-15 | 东软集团股份有限公司 | 异常用户的识别方法及装置、存储介质、电子设备 |
| CN110611635A (zh) * | 2018-06-14 | 2019-12-24 | 蓝盾信息安全技术股份有限公司 | 一种基于多维度失陷账号的检测方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103001826A (zh) * | 2012-11-29 | 2013-03-27 | 北京奇虎科技有限公司 | 用于监测用户登录的设备和方法 |
| CN103023718A (zh) * | 2012-11-29 | 2013-04-03 | 北京奇虎科技有限公司 | 一种用户登录监测设备和方法 |
| CN103532797A (zh) * | 2013-11-06 | 2014-01-22 | 网之易信息技术(北京)有限公司 | 一种用户登录异常监测方法和装置 |
| CN104239197A (zh) * | 2014-10-10 | 2014-12-24 | 浪潮电子信息产业股份有限公司 | 一种基于大数据日志分析的管理用户异常行为发现方法 |
| CN105224872A (zh) * | 2015-09-30 | 2016-01-06 | 河南科技大学 | 一种基于神经网络聚类的用户异常行为检测方法 |
| CN105915555A (zh) * | 2016-06-29 | 2016-08-31 | 北京奇虎科技有限公司 | 网络异常行为的检测方法及系统 |
| CN106060008A (zh) * | 2016-05-10 | 2016-10-26 | 中国人民解放军61599部队计算所 | 一种网络入侵异常检测方法 |
-
2016
- 2016-12-26 CN CN201611217076.5A patent/CN106657073A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103001826A (zh) * | 2012-11-29 | 2013-03-27 | 北京奇虎科技有限公司 | 用于监测用户登录的设备和方法 |
| CN103023718A (zh) * | 2012-11-29 | 2013-04-03 | 北京奇虎科技有限公司 | 一种用户登录监测设备和方法 |
| CN103532797A (zh) * | 2013-11-06 | 2014-01-22 | 网之易信息技术(北京)有限公司 | 一种用户登录异常监测方法和装置 |
| CN104239197A (zh) * | 2014-10-10 | 2014-12-24 | 浪潮电子信息产业股份有限公司 | 一种基于大数据日志分析的管理用户异常行为发现方法 |
| CN105224872A (zh) * | 2015-09-30 | 2016-01-06 | 河南科技大学 | 一种基于神经网络聚类的用户异常行为检测方法 |
| CN106060008A (zh) * | 2016-05-10 | 2016-10-26 | 中国人民解放军61599部队计算所 | 一种网络入侵异常检测方法 |
| CN105915555A (zh) * | 2016-06-29 | 2016-08-31 | 北京奇虎科技有限公司 | 网络异常行为的检测方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 姚琪: "基于改进的KNN算法的网络入侵检测技术研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107248995A (zh) * | 2017-06-28 | 2017-10-13 | 北京五八信息技术有限公司 | 账号验证方法及装置 |
| CN107248995B (zh) * | 2017-06-28 | 2021-06-01 | 北京五八信息技术有限公司 | 账号验证方法及装置 |
| CN109215794A (zh) * | 2017-07-05 | 2019-01-15 | 东软集团股份有限公司 | 异常用户的识别方法及装置、存储介质、电子设备 |
| CN107172104A (zh) * | 2017-07-17 | 2017-09-15 | 顺丰科技有限公司 | 一种登录异常检测方法、系统及设备 |
| CN107172104B (zh) * | 2017-07-17 | 2019-12-27 | 顺丰科技有限公司 | 一种登录异常检测方法、系统及设备 |
| CN107493321A (zh) * | 2017-07-27 | 2017-12-19 | 无锡天脉聚源传媒科技有限公司 | 一种用户召回的方法及装置 |
| CN107612882B (zh) * | 2017-08-03 | 2020-09-29 | 奇安信科技集团股份有限公司 | 一种基于中间日志的用户行为识别方法及装置 |
| CN107612882A (zh) * | 2017-08-03 | 2018-01-19 | 北京奇安信科技有限公司 | 一种基于中间日志的用户行为识别方法及装置 |
| CN107563194A (zh) * | 2017-09-04 | 2018-01-09 | 杭州安恒信息技术有限公司 | 潜伏性盗取用户数据行为检测方法及装置 |
| CN108306861A (zh) * | 2017-12-29 | 2018-07-20 | 亿阳安全技术有限公司 | 一种生成登录高峰期时间参考的方法及装置 |
| CN108306861B (zh) * | 2017-12-29 | 2022-06-07 | 亿阳安全技术有限公司 | 一种生成登录高峰期时间参考的方法及装置 |
| CN110611635A (zh) * | 2018-06-14 | 2019-12-24 | 蓝盾信息安全技术股份有限公司 | 一种基于多维度失陷账号的检测方法 |
| CN110611635B (zh) * | 2018-06-14 | 2022-02-25 | 蓝盾信息安全技术股份有限公司 | 一种基于多维度失陷账号的检测方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106657073A (zh) | 筛选异常登录用户的方法及系统 | |
| CN109756632B (zh) | 一种基于多维时间序列的诈骗电话分析方法 | |
| CN107026750B (zh) | 一种用户上网QoE评价方法及装置 | |
| CN103987056A (zh) | 基于大数据统计模型的无线网络话务量预测方法 | |
| CN105873113A (zh) | 无线质量问题定位方法及系统 | |
| Hernández-Campos et al. | Spatio-temporal modeling of traffic workload in a campus WLAN | |
| CN113536243B (zh) | 基于权限分析的企业内部软件使用管理系统 | |
| CN108288231B (zh) | 一种分布式光伏接入对配电台区负荷特性影响的评估方法 | |
| D'Alconzo et al. | Distribution‐based anomaly detection in 3G mobile networks: from theory to practice | |
| CN109492825A (zh) | 基于互信息和主成分分析筛选因子的中长期预报方法 | |
| CN108243429B (zh) | 一种用于室内分布系统的网络覆盖检测方法及系统 | |
| CN105429792B (zh) | 用户行为流量获取方法及装置、用户行为分析方法及系统 | |
| CN111667144A (zh) | 用户的识别方法及装置 | |
| CN115577152A (zh) | 基于数据分析的在线图书借阅管理系统 | |
| Tougaard | Signal detection theory, detectability and stochastic resonance effects | |
| CN109428760B (zh) | 一种基于运营商数据的用户信用评估方法 | |
| CN110519266A (zh) | 一种基于统计学方法的cc攻击检测的方法 | |
| CN112101692A (zh) | 移动互联网质差用户的识别方法及装置 | |
| CN109686429A (zh) | 医生就诊时间段推荐方法及装置 | |
| CN108259363B (zh) | 一种阶梯式业务流量控制的方法及装置 | |
| CN106357445B (zh) | 一种用户体验监控方法及监控服务器 | |
| CN110866049A (zh) | 目标对象类别的确认方法及装置、存储介质、电子装置 | |
| CN115423157A (zh) | 一种山洪灾害风险动态预警方法及装置 | |
| CN114819685A (zh) | 一种公安人员考勤信息智能管理系统及方法 | |
| CN113517990B (zh) | 一种网络净推荐值nps的预测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170510 |