CN107046550A - 一种异常登录行为的检测方法及装置 - Google Patents
一种异常登录行为的检测方法及装置 Download PDFInfo
- Publication number
- CN107046550A CN107046550A CN201710449206.6A CN201710449206A CN107046550A CN 107046550 A CN107046550 A CN 107046550A CN 201710449206 A CN201710449206 A CN 201710449206A CN 107046550 A CN107046550 A CN 107046550A
- Authority
- CN
- China
- Prior art keywords
- login
- daily record
- log
- user
- entry address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请涉及计算机技术领域,尤其涉及一种异常登录行为的检测方法及装置,用于解决现有技术中存在的异常登录行为被漏检的问题。该方案主要采用登录日志中的登录地址和用户标识,从日志数据库中查找与登录地址和用户标识存在直接或间接关联关系的登录日志集合,并在该登录日志集合满足预设的异常登录行为匹配条件时,确定该登录日志集合中存储有登录行为异常的登录日志。由于上述登录日志集合是根据登录地址和用户标识之间的关联确定的,因此,相比于现有技术中单独根据IP地址或用户账号确定的方案而言,检测范围更为全面,同时涉及到登录地址和用户标识,即使攻击者拥有足够的IP资源,也无法规避本申请检测方案。因此,提高检测效率。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种异常登录行为的检测方法及装置。
背景技术
随着互联网的不断发展,网络安全所带来的挑战越来越严峻。对于互联网公司而言,保护用户的隐私及其账户安全是必须要承担的责任。一旦攻击者通过钓鱼、诈骗等手段,或者通过撞库的行为暴力破解的方式,盗取到用户的账号和密码之后,用户的个人信息甚至财产就受到了严重的威胁。因此,及时发现异常的登录行为,并对该登录行为对应的账户采取适当的保护措施,对于保护用户的隐私和财产安全具有重大的意义。
目前,针对攻击者发起的盗号行为,主要采用以下两种方式进行检测:
方式一:根据登录日志,统计预设时间段内发起的登录请求次数。
考虑到每个登录请求,均有相应的IP地址和账号,因此,具体可以统计预设时间段(例如:10:00-12:00)内一个IP地址的登录请求次数,或者一个账号的登录请求次数;当统计得到的登录请求次数大于预设阈值时,则判定该IP地址或该账号对应的登录请求为异常登录行为,被视为盗号。
方式二:根据登录日志,统计预设时间段内,在同一个IP地址登录的账号个数。
具体可以统计预设时间段内,在同一个IP地址登录的账号个数超过预设阈值,则判定该IP地址对应的登录请求为异常登录行为,视为盗号。
上述两者方式都可以检测出盗号行为,甚至检测出发起盗号行为的IP地址和/或账号;然而,针对方式一中根据单个IP地址进行检测的方案,易通过多个IP地址进行分散的方式来规避,针对方式一中根据单个账号进行检测的方案,由于账号的量级较大,统计所要耗费的开销难以承受;针对方式二,同样可以通过多个IP地址进行分散的方式来规避。通过多个IP地址进行分散,是指将多个账号分散至多个IP地址进行登录,例如:一个IP在一段时间内集中登录有100个账号,那么该IP肯定有问题,而采用IP地址分散的方式,即可以利用50个IP地址,分散这100个账号,平均每个IP地址上仅登录2个账号,从而,规避盗号检测。
由此,无论哪种方式,攻击者都可以通过一定的攻击手段规避盗号检测,从而,导致异常登录行为被漏检。
发明内容
本申请实施例提供一种异常登录行为的检测方法及装置,用以解决现有技术中存在的现有的盗号检测方案存在的异常登录行为被漏检的问题。
本申请实施例采用下述技术方案:
一种异常登录行为的检测方法,包括:
获取待检测的第一登录日志;
根据所述第一登录日志中的登录对象,从日志数据库中查找与所述登录对象存在直接或间接关联关系的登录日志集合,所述日志数据库中存储有包含登录对象和登录信息的登录日志,所述登录对象包括:登录地址和用户标识;
当所述登录日志集合满足预设的异常登录行为匹配条件时,确定所述登录日志集合中存储有登录行为异常的登录日志。
可选地,若所述日志数据库中的第二登录日志的登录地址与所述第一登录日志的登录地址相同,则确定所述第二登录日志为所述登录日志集合中的登录日志;或者,若所述日志数据库中的第二登录日志的用户标识与所述第一登录日志的用户标识相同,则确定所述第二登录日志为所述登录日志集合中的登录日志。
可选地,若所述日志数据库中的第二登录日志的登录地址与所述登录日志集合中的任一登录日志的登录地址相同,则确定所述第二登录日志为所述登录日志集合中的登录日志;或者,若所述日志数据库中的第二登录日志的用户标识与所述登录日志集合中的任一登录日志的用户标识相同,则确定所述第二登录日志为所述登录日志集合中的登录日志。
可选地,所述预设的异常登录行为匹配条件至少包括以下之一:
所述登录日志集合中登录信息的条数大于第一阈值;
所述登录日志集合中登录信息的登录失败占比大于第二阈值。
可选地,在确定所述登录日志集合中存储有登录行为异常的登录日志之后,还包括:
针对所述登录日志集合中任一登录地址,当查找到以所述登录地址产生的登录信息的条数大于第三阈值时,将所述登录地址标记为异常,否则,标记为正常;和/或
针对所述登录日志集合中任一用户标识,如果所述用户标识被N个登录地址登录,当所述N个登录地址的标记均为正常时,将所述用户标识标记为正常,否则,标记为异常;其中,所述N为正整数。
一种异常登录行为的检测装置,包括:
获取单元,用于获取待检测的第一登录日志;
查找单元,用于根据所述第一登录日志中的登录对象,从日志数据库中查找与所述登录对象存在直接或间接关联关系的登录日志集合,所述日志数据库中存储有包含登录对象和登录信息的登录日志,所述登录节点对象包括:登录地址和用户标识;
确定单元,用于在所述登录日志集合满足预设的异常登录行为约束条件时,确定所述登录日志集合中存在登录行为异常的登录日志。
可选地,若所述日志数据库中的第二登录日志的登录地址与所述第一登录日志的登录地址相同,则确定所述第二登录日志为所述登录日志集合中的登录日志;或者,若所述日志数据库中的第二登录日志的用户标识与所述第一登录日志的用户标识相同,则确定所述第二登录日志为所述登录日志集合中的登录日志。
可选地,若所述日志数据库中的第二登录日志的登录地址与所述登录日志集合中的任一登录日志的登录地址相同,则确定所述第二登录日志为所述登录日志集合中的登录日志;或者,若所述日志数据库中的第二登录日志的用户标识与所述登录日志集合中的任一登录日志的用户标识相同,则确定所述第二登录日志为所述登录日志集合中的登录日志。
可选地,所述预设约束条件至少包括以下之一:
所述登录日志集合中登录信息的条数大于第一阈值;
所述登录日志集合中登录信息的登录失败占比大于第二阈值。
可选地,还包括:
标记单元,用于针对所述登录日志集合中任一登录地址,当查找到以所述登录地址产生的登录信息的条数大于第三阈值时,将所述登录地址标记为异常,否则,标记为正常;和/或
针对所述登录日志集合中任一用户标识,如果所述用户标识被N个登录地址登录,当所述N个登录地址的标记均为正常时,将所述用户标识标记为正常,否则,标记为异常;其中,所述N为正整数。
可选地,所述日志数据库为图形数据库;
所述图形数据库中以网络化结构存储有登陆日志的登录对象和登录信息,其中,所述登录对象中的登录地址和用户标识分别以节点形式存储,所述登录信息以线段形式存储,所述线段的一端连接所述登录地址对应的节点,另一端连接所述用户标识对应的节点;
所述查找单元,具体用于根据所述登录对象中的登录地址和用户标识,从所述日志数据库中遍历查找与所述登录地址对应的节点或所述用户标识对应的节点具有直接或间接连接关系的线段,以查找到的线段对应的登录日志作为登录日志集合。
一种异常登录行为的检测装置,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器执行以下操作:
获取待检测的第一登录日志;
根据所述第一登录日志中的登录对象,从日志数据库中查找与所述登录对象存在直接或间接关联关系的登录日志集合,所述日志数据库中存储有包含登录对象和登录信息的登录日志,所述登录对象包括:登录地址和用户标识;
当所述登录日志集合满足预设的异常登录行为匹配条件时,确定所述登录日志集合中存在登录行为异常的登录日志。
一种计算机可读存储介质,所述计算机可读存储介质存储一个或多个程序,所述一个或多个程序当被包括多个应用程序的电子设备执行时,使得所述电子设备执行以下操作:
获取待检测的第一登录日志;
根据所述第一登录日志中的登录对象,从日志数据库中查找与所述登录对象存在直接或间接关联关系的登录日志集合,所述日志数据库中存储有包含登录对象和登录信息的登录日志,所述登录对象包括:登录地址和用户标识;
当所述登录日志集合满足预设的异常登录行为匹配条件时,确定所述登录日志集合中存储有登录行为异常的登录日志。
本申请实施例采用的上述至少一个技术方案能够达到以下有益效果:
通过上述技术方案,采用登录日志中的登录地址和用户标识,从日志数据库中查找确定与登录地址和用户标识存在直接或间接关联关系的登录日志集合,并在该登录日志集合满足预设的异常登录行为匹配条件时,确定该登录日志集合中存在登录行为异常的登录日志。由于上述登录日志集合是根据登录地址和用户标识之间的关联确定的,因此,相比于现有技术中单独根据IP地址或用户账号确定的方案而言,本申请方案的检测范围更为全面,同时涉及到登录地址和用户标识,即使攻击者拥有足够的IP地址资源,也无法规避本申请中的检测方案。因此,本申请方案提高了异常登录行为检测的效率。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请提供的一种异常登录行为的检测方法的步骤示意图;
图2为本申请中直接或间接关联关系的示意图;
图3为一种以IP地址进行的传统盗号检测原理流程图;
图4为本申请提供的以Neo4j作为日志数据库所进行的异常登录行为检测步骤示意图;
图5为本申请中以图形“树”结构展示的登录日志的效果示意图;
图6为本申请实施例提供的一种异常登录行为检测装置的结构示意图;
图7为本申请提供的电子设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
以下结合附图,详细说明本申请各实施例提供的技术方案。
实施例一
如图1所示,为本申请提供的一种异常登录行为的检测方法的步骤示意图,该方法主要包括以下步骤:
步骤11:获取待检测的第一登录日志。
具体而言,第一登录日志中记录有表征本次登录情况的登录对象和登录信息。其中,登录对象包括:登录地址和用户标识,本申请中所涉及的登录地址可以为IP地址,所涉及的用户标识以用户账号为佳;登录信息中可以包含登录时间、登录成功或失败(可以相应标记来记录登录成功或失败,例如,用“1”标记成功,用“0”标记失败),此外,还可以包含:登录地址和用户标识。
步骤12:根据第一登录日志中的登录对象,从日志数据库中查找与所述登录对象存在直接或间接关联关系的登录日志集合。
所述日志数据库中存储有包含登录对象和登录信息的登录日志;其中,日志数据库中包含的登录日志的条数不限。而该日志数据库可以预先建立,也可以随着第一登录日志的获取而实时建立。所述登录日志集合中包括:与所述登录对象存在直接关联关系的登录日志,和/或,与所述登录对象存在间接关联关系的登录日志。
需要说明的是,在本申请中,与登录对象存在直接或间接映射关系,即与登录地址和用户标识存在直接或间接关联关系,举例说明,假设登录地址用IP表示,IP1-IPn表示有n个IP地址,同时,用户标识用ID表示,ID1-IDm表示有m个ID账号。参照图2所示,IP1与ID1存在直接关联关系,IP1和ID2存在直接关联关系,IP1与IP2存在间接关联关系,IP1和ID3存在间接关联关系。
可选地,在本申请步骤12中,查找确定登录日志集合是一个逐步推进的过程:
首先,需要将日志数据库中的第二登录日志与获取到的第一登录日志进行比对,若日志数据库中的第二登录日志的登录地址与第一登录日志的登录地址相同,则确定第二登录日志为登录日志集合中的登录日志;或者,若日志数据库中的第二登录日志的用户标识与第一登录日志的用户标识相同,则确定第二登录日志为登录日志集合中的登录日志。
然后,可以将日志数据库中的第二登录日志与初步得到的登录日志集合中的任一登录日志进行比对,若日志数据库中的第二登录日志的登录地址与登录日志集合中的任一登录日志的登录地址相同,则确定第二登录日志为登录日志集合中的登录日志;或者,若日志数据库中的第二登录日志的用户标识与登录日志集合中的任一登录日志的用户标识相同,则确定第二登录日志为登录日志集合中的登录日志。
最终,按照上述方式,采用广度遍历或深度遍历的方式,查找到与登录地址存在直接或间接关联关系的登录日志,以及查找到与用户标识存在直接或间接关联关系的登录日志,并将查找到的所有登录日志作为登录日志集合。
步骤13:当所述登录日志集合满足预设的异常登录行为匹配条件(即登录日志集合具备与预设的异常登录行为特征相匹配的特征)时,确定所述登录日志集合中存储有登录行为异常的登录日志。
具体地,可采用以下三种预设的异常登录行为匹配条件来确定登录日志集合中是否存在登录行为异常的登录日志:
预设约束条件1:登录日志集合中登录信息的条数大于第一阈值;
预设约束条件2:登录日志集合中登录信息的登录失败占比大于第二阈值;
预设约束条件3:登录日志集合中登录信息的条数大于第一阈值,且登录日志集合中登录信息的登录失败占比大于第二阈值。
可选地,在确定登录日志集合中存在登录行为异常的登录日志之后,可以对该登录日志集合中的所有登录地址和用户账号进行异常处理,但是,这种全部否定的方式过于暴力,可能会将正常登录的登录地址和用户账号进行误处理,为了避免这种情况,本申请中还可以通过以下方式对登录日志集合中的正常登录行为进行洗白,即通过深度检测的方式,过滤掉正常登录行为,将检测粒度细化到登录地址和/或用户标识,具体地:
针对登录日志集合中任一登录地址,当查找到以登录地址产生的登录信息的条数大于第三阈值时,将登录地址标记为异常,否则,标记为正常;和/或
针对登录日志集合中任一用户标识,如果用户标识被N个登录地址登录,当N个登录地址的标记均为正常时,将用户标识标记为正常,否则,标记为异常;其中,N为正整数。
通过上述技术方案,采用登录日志中的登录地址和用户标识,从日志数据库中查找确定与登录地址和用户标识存在直接或间接映射关系的登录日志集合,并在该登录日志集合满足预设约束条件时,确定该登录日志集合中存在登录行为异常的登录日志。由于上述登录日志集合是根据登录地址和用户标识之间的关联确定的,因此,相比于现有技术中单独根据IP地址或用户账号确定的方案而言,本申请方案的检测范围更为全面,同时涉及到登录地址和用户标识,即使攻击者拥有足够的IP地址资源,也无法规避本申请中的检测方案。因此,本申请方案提高了异常登录行为检测的效率。
在本申请中,所涉及的日志数据库可以是图形数据库,主要以图形关系形式的网络化结构存储各信息,具体以登录日志的登录对象为节点,以登录信息为线段,建立网络化图像结构。所述登录对象中的登录地址和用户标识分别以节点形式存储,所述登录信息以线段形式存储,所述线段的一端连接所述登录地址对应的节点,另一端连接所述用户标识对应的节点;相应地,当日志数据库为图形数据库时,步骤12可具体执行为:根据登录对象中的登录地址和用户标识,从日志数据库中遍历查找与所述登录地址对应的节点或所述用户标识对应的节点具有直接或间接连接关系的线段,以查找到的线段对应的登录日志作为登录日志集合。其中,查找到的线段中包含:与节点(该节点包含与登录地址对应的节点、与用户标识对应的节点)直接连接的线段,和/或,与节点间接连接的线段。
此外,也可以是关系型数据库,例如Oracle、MySQL等。
由于图形数据库能够较为清晰的存储网络化结构,因此,将登录日志的登录地址、用户账号以及登录信息以网络化的方式存储,便于快捷准确的统计出所期望的登录日志集合。
下面,以日志数据库为图形数据库为例对本申请的异常登录行为检测方案做进一步说明。
参照图3所示,为一种以IP地址进行的传统盗号检测原理流程图,在获取到登录日志后,队列创建模块31以IP地址为统计对象进行统计,由于针对的是一段时间内获取的登录日志,因此,会为每个IP地址创建一个ID队列,而根据时间跨度的长短,ID队列的长度也会发生变化。例如,针对10:00-12:00这一时间段内的登录日志,统计IP1对应的ID队列:ID1、ID2、ID4、ID6、……IDn,IP2对应的ID队列:ID2、ID3、ID4、ID8、……IDm。若希望统计一个IP地址一天的错误率,就需要在队列中存储一天内以该IP地址登录的所有ID。显然,这需要足够的内存空间来存储大量ID队列。另外,在检测过程中,真正的检测工作是发生在检测模块32内的,因此,队列创建模块31会按照队列的顺序将创建的ID队列依次送入检测模块32进行检测,具体检测规则详见背景技术介绍。然而,这一ID队列的传送会造成极大的网络开销。
本申请完全摒弃上述创建队列的方案,无需额外配备存储队列的空间,更不需要队列的传送,而是利用图形数据库的方式来存储登录日志,具体使用高性能的NOSQL图形数据库-Neo4j,它将结构化数据存储在图形网络上而不是表中,是一种嵌入式的、基于磁盘的、具备完全的事务特性的Java持久化引擎,一般被视为高性能的图引擎,该引擎具有成熟数据库的所有特性。
参照图4所示,为本申请提供的以Neo4j作为日志数据库所进行的盗号检测步骤示意图,主要包括:
步骤41:获取一个待检测的登录日志。
步骤42:将该登录日志的IP地址和ID账号、登录信息存储到Neo4j中。
其实,在该步骤中,一种展现较为直观的存储展示方式,参照图5所示:以IP地址和ID账号分为建立节点A、B,并在两个节点之间建立一条线段,将登录信息(时间:T;以及登录成功与否:1或0)存储在该线段上。同时,该Neo4j中还存储有历史登录日志,其中,Neo4j中的实心点代表IP地址,空心点代表ID账号,实心点与空心点之间的线段代表登录信息。
需要说明的是,由于抽取的只是部分数据,因此,会存在单个ID账号或单个IP地址的情况。
步骤43:以登录日志的IP地址和ID账号,在Neo4j中进行广度或深度遍历,确定与该IP地址和ID账号具有直接或间接连接关系的登录日志集合。
具体可以按照上述登录日志集合的确定方式。
步骤44:当登录日志集合中的登录信息的条数大于第一阈值,且登录信息的登录失败占比大于第二阈值,则可将该登录日志集合中的所有IP地址、ID账号标记为异常。
例如,当统计得到登录日志集合中的登录信息的条数一共为20条,超出第一阈值10条,而且,这20条登录信息中有15条失败的登录信息,那么,确定该登录日志集合中存在异常登录行为。
一种较为暴力的处理方式为:将该登录日志集合中所有的IP地址、ID账号标记为异常。这种处理方式的优势在于:并未漏检异常登录行为,检测范围较为全面。缺点在于:将个别正常登录行为误检为异常登录行为。
为此,还可以对上述步骤44确定的登录日志集合中的登录地址和/或用户账号进行洗白,具体参照,
步骤45:针对登录日志集合中任一IP地址,当查找到以IP地址产生的登录信息的条数大于第三阈值时,保持该IP地址的标记,否则,更新为正常;同时,针对登录日志集合中任一ID账号,当ID账号被N个IP地址登录,且N个IP地址的标记为正常时,将ID账号的标记更新为正常,否则,保持该ID账号标记;其中,N为正整数。
例如,检测所有的IP地址,当以任一IP地址产生的登录信息的条数大于3次,保持该IP地址的标记为异常,否则,将该IP地址的标记更新为正常。同时,检测所有的ID账号,当任一ID账号被1个IP地址登录,且该IP地址的标记为正常,则将该ID账号的标记更新为正常,否则,保持该ID账号的标记为异常。
具体分析参照图5所示,从整体图中可以明显发现,Neo4j数据库以图形结构展现出的网络节点结构中,中央区域存在一个较大的“树”,一共包含9个IP地址,41个ID账号,54条登录信息。在提取这54条边中的登录信息后可以发现,其中有38次的密码错误,密码错误率高达70%。因此,可以认为这是一个恶意的IP构成的“树”。由此,通过该“树”结构,就可以避免通过多个IP将攻击行为进行分散的防盗号行为,将与恶意攻击行为的IP具有直接或间接映射关系的登录信息都涵盖在该“树”结构中,实现了较为全面的盗号检测,在一定程度上提升了盗号检测的效率。
为了进一步提升盗号检测的准确率,还可以进行洗白流程。继续参照图6,其中该“树”结构的右下方存在IPn,只登录过2个账号,可能存在误伤。因此,把这个IPn标记为正常。而这个IPn右侧的IDm,只与一个正常IP相连,因此,也可以被标记为正常。但是这个IPn左侧的IDn,虽然其连接的IPn是正常的,但是它仍然和其他的异常IP相连,因此,仍然属于异常ID。
最后,就可以对这个“树”中所有异常的IP和异常的ID进行对应处理。比如,对IP进行封禁或者验证码处理,对ID进行封禁或者短信提醒等。
可见,在上述检测流程中,是将IP地址到ID账号,ID账号到IP地址,IP地址再到ID账号的登录关系组成一个“树”结构,然后将这个“树”结构看成一个整体,来进行分析判定。这样一来,就能够避免传统检测策略带来的缺陷,极大的增加了检测的效率和准确率。另外,由于攻击者往往在黑产中存在资源共享或者买卖的现象,许多攻击者会盗取同一批账号。通过树结构的检测,能够直接将这一整批攻击者和被盗取的账号挖掘出来,提高了盗号的检测效率。
同时,为了避免误伤,在检测流程中还按照一定的规则,对IP和ID进行洗白。即使正常登录也被包含到树结构中,也能够避免被误处理。
本申请通过利用登录地址和用户账号确定登录日志集合的方式,同时引入图形数据库的存储方式,有效的检测到攻击者通过各种方式发起的盗号行为,弥补了传统检测的缺陷。通过本发明的检测策略,能够极大的增加攻击者的攻击成本,从而阻止攻击者去发起无意义的盗号行为。同时,在性能方面,本专利也通过引入Neo4j图形化数据库和优化流程的方式,极大的提高整个检测系统的效率,足以引对巨大用户量发起的登录行为。而且,本申请中通过对登录日志进行实时监测,能够及时检测到盗号行为。
同时,与上述异常登录行为检测方法属于同一发明构思,本申请还提供了一种异常登录行为的检测装置。
如图6所示,为本申请实施例提供的一种异常登录行为的检测装置的结构示意图,该异常登录行为的检测装置主要包括:
获取单元61,用于获取待检测的第一登录日志。
查找单元62,用于根据所述第一登录日志中的登录对象,从日志数据库中查找与所述登录对象存在直接或间接关联关系的登录日志集合。
所述日志数据库中存储有包含登录对象和登录信息的登录日志,所述登录对象包括:登录地址和用户标识;
确定单元63,用于在所述登录日志集合满足预设的异常登录行为匹配条件时,确定所述登录日志集合中存储有登录行为异常的登录日志。
可选地,在本申请实施例中,若所述日志数据库中的第二登录日志的登录地址与所述第一登录日志的登录地址相同,则确定所述第二登录日志为所述登录日志集合中的登录日志;或者,若所述日志数据库中的第二登录日志的用户标识与所述第一登录日志的用户标识相同,则确定所述第二登录日志为所述登录日志集合中的登录日志。
进一步,在本申请实施例中,若所述日志数据库中的第二登录日志的登录地址与所述登录日志集合中的任一登录日志的登录地址相同,则确定所述第二登录日志为所述登录日志集合中的登录日志;或者,若所述日志数据库中的第二登录日志的用户标识与所述登录日志集合中的任一登录日志的用户标识相同,则确定所述第二登录日志为所述登录日志集合中的登录日志。
可选地,所述预设的异常登录行为匹配条件至少包括以下之一:
所述登录日志集合中登录信息的条数大于第一阈值;
所述登录日志集合中登录信息的登录失败占比大于第二阈值。
可选地,本申请的异常登录行为的检测装置还可以包括:
标记单元,用于针对所述登录日志集合中任一登录地址,当查找到以所述登录地址产生的登录信息的条数大于第三阈值时,将所述登录地址标记为异常,否则,标记为正常;和/或,针对所述登录日志集合中任一用户标识,如果所述用户标识被N个登录地址登录,当所述N个登录地址的标记均为正常时,将所述用户标识标记为正常,否则,标记为异常;其中,所述N为正整数。
可选地,本申请所涉及的日志数据库为图形数据库;图形数据库中以网络化结构存储有登陆日志的登录对象和登录信息,其中,登录对象中的登录地址和用户标识分别以节点形式存储,所述登录信息以线段形式存储,所述线段的一端连接所述登录地址对应的节点,另一端连接所述用户标识对应的节点;相应地,查找单元,具体用于根据所述登录对象中的登录地址和用户标识,从所述日志数据库中遍历查找与所述登录地址对应的节点或所述用户标识对应的节点具有直接或间接连接关系的线段,以查找到的线段对应的登录日志作为登录日志集合。
此外,本申请还提供了电子设备的结构示意图,参照图7所示,在硬件层面,该电子设备包括处理器71,可选地还包括内部总线72、网络接口73、存储器74。其中,存储器可能包含内存,例如高速随机存取存储器(Random-Access Memory,RAM),也可能还包括非易失性存储器(non-volatile memory),例如至少1个磁盘存储器等。当然,该电子设备还可能包括其他业务所需要的硬件。
存储器74,用于存放程序。具体地,程序可以包括程序代码,所述程序代码包括计算机操作指令。存储器74可以包括内存和非易失性存储器,并向处理器提供指令和数据。
处理器71从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上形成盗号检测装置。处理器,用于执行存储器所存放的程序,并具体用于执行以下操作:
获取待检测的第一登录日志;
根据所述第一登录日志中的登录对象,从日志数据库中查找与所述登录对象存在直接或间接关联关系的登录日志集合,所述日志数据库中存储有包含登录对象和登录信息的登录日志,所述登录对象包括:登录地址和用户标识;
当所述登录日志集合满足预设的异常登录行为匹配条件时,确定所述登录日志集合中存储有登录行为异常的登录日志。
本申请实施例还提出了一种计算机可读存储介质,该计算机可读存储介质存储一个或多个程序,该一个或多个程序包括指令,该指令当被包括多个应用程序的电子设备执行时,能够使该电子设备执行图7所示实施例中异常登录行为检测装置执行的方法,并具体用于执行:
获取待检测的第一登录日志;
根据所述第一登录日志中的登录对象,从日志数据库中查找与所述登录对象存在直接或间接关联关系的登录日志集合,所述日志数据库中存储有包含登录对象和登录信息的登录日志,所述登录节点对象包括:登录地址和用户标识;
当所述登录日志集合满足预设的异常登录行为匹配条件时,确定所述登录日志集合中存储有登录行为异常的登录日志。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (12)
1.一种异常登录行为的检测方法,其特征在于,包括:
获取待检测的第一登录日志;
根据所述第一登录日志中的登录对象,从日志数据库中查找与所述登录对象存在直接或间接关联关系的登录日志集合,所述日志数据库中存储有包含登录对象和登录信息的登录日志,所述登录对象包括:登录地址和用户标识;
当所述登录日志集合满足预设的异常登录行为匹配条件时,确定所述登录日志集合中存储有登录行为异常的登录日志。
2.如权利要求1所述的方法,其特征在于,
若所述日志数据库中的第二登录日志的登录地址与所述第一登录日志的登录地址相同,或者,所述日志数据库中的第二登录日志的用户标识与所述第一登录日志的用户标识相同;则确定所述第二登录日志为所述登录日志集合中的登录日志。
3.如权利要求2所述的方法,其特征在于,
若所述日志数据库中的第二登录日志的登录地址与所述登录日志集合中的任一登录日志的登录地址相同,或者,所述日志数据库中的第二登录日志的用户标识与所述登录日志集合中的任一登录日志的用户标识相同;则确定所述第二登录日志为所述登录日志集合中的登录日志。
4.如权利要求1所述的方法,其特征在于,所述预设的异常登录行为匹配条件至少包括以下之一:
所述登录日志集合中登录信息的条数大于第一阈值;
所述登录日志集合中登录信息的登录失败占比大于第二阈值。
5.如权利要求1-4任一项所述的方法,其特征在于,在确定所述登录日志集合中存储有登录行为异常的登录日志之后,还包括:
针对所述登录日志集合中任一登录地址,当查找到以所述登录地址产生的登录信息的条数大于第三阈值时,将所述登录地址标记为异常,否则,标记为正常;和/或
针对所述登录日志集合中任一用户标识,如果所述用户标识被N个登录地址登录,当所述N个登录地址的标记均为正常时,将所述用户标识标记为正常,否则,标记为异常;其中,所述N为正整数。
6.如权利要求1、3、4所述的方法,其特征在于,所述日志数据库为图形数据库;
所述图形数据库中以网络化结构存储有登陆日志的登录对象和登录信息,其中,所述登录对象中的登录地址和用户标识分别以节点形式存储,所述登录信息以线段形式存储,所述线段的一端连接所述登录地址对应的节点,另一端连接所述用户标识对应的节点;
根据所述第一登录日志中的登录对象,从日志数据库中查找与所述登录对象存在直接或间接关联关系的登录日志集合,具体包括:
根据所述登录对象中的登录地址和用户标识,从所述日志数据库中遍历查找与所述登录地址对应的节点或所述用户标识对应的节点具有直接或间接连接关系的线段,以查找到的线段对应的登录日志作为登录日志集合。
7.一种异常登录行为的检测装置,其特征在于,包括:
获取单元,用于获取待检测的第一登录日志;
查找单元,用于根据所述第一登录日志中的登录对象,从日志数据库中查找与所述登录对象存在直接或间接关联关系的登录日志集合,所述日志数据库中存储有包含登录对象和登录信息的登录日志,所述登录节点对象包括:登录地址和用户标识;
确定单元,用于在所述登录日志集合满足预设的异常登录行为匹配条件时,确定所述登录日志集合中存储有登录行为异常的登录日志。
8.如权利要求7所述的装置,其特征在于,所述预设的异常登录行为匹配条件至少包括以下之一:
所述登录日志集合中登录信息的条数大于第一阈值;
所述登录日志集合中登录信息的登录失败占比大于第二阈值。
9.如权利要求7或8所述的装置,其特征在于,还包括:
标记单元,用于针对所述登录日志集合中任一登录地址,当查找到以所述登录地址产生的登录信息的条数大于第三阈值时,将所述登录地址标记为异常,否则,标记为正常;和/或
针对所述登录日志集合中任一用户标识,如果所述用户标识被N个登录地址登录,当所述N个登录地址的标记均为正常时,将所述用户标识标记为正常,否则,标记为异常;其中,所述N为正整数。
10.如权利要求7或8所述的装置,其特征在于,所述日志数据库为图形数据库;
所述图形数据库中以网络化结构存储有登陆日志的登录对象和登录信息,其中,所述登录对象中的登录地址和用户标识分别以节点形式存储,所述登录信息以线段形式存储,所述线段的一端连接所述登录地址对应的节点,另一端连接所述用户标识对应的节点;
所述查找单元,具体用于根据所述登录对象中的登录地址和用户标识,从所述日志数据库中遍历查找与所述登录地址对应的节点或所述用户标识对应的节点具有直接或间接连接关系的线段,以查找到的线段对应的登录日志作为登录日志集合。
11.一种异常登录行为的检测装置,其特征在于,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器执行以下操作:
获取待检测的第一登录日志;
根据所述第一登录日志中的登录对象,从日志数据库中查找与所述登录对象存在直接或间接关联关系的登录日志集合,所述日志数据库中存储有包含登录对象和登录信息的登录日志,所述登录对象包括:登录地址和用户标识;
当所述登录日志集合满足预设的异常登录行为匹配条件时,确定所述登录日志集合中存储有登录行为异常的登录日志。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储一个或多个程序,所述一个或多个程序当被包括多个应用程序的电子设备执行时,使得所述电子设备执行以下操作:
获取待检测的第一登录日志;
根据所述第一登录日志中的登录对象,从日志数据库中查找与所述登录对象存在直接或间接关联关系的登录日志集合,所述日志数据库中存储有包含登录对象和登录信息的登录日志,所述登录对象包括:登录地址和用户标识;
当所述登录日志集合满足预设的异常登录行为匹配条件时,确定所述登录日志集合中存储有登录行为异常的登录日志。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710449206.6A CN107046550B (zh) | 2017-06-14 | 2017-06-14 | 一种异常登录行为的检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710449206.6A CN107046550B (zh) | 2017-06-14 | 2017-06-14 | 一种异常登录行为的检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107046550A true CN107046550A (zh) | 2017-08-15 |
| CN107046550B CN107046550B (zh) | 2020-07-07 |
Family
ID=59547430
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710449206.6A Active CN107046550B (zh) | 2017-06-14 | 2017-06-14 | 一种异常登录行为的检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107046550B (zh) |
Cited By (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107911387A (zh) * | 2017-12-08 | 2018-04-13 | 国网河北省电力有限公司电力科学研究院 | 用电信息采集系统账号异常登陆和异常操作的监控方法 |
| CN107911396A (zh) * | 2017-12-30 | 2018-04-13 | 世纪龙信息网络有限责任公司 | 登录异常检测方法和系统 |
| CN107959673A (zh) * | 2017-11-17 | 2018-04-24 | 广东省信息安全测评中心 | 异常登录检测方法、装置、存储介质和计算机设备 |
| CN108521402A (zh) * | 2018-03-07 | 2018-09-11 | 阿里巴巴集团控股有限公司 | 一种输出标签的方法、装置及设备 |
| CN108924118A (zh) * | 2018-06-27 | 2018-11-30 | 亚信科技(成都)有限公司 | 一种撞库行为检测方法及系统 |
| CN109005156A (zh) * | 2018-07-05 | 2018-12-14 | 泰康保险集团股份有限公司 | 账号共用的确定方法及装置 |
| CN109344913A (zh) * | 2018-10-31 | 2019-02-15 | 中国刑事警察学院 | 一种基于改进MajorClust聚类的网络入侵行为检测方法 |
| CN109635529A (zh) * | 2018-11-13 | 2019-04-16 | 平安科技(深圳)有限公司 | 账号共用检测方法、装置、介质及电子设备 |
| CN109687991A (zh) * | 2018-09-07 | 2019-04-26 | 平安科技(深圳)有限公司 | 用户行为识别方法、装置、设备及存储介质 |
| CN109905411A (zh) * | 2019-04-25 | 2019-06-18 | 北京腾云天下科技有限公司 | 一种异常用户识别方法、装置和计算设备 |
| CN110032583A (zh) * | 2019-03-12 | 2019-07-19 | 平安科技(深圳)有限公司 | 一种欺诈团伙识别方法、装置、可读存储介质及终端设备 |
| CN110209562A (zh) * | 2019-05-13 | 2019-09-06 | 深圳前海微众银行股份有限公司 | 一种日志分析方法及分析服务器 |
| CN110519208A (zh) * | 2018-05-22 | 2019-11-29 | 华为技术有限公司 | 异常检测方法、装置及计算机可读介质 |
| CN110618977A (zh) * | 2019-09-12 | 2019-12-27 | 腾讯科技(深圳)有限公司 | 登录异常检测方法、装置、存储介质和计算机设备 |
| CN110933064A (zh) * | 2019-11-26 | 2020-03-27 | 云南电网有限责任公司信息中心 | 确定用户行为轨迹的方法及其系统 |
| CN110933080A (zh) * | 2019-11-29 | 2020-03-27 | 上海观安信息技术股份有限公司 | 一种用户登录异常的ip群体识别方法及装置 |
| CN111294336A (zh) * | 2020-01-15 | 2020-06-16 | 深圳开源互联网安全技术有限公司 | 登录行为检测方法、装置、计算机设备和存储介质 |
| CN111310139A (zh) * | 2020-01-21 | 2020-06-19 | 腾讯科技(深圳)有限公司 | 行为数据识别方法、装置及存储介质 |
| CN111784375A (zh) * | 2019-04-04 | 2020-10-16 | 北京嘀嘀无限科技发展有限公司 | 用户类型识别方法、装置、电子设备和存储介质 |
| CN111885001A (zh) * | 2020-06-24 | 2020-11-03 | 国家计算机网络与信息安全管理中心 | 异常登录行为识别方法、控制器及介质 |
| CN111988278A (zh) * | 2020-07-23 | 2020-11-24 | 微梦创科网络科技(中国)有限公司 | 一种基于用户地理位置日志的异常用户确定方法及装置 |
| CN112784025A (zh) * | 2021-01-12 | 2021-05-11 | 北京明略软件系统有限公司 | 一种目标事件的确定方法和装置 |
| CN112835781A (zh) * | 2019-11-25 | 2021-05-25 | 上海哔哩哔哩科技有限公司 | 一种操作功能的异常检测方法及装置 |
| CN113315791A (zh) * | 2021-07-30 | 2021-08-27 | 杭州安恒信息技术股份有限公司 | 一种基于代理模块的主机防护方法和电子装置 |
| CN113536304A (zh) * | 2021-08-04 | 2021-10-22 | 久盈世纪(北京)科技有限公司 | 一种基于运维审计系统的防绕行方法及设备 |
| CN113810327A (zh) * | 2020-06-11 | 2021-12-17 | 中国科学院计算机网络信息中心 | 异常账户检测方法、装置及存储介质 |
| CN114301610A (zh) * | 2020-09-21 | 2022-04-08 | 华为技术有限公司 | 失陷计算机的识别方法和失陷计算机的识别设备 |
| CN114553720A (zh) * | 2022-02-28 | 2022-05-27 | 中国工商银行股份有限公司 | 用户操作异常检测方法及装置 |
| CN114793168A (zh) * | 2022-03-15 | 2022-07-26 | 上海聚水潭网络科技有限公司 | 基于登录日志和ip的失陷用户溯源方法、系统及设备 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6496824B1 (en) * | 1999-02-19 | 2002-12-17 | Saar Wilf | Session management over a stateless protocol |
| CN102315978A (zh) * | 2010-06-29 | 2012-01-11 | 百度在线网络技术(北京)有限公司 | 一种检测开放式互动平台中子集的异常状态的方法与设备 |
| CN103532797A (zh) * | 2013-11-06 | 2014-01-22 | 网之易信息技术(北京)有限公司 | 一种用户登录异常监测方法和装置 |
| CN103795612A (zh) * | 2014-01-15 | 2014-05-14 | 五八同城信息技术有限公司 | 即时通讯中的垃圾和违法信息检测方法 |
| CN104239197A (zh) * | 2014-10-10 | 2014-12-24 | 浪潮电子信息产业股份有限公司 | 一种基于大数据日志分析的管理用户异常行为发现方法 |
| CN104901975A (zh) * | 2015-06-30 | 2015-09-09 | 北京奇虎科技有限公司 | 网站日志安全分析方法、装置及网关 |
| US20150326595A1 (en) * | 2012-11-29 | 2015-11-12 | Beijing Qihoo Technology Company Limited | User login monitoring device and method |
| CN106251214A (zh) * | 2016-08-02 | 2016-12-21 | 东软集团股份有限公司 | 账户监控方法及装置 |
| CN106453357A (zh) * | 2016-11-01 | 2017-02-22 | 北京红马传媒文化发展有限公司 | 一种网络购票异常行为的识别方法、系统及设备 |
-
2017
- 2017-06-14 CN CN201710449206.6A patent/CN107046550B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6496824B1 (en) * | 1999-02-19 | 2002-12-17 | Saar Wilf | Session management over a stateless protocol |
| CN102315978A (zh) * | 2010-06-29 | 2012-01-11 | 百度在线网络技术(北京)有限公司 | 一种检测开放式互动平台中子集的异常状态的方法与设备 |
| US20150326595A1 (en) * | 2012-11-29 | 2015-11-12 | Beijing Qihoo Technology Company Limited | User login monitoring device and method |
| CN103532797A (zh) * | 2013-11-06 | 2014-01-22 | 网之易信息技术(北京)有限公司 | 一种用户登录异常监测方法和装置 |
| CN103795612A (zh) * | 2014-01-15 | 2014-05-14 | 五八同城信息技术有限公司 | 即时通讯中的垃圾和违法信息检测方法 |
| CN104239197A (zh) * | 2014-10-10 | 2014-12-24 | 浪潮电子信息产业股份有限公司 | 一种基于大数据日志分析的管理用户异常行为发现方法 |
| CN104901975A (zh) * | 2015-06-30 | 2015-09-09 | 北京奇虎科技有限公司 | 网站日志安全分析方法、装置及网关 |
| CN106251214A (zh) * | 2016-08-02 | 2016-12-21 | 东软集团股份有限公司 | 账户监控方法及装置 |
| CN106453357A (zh) * | 2016-11-01 | 2017-02-22 | 北京红马传媒文化发展有限公司 | 一种网络购票异常行为的识别方法、系统及设备 |
Cited By (44)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107959673A (zh) * | 2017-11-17 | 2018-04-24 | 广东省信息安全测评中心 | 异常登录检测方法、装置、存储介质和计算机设备 |
| CN107959673B (zh) * | 2017-11-17 | 2020-11-10 | 广东省信息安全测评中心 | 异常登录检测方法、装置、存储介质和计算机设备 |
| CN107911387A (zh) * | 2017-12-08 | 2018-04-13 | 国网河北省电力有限公司电力科学研究院 | 用电信息采集系统账号异常登陆和异常操作的监控方法 |
| CN107911396A (zh) * | 2017-12-30 | 2018-04-13 | 世纪龙信息网络有限责任公司 | 登录异常检测方法和系统 |
| CN108521402A (zh) * | 2018-03-07 | 2018-09-11 | 阿里巴巴集团控股有限公司 | 一种输出标签的方法、装置及设备 |
| CN108521402B (zh) * | 2018-03-07 | 2021-01-22 | 创新先进技术有限公司 | 一种输出标签的方法、装置及设备 |
| CN110519208B (zh) * | 2018-05-22 | 2021-11-30 | 华为技术有限公司 | 异常检测方法、装置及计算机可读介质 |
| CN110519208A (zh) * | 2018-05-22 | 2019-11-29 | 华为技术有限公司 | 异常检测方法、装置及计算机可读介质 |
| CN108924118A (zh) * | 2018-06-27 | 2018-11-30 | 亚信科技(成都)有限公司 | 一种撞库行为检测方法及系统 |
| CN108924118B (zh) * | 2018-06-27 | 2021-07-02 | 亚信科技(成都)有限公司 | 一种撞库行为检测方法及系统 |
| CN109005156A (zh) * | 2018-07-05 | 2018-12-14 | 泰康保险集团股份有限公司 | 账号共用的确定方法及装置 |
| CN109005156B (zh) * | 2018-07-05 | 2021-06-01 | 泰康保险集团股份有限公司 | 账号共用的确定方法及装置 |
| CN109687991B (zh) * | 2018-09-07 | 2023-04-18 | 平安科技(深圳)有限公司 | 用户行为识别方法、装置、设备及存储介质 |
| CN109687991A (zh) * | 2018-09-07 | 2019-04-26 | 平安科技(深圳)有限公司 | 用户行为识别方法、装置、设备及存储介质 |
| CN109344913A (zh) * | 2018-10-31 | 2019-02-15 | 中国刑事警察学院 | 一种基于改进MajorClust聚类的网络入侵行为检测方法 |
| CN109635529A (zh) * | 2018-11-13 | 2019-04-16 | 平安科技(深圳)有限公司 | 账号共用检测方法、装置、介质及电子设备 |
| CN110032583A (zh) * | 2019-03-12 | 2019-07-19 | 平安科技(深圳)有限公司 | 一种欺诈团伙识别方法、装置、可读存储介质及终端设备 |
| CN110032583B (zh) * | 2019-03-12 | 2024-05-07 | 平安科技(深圳)有限公司 | 一种欺诈团伙识别方法、装置、可读存储介质及终端设备 |
| CN111784375A (zh) * | 2019-04-04 | 2020-10-16 | 北京嘀嘀无限科技发展有限公司 | 用户类型识别方法、装置、电子设备和存储介质 |
| CN109905411A (zh) * | 2019-04-25 | 2019-06-18 | 北京腾云天下科技有限公司 | 一种异常用户识别方法、装置和计算设备 |
| CN109905411B (zh) * | 2019-04-25 | 2021-11-16 | 北京腾云天下科技有限公司 | 一种异常用户识别方法、装置和计算设备 |
| CN110209562A (zh) * | 2019-05-13 | 2019-09-06 | 深圳前海微众银行股份有限公司 | 一种日志分析方法及分析服务器 |
| CN110618977B (zh) * | 2019-09-12 | 2023-10-31 | 腾讯科技(深圳)有限公司 | 登录异常检测方法、装置、存储介质和计算机设备 |
| CN110618977A (zh) * | 2019-09-12 | 2019-12-27 | 腾讯科技(深圳)有限公司 | 登录异常检测方法、装置、存储介质和计算机设备 |
| CN112835781A (zh) * | 2019-11-25 | 2021-05-25 | 上海哔哩哔哩科技有限公司 | 一种操作功能的异常检测方法及装置 |
| CN110933064A (zh) * | 2019-11-26 | 2020-03-27 | 云南电网有限责任公司信息中心 | 确定用户行为轨迹的方法及其系统 |
| CN110933064B (zh) * | 2019-11-26 | 2023-10-03 | 云南电网有限责任公司信息中心 | 确定用户行为轨迹的方法及其系统 |
| CN110933080A (zh) * | 2019-11-29 | 2020-03-27 | 上海观安信息技术股份有限公司 | 一种用户登录异常的ip群体识别方法及装置 |
| CN110933080B (zh) * | 2019-11-29 | 2021-10-26 | 上海观安信息技术股份有限公司 | 一种用户登录异常的ip群体识别方法及装置 |
| CN111294336A (zh) * | 2020-01-15 | 2020-06-16 | 深圳开源互联网安全技术有限公司 | 登录行为检测方法、装置、计算机设备和存储介质 |
| CN111310139A (zh) * | 2020-01-21 | 2020-06-19 | 腾讯科技(深圳)有限公司 | 行为数据识别方法、装置及存储介质 |
| CN113810327A (zh) * | 2020-06-11 | 2021-12-17 | 中国科学院计算机网络信息中心 | 异常账户检测方法、装置及存储介质 |
| CN113810327B (zh) * | 2020-06-11 | 2023-08-22 | 中国科学院计算机网络信息中心 | 异常账户检测方法、装置及存储介质 |
| CN111885001A (zh) * | 2020-06-24 | 2020-11-03 | 国家计算机网络与信息安全管理中心 | 异常登录行为识别方法、控制器及介质 |
| CN111988278A (zh) * | 2020-07-23 | 2020-11-24 | 微梦创科网络科技(中国)有限公司 | 一种基于用户地理位置日志的异常用户确定方法及装置 |
| CN114301610A (zh) * | 2020-09-21 | 2022-04-08 | 华为技术有限公司 | 失陷计算机的识别方法和失陷计算机的识别设备 |
| CN112784025B (zh) * | 2021-01-12 | 2023-08-18 | 青岛明略软件技术开发有限公司 | 一种目标事件的确定方法和装置 |
| CN112784025A (zh) * | 2021-01-12 | 2021-05-11 | 北京明略软件系统有限公司 | 一种目标事件的确定方法和装置 |
| CN113315791A (zh) * | 2021-07-30 | 2021-08-27 | 杭州安恒信息技术股份有限公司 | 一种基于代理模块的主机防护方法和电子装置 |
| CN113536304A (zh) * | 2021-08-04 | 2021-10-22 | 久盈世纪(北京)科技有限公司 | 一种基于运维审计系统的防绕行方法及设备 |
| CN113536304B (zh) * | 2021-08-04 | 2023-10-13 | 久盈世纪(北京)科技有限公司 | 一种基于运维审计系统的防绕行方法及设备 |
| CN114553720A (zh) * | 2022-02-28 | 2022-05-27 | 中国工商银行股份有限公司 | 用户操作异常检测方法及装置 |
| CN114793168A (zh) * | 2022-03-15 | 2022-07-26 | 上海聚水潭网络科技有限公司 | 基于登录日志和ip的失陷用户溯源方法、系统及设备 |
| CN114793168B (zh) * | 2022-03-15 | 2024-04-23 | 上海聚水潭网络科技有限公司 | 基于登录日志和ip的失陷用户溯源方法、系统及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107046550B (zh) | 2020-07-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107046550A (zh) | 一种异常登录行为的检测方法及装置 | |
| US11750631B2 (en) | System and method for comprehensive data loss prevention and compliance management | |
| US11362910B2 (en) | Distributed machine learning for anomaly detection | |
| US20200389495A1 (en) | Secure policy-controlled processing and auditing on regulated data sets | |
| JP6321681B2 (ja) | ウェブサイトユーザを識別する方法および装置 | |
| US10425429B2 (en) | System and method for cyber security analysis and human behavior prediction | |
| US20180075240A1 (en) | Method and device for detecting a suspicious process by analyzing data flow characteristics of a computing device | |
| US9292695B1 (en) | System and method for cyber security analysis and human behavior prediction | |
| CN105635126B (zh) | 恶意网址访问防护方法、客户端、安全服务器及系统 | |
| CN108182581A (zh) | 一种区块链的记账方法及装置 | |
| CN104346365B (zh) | 确定与特定业务相关的关联日志的方法和装置 | |
| US20160065610A1 (en) | Anonymized network data collection and network threat assessment and monitoring systems and methods | |
| CN108123956B (zh) | 基于Petri网的密码误用漏洞检测方法及系统 | |
| Rassam et al. | Big Data Analytics Adoption for Cybersecurity: A Review of Current Solutions, Requirements, Challenges and Trends. | |
| RU2757597C1 (ru) | Системы и способы сообщения об инцидентах компьютерной безопасности | |
| CN106888211A (zh) | 一种网络攻击的检测方法及装置 | |
| CN114244617B (zh) | 防范非法攻击行为的方法、装置和计算可读存储介质 | |
| CN114374566B (zh) | 一种攻击检测方法及装置 | |
| CN109561097B (zh) | 结构化查询语言注入安全漏洞检测方法、装置、设备及存储介质 | |
| CN104714969B (zh) | 一种属性值的检测方法和检测装置 | |
| CN107180194A (zh) | 基于视觉分析系统进行漏洞检测的方法及装置 | |
| Alidoosti et al. | Evaluating the web‐application resiliency to business‐layer DoS attacks | |
| Wen et al. | Detecting and predicting APT based on the study of cyber kill chain with hierarchical knowledge reasoning | |
| CN107104944A (zh) | 一种网络入侵的检测方法及装置 | |
| US20230245139A1 (en) | Graph-based techniques for detecting synthetic online identities |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |