CN107172104B - 一种登录异常检测方法、系统及设备 - Google Patents
一种登录异常检测方法、系统及设备 Download PDFInfo
- Publication number
- CN107172104B CN107172104B CN201710579217.6A CN201710579217A CN107172104B CN 107172104 B CN107172104 B CN 107172104B CN 201710579217 A CN201710579217 A CN 201710579217A CN 107172104 B CN107172104 B CN 107172104B
- Authority
- CN
- China
- Prior art keywords
- login
- time
- data
- abnormal
- time node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明涉及一种登录异常检测方法、系统及设备。包括:获取用户历史预设时间区段内的登录数据;根据所述登录数据生成基于登录的时间节点、时间类型、登录IP所属城市、两地登录速度、两次登录时间间隔、登录尝试次数中至少两维度的登录异常指数,其中,登录的时间节点、时间类型、登录IP所属城市维度至少存在一个;获取新的登录数据,结合最新登录数据的维度及该维度对应的所述登录异常指数,生成异常得分。即多维度聚合解决单一维度误报的问题,通过更多的检测维度完善目前维度不足,提高异常登录命中率。通过登录数据依据权重评分或/和异常检测算法,筛选出高分数据进行调查,多种检测方式进行检测,从根本上杜绝异常登录误漏的情况。
Description
技术领域
本发明涉及数据交换网络,尤其涉及一种登录异常检测方法、系统及设备。
背景技术
目前用户异常登录检查中通常基于单维度等静态规则进行匹配,在实际的应用中产生大量的假报警,导致调查人员无法一一覆盖调查异常事件,真正异常事件未被调查发现;目前常见异常登录检测维度存在凌晨登录、异地登录、多次访问失败常见维度,对真正的异常检测维度不足;目前的检测维度仅对于规则本身,尚未考虑用户自身操作习惯以及用户所在群体的操作习惯。
上述每个问题,现有技术均无法解决,更不用说是同时解决上述问题,本发明经过大量的实验、研究开发了一种登录异常检测方法及系统,突破性的解决了上述所有问题,对本领域技术人员而言具有里程碑式的意义。
发明内容
为了解决上述技术问题,本发明的目的在于提供一种登录异常检测方法、系统及设备。
根据本发明的一个方面,提供了一种登录异常检测方法,包括以下步骤:
获取用户历史预设时间区段内的登录数据;
根据所述登录数据生成基于登录的时间节点、时间类型、登录IP所属城市、两地登录速度、两次登录时间间隔、登录尝试次数中至少两维度的登录异常指数,其中,登录的时间节点、时间类型、登录IP所属城市维度至少存在一个;
获取新的登录数据,结合最新登录数据的维度及该维度对应的所述登录异常指数,生成异常得分。
本发明基于用户自身操作习惯以及用户所在群体的操作为基础建立通过时间节点、时间类型、登录IP所属城市、两地登录速度、两次登录时间间隔、登录尝试次数中至少两个维度,即多维度聚合解决单一维度误报的问题。通过更多的检测维度完善目前维度不足,检测精度高。
用户无历史成功登录数据或成功登录数据累计不足预设时间区段时,异常指数赋值则为0%。
进一步的,基于登录的时间节点的异常指数的生成包括:
获取用户在历史预设时间区段内的成功登录数据;
根据所述成功登录数据,按照时间节点顺序创建登录习惯表;
获取最新的登录数据的时间节点,与所述登录习惯表对比;
若最新登录数据所在时间节点与登录习惯表上的时间节点的正常值的时长间隔大于预设阈值,则为异常登录并生成异常指数;
若最新登录数据所在时间节点与登录习惯表上的时间节点的正常值的时长间隔小于等于预设阈值,则为正常登录。
该时间节点为一小时或半小时。
进一步的,所述按照时间节点顺序创建登录习惯表包括,
获取历史预设时间区段内用户各时间节点中最低登录次数;
遍历各时间节点,将各时间节点的登录次数与最低登录次数对比,
若大于等于最低登录次数,则将该时间节点标记为第一标识;
若小于最低登录次数,且相邻的时间节点为第一标识,则将该时间节点标记为第一标识;
生成习惯表。
统计用户在各个时间节点成功登录的次数;
计算其登录次数的平均值以及标准差;
定义用户的最低登录次数=平均值-n×标准差;
其中,n=0-2。n可根据具体业务场景设定,通常取1。
进一步的,在生成习惯表之前还包括,
查找未标记第一标识的孤立的时间节点;
获取孤立的时间节点的位置,判断该时间节点是否位于两第一标识之间;
若是,则将该孤立的时间节点标记为第二标识;
若否,则将该孤立的时间节点标记为第三标识。
进一步的,若最新登录数据所在时间节点与登录习惯表上的时间节点的正常值的距离大于预设阈值,包括:
判断该最新登录时间节点距离第一标识或第二标识是否在预设的时长范围内,若超过预设时长范围则为异常,并根据其超出预设时长范围的时长距离生成异常指数。
若最新登录数据所在时间节点与登录习惯表上的时间节点的正常值的距离小于等于预设阈值,包括:
判断该最新登录时间节点距离第一标识或第二标识是否在预设的时长范围内,若未超过预设时长范围则为正常。
优选,该最新登录时间节点正好对应第一标识或第二标识时,登录正常,若与第一标识或第二标识未对应,则异常,异常指数根据距离最近第一标识或第二标识的时长距离获取。
进一步的,基于时间类型的异常指数的生成包括:
获取用户在预设历史时间区段内的成功登录数据;
将预设历史时间区段映射为工作日类型、全息日类型及节假日类型;
计算各日期类型的登录比例,生成登录习惯类型;
获取最新登录数据所属的日期类型;
将最新登录类型与登录习惯类型对比,并生成基于时间类型的登录异常指数。
全息日比例=全息日登录的天数/全息日天数;
节假日比例=节假日登录的天数/节假日天数;
工作日比例=工作日登录的天数/工作日天数。
进一步的,所述生成登录习惯类型包括,
将各日期类型登录比例与登录平均值比较;
若该日期类型的登录比例大于所述登录平均值,则生成第一习惯登录类型;
若该日期类型的登录比例小于等于所述登录平均值,则生成非第一习惯登录类型。
非第一习惯登录类型包括第二习惯性时间类型类型、第三习惯性时间类型类型,
如果该日期类型的登录比例小于所述登录平均值×50%,为用户第二习惯性时间类型类型;
如果该日期类型的登录比例小于所述登录平均值×30%,为用户第三习惯性时间类型类型。
进一步的,将最新登录类型与登录习惯类型对比,并生成基于时间类型的登录异常指数,包括,
将最新登录数据所属日期类型与登录习惯类型对比;
若最新登录数据所属的日期类型为第一习惯登录类型,则为正常;若最新登录数据所属的日期类型为非第一习惯登录类型,则为异常,并根据距离所述登录平均值的数值间隔,生成异常指数。
进一步的,基于两次登录时间间隔异常指数的生成包括:
获取最新登录与上次登录的时间间隔;
若两次登录的时间间隔小于预设的阈值,则为正常;
若两次登录的时间间隔大于预设的阈值,则为异常,并根据距离阈值的时长生成异常指数。
该阈值可以为7-15天。
进一步的,基于登录IP所属城市异常指数的生成包括,
获取用户历史预设时间区段内的登录数据;
获取用户发生过登录操作的城市,并生成各城市登录比例及用户登录平均值;
将各城市的登录比例与用户登录平均值进行对比,生成习惯登录IP所属城市;
获取最新登录IP所属的城市;
将该最新登录IP所属的城市与习惯登录IP所属城市对比,并生成基于登录IP所属城市的异常指数。
进一步的,所述生成习惯登录IP所属城市包括,
对比各城市的登录比例与平均值;
若该登录IP所属城市的登录比例大于平均值,则为第一习惯登录IP所属城市;若该登录IP所属城市的登录比例小于等于平均值,则为非第一习惯登录IP所属城市。
该非第一习惯登录IP所属城市包括第二习惯登录IP所属城市、第三习惯登录IP所属城市,
如果该城市登录比例小于该用户登录IP所属城市的平均值×50%,则该城市为用户第二习惯登录IP所属城市;
如果该城市登录比例小于该用户登录IP所属城市的平均值×30%,则该城市为用户第三习惯登录IP所属城市。
进一步的,所述生成基于登录IP所属城市的异常指数包括,
将最新登录IP所属城市与登录习惯城市对比,若最新登录操作发生在第一习惯登录IP所属城市,则为正常;若登录操作发生在非第一习惯登录IP所属城市,则为异常,并根据距离所述平均值的数值间隔,生成异常指数。
进一步的,基于两地登录速度异常指数的生成包括如下步骤:
获取用户两地登录速度,用户两地登录速度=|用户上一次登录IP所属城市-用户本次登录IP所属城市|÷|用户上一次登录时间-用户本次登录时间|;
将用户两地登录速度与预设速度阈值比较,
若用户两地登录速度小于等于预设速度阈值则正常,
若用户两地登录速度大于预设速度阈值则为异常,根据用户两地登录速度与预设速度阈值之间的数值间隔生成异常指数。
基于登录尝试次数异常指数的获取包括:
获取距上次登录成功后,最新登录成功前失败登录尝试次数;
若该失败登录尝试次数小于预设的阈值,则为正常;
若该失败登录尝试次数大于预设的阈值,则为异常,并根据距离阈值的数值间隔生成异常指数。
进一步的,结合最新登录数据的维度及该维度对应的所述登录异常指数通过下述权重评分或/和异常检测算法的计算公式,生成异常得分,
权重评分=a1×(时间节点异常指数)+a2×(时间类型异常指数)+a3×(登录IP所属城市异常指数)+a4×(两地登录速度异常指数)+a5×(两次登录时间间隔异常指数)+a6×(登录尝试次数异常指数),
每个维度的异常指数取值为0-100%,a1-6取值为0-1,
登录数据异常检测算法为:
当每个维度的异常指数均小于阈值时,登录无异常,
当其中至少一个维度的异常指数大于阈值时,则输入IFOREST函数计算异常得分。
根据本发明的一个方面,提供了一种登录异常检测系统,包括:
采集单元,用于获取用户历史预设时间区段内的登录数据;
维度建立单元,用于根据所述登录数据生成基于登录的时间节点、时间类型、登录IP所属城市、两地登录速度、两次登录时间间隔、登录尝试次数中至少两维度的登录异常指数,其中,登录的时间节点、时间类型、登录IP所属城市维度至少存在一个;
异常评估单元,用于获取新的登录数据,结合最新登录数据的维度及该维度对应的所述登录异常指数,生成异常得分。
所述维度的建立及其异常指数的获取如登录异常检测部分所述。
根据本发明的一个方面,提供了一种登录异常检测设备,包括存储有计算机程序的计算机可读介质,所述程序被运行用于执行:
获取用户历史预设时间区段内的登录数据;
根据所述登录数据生成基于登录的时间节点、时间类型、登录IP所属城市、两地登录速度、两次登录时间间隔、登录尝试次数中至少两维度的登录异常指数,其中,登录的时间节点、时间类型、登录IP所属城市维度至少存在一个;
获取新的登录数据,结合最新登录数据的维度及该维度对应的所述登录异常指数,生成异常得分。
所述维度的建立及其异常指数的获取如登录异常检测部分所述。
与现有技术相比,本发明具有以下有益效果:
1、本发明示例的登录异常检测方法及系统,基于用户历史登录数据建立时间节点、时间类型、登录IP所属城市、两地登录速度、两次登录时间间隔、登录尝试次数中至少两维度下的登录异常指数,即多维度聚合解决单一维度误报的问题,通过更多的检测维度完善目前维度不足,提高异常登录命中率。
2、本发明示例的登录异常检测方法及系统,通过登录数据依据权重评分或/和异常检测算法的结果,筛选出高分数据进行调查,判断是否为异常登录,多种检测方式进行检测,从根本上杜绝异常登录误漏的情况,通过筛选出高分命中的数据进行调查,判断是否为异常登录,有效提高账户的安全性。
3.本发明示例的登录异常检测设备,通过存储有计算机程序的计算机可读介质,所述程序被运行用于建立多个维度,根据多个维度的异常指数识别出异常登录,异常登录命中率高。
附图说明
图1为本发明流程图。
具体实施方式
为了更好的了解本发明的技术方案,下面结合具体实施例、说明书附图对本发明作进一步说明。
实施例一:
依据用户历史数据建立时间节点、时间类型、登录IP所属城市、两地登录速度、两次登录时间间隔、登录尝试次数6个维度。
1时间节点维度
1)获取过去半年登录数据;
2)筛选成功登录的数据;
3)按照工号、时间节点(每小时)聚合每工号在各个小时点共成功登录的次数;
4)按照工号统计过去半年登录次数的平均值(mean)以及标准差(sd);
5)从0点开始遍历各小时点:
定义各个账号的最低登录次数Count=mean-1×sd;
第一次遍历:
如果该小时点登录次数大于等于Count,标志为1;
如果该小时点登录次数小于Count,但是邻近一个小时的小时点大于等于Count,标志为1;
第二次遍历:
查看是否有“孤立”的小时点,若经过第一次遍历,存在有时间没有标志位1,但在
两个标志为1的小时点中间,则标志为2;其他时间点标志为0,形成用户登录时间习惯表;
6)对于登录数据累计不足1个月的用户,不对该用户进行时间节点打标签;
7)当对用户的新登录数据进行处理时:
若用户的时间节点对比用户登录习惯表,如果该时点的标签为1或2,则该登录的异常指数为0%;
如果该时间节点离最近的一个1或2标签,距离1到2个小时,异常值设置为50%;
距离3个小时,异常值设置为80%;
距离4个小时以上设置为100%;
若用户无历史标签,异常指数赋值为0%。
2时间类型维度
1)获取过去半年登录数据
2)筛选成功登录的数据
3)按照工号、日期、聚合记录,日期映射成工作日、全息日、节假日,形成半年来用户节假日统计表,周期为该员工第一次登录至获取数据当天。
4)统计用户的全息日(周六日),工作日,节假日(不包括周六日)的登录比例:
全息日(周六日)比例=该周期全息日登录的天数/该周期全息日天数
节假日(不包括周六日)比例=该周期节假日登录的天数/该周期节假日天数
工作日比例=该周期工作日登录的天数/该周期工作日天数
5)如果该日期类型登录比例大于该用户登录比例的平均值,为用户第一习惯性时间类型类型;
如果该日期类型比例小于该用户登录比例的平均值×50%,为用户第二习惯性时间类型类型;
如果该日期类型比例小于该用户登录比例的平均值×30%,为用户第三习惯性时间类型类型;
6)对于登录数据累计不足1个月的用户,不对该用户进行时间节点打标签;
7)当对用户的新登录数据进行处理时:
若用户的时间类型映射成全息日、节假日、工作日;
如果登录IP所映射的日期类型为第一习惯登录,则该登录的异常指数为0%;
如果登录IP所映射的日期类型为第二习惯登录,则该登录的异常指数为50%;
如果登录IP所映射的日期类型为第三习惯登录,则该登录的异常指数为80%;
如果登录IP所映射的日期为非习惯性登录,则该登录的异常指数为100%;
若用户无历史标签,异常指数赋值为0%。
3登录IP所属城市维度
1)获取过去半年登录数据
2)筛选成功登录的数据
3)按照工号、日期、登录IP聚合记录,形成半年来用户在每个ip上登录的次数统计表
4)按照IP地址掩码计算规则,利用IP数据源文件-全网数据,匹配登录IP所属城市
5)按用户计算,所登录过城市的比例
如果该城市的登录比例大于该用户登录IP所属城市的平均值,则该城市为用户的第一习惯登录IP所属城市;
如果该城市登录比例小于该用户登录IP所属城市的平均值×50%,则该城市为用户第二习惯登录IP所属城市;
如果该城市登录比例小于该用户登录IP所属城市的平均值×30%,则该城市为用户第二习惯登录IP所属城市;
6)对于登录数据累计不足1个月的用户,不对该用户进行时间节点打标签;
7)当对用户的新登录数据进行处理时:
若用户的登录IP对比用户登录IP所属城市习惯表,如果登录IP所映射的城市为第一习惯登录IP所属城市,则该登录的异常指数为0%;
如果登录IP所映射的城市为第二习惯登录IP所属城市,则该登录的异常指数为50%;
如果登录IP所映射的城市为第三习惯登录IP所属城市,则该登录的异常指数为80%;
如果登录IP所映射的城市为非习惯登录IP所属城市,则该登录的异常指数为100%;
如果登录IP未能映射到城市,则该登录的异常指数为100%;
若用户无历史标签,异常指数赋值为0%。
4两地登录速度维度
用户两地登录速度(KM/H)=|用户上一次登录IP所属城市(无论成功失败)-用户本次登录IP所属城市|/=|用户上一次登录时间-用户本次登录时间|
100KM/H≤用户两地登录速度<120KM/H,则该登录的异常指数为50%;
120KM/H≤用户两地登录速度<150KM/H,则该登录的异常指数为80%;
用户两地登录速度≥150KM/H,则该登录的异常指数为100%。
5两次登录时间间隔维度
用户当次登录时间–用户上次登录时间≥6个月,则登录异常指数为100%;
3个月≤用户当次登录时间–用户上次登录时间<6个月,则登录异常指数为80%;
2个月≤用户当次登录时间–用户上次登录时间<3个月,则登录异常指数为50%;
6登录前的尝试-登录尝试次数维度
统计用户失败登录次数:
如果上次登录成功后本次登录成功前失败登录尝试超过15次,则该次登录异常指数为100%;
如果上次登录成功后本次登录成功前失败登录尝试超过10次,则异常指数为80%;
如果上次登录成功后本次登录成功前失败登录尝试超过5次,则异常指数为50%;
注:过往的统计数据需要跟随新数据的变化而变化,按周更新。
登录数据依据权重评分或/和异常检测算法的结果,筛选出高分命中的数据进行调查,判断是否为异常登录,
将登录数据录入下述登录记录最终异常得分求解公式中进行权重评分:
该登录记录最终异常得分=1×(时间节点的异常指数)+1×(时间类型的异常指数)+1×(登录IP所属城市的异常指数)+1×(两地登录速度的异常指数)+1×(两次登录时间间隔的异常指数)+1×(登录尝试次数的异常指数)。
登录数据异常检测算法为:
当每个维度的异常指数均低于0.5时,登录无异常,
当其中至少一个维度的异常指数≥0.5时,通过IFOREST函数计算登录数据评分。
本实施例的登录异常检测系统,包括:
采集单元,用于获取用户历史预设时间区段内的登录数据;
维度建立单元,用于根据所述登录数据生成基于登录的时间节点、时间类型、登录IP所属城市、两地登录速度、两次登录时间间隔、登录尝试次数的登录异常指数;
异常评估单元,用于获取新的登录数据,结合最新登录数据的维度及该维度对应的所述登录异常指数,生成异常得分。
本实施例的登录异常检测设备,包括存储有计算机程序的计算机可读介质,所述程序被运行用于执行:
获取用户历史预设时间区段内的登录数据;
根据所述登录数据生成基于登录的时间节点、时间类型、登录IP所属城市、两地登录速度、两次登录时间间隔、登录尝试次数的登录异常指数;
获取新的登录数据,结合最新登录数据的维度及该维度对应的所述登录异常指数,生成异常得分。
实施例二
本实施例与实施例一相同的特征不再赘述,本实施例与实施例一不同的特征在于:
登录数据依据权重评分或/和异常检测算法的结果,筛选出高分命中的数据进行调查,判断是否为异常登录,
将登录数据录入下述登录记录最终异常得分求解公式中进行权重评分:
该登录记录最终异常得分=0.2×(时间节点的异常指数)+0.2×(时间类型的异常指数)+1×(登录IP所属城市的异常指数)+0.9×(两地登录速度的异常指数)+1×(两次登录时间间隔的异常指数)+1×(登录尝试次数的异常指数),
每个维度已各自设置异常指数为0-100%。
实施例三
本实施例与实施例一相同的特征不再赘述,本实施例与实施例一不同的特征在于:
登录数据依据权重评分或/和异常检测算法的结果,筛选出高分命中的数据进行调查,判断是否为异常登录,
将登录数据录入下述登录记录最终异常得分求解公式中进行权重评分:
该登录记录最终异常得分=0.2×(时间节点的异常指数)+0.1×(时间类型的异常指数)+0.7×(登录IP所属城市的异常指数)+0.8×(两地登录速度的异常指数)+0.9×(两次登录时间间隔的异常指数)+1×(登录尝试次数的异常指数),
每个维度已各自设置异常指数为0-100%。
实施例四
本实施例与实施例一相同的特征不再赘述,本实施例与实施例一不同的特征在于:
依据用户历史数据建立时间节点、时间类型、登录IP所属城市、两地登录速度、登录尝试次数5个维度。
登录数据依据权重评分或/和异常检测算法的结果,筛选出高分命中的数据进行调查,判断是否为异常登录,
将登录数据录入下述登录记录最终异常得分求解公式中进行权重评分:
该登录记录最终异常得分=1×(时间节点的异常指数)+1×(时间类型的异常指数)+1×(登录IP所属城市的异常指数)+1×(两地登录速度的异常指数)+1×(登录尝试次数的异常指数),
每个维度已各自设置异常指数为0-100%。
本实施例的登录异常检测系统,包括:
采集单元,用于获取用户历史预设时间区段内的登录数据;
维度建立单元,用于根据所述登录数据生成基于登录的时间节点、时间类型、登录IP所属城市、两地登录速度、登录尝试次数的登录异常指数;
异常评估单元,用于获取新的登录数据,结合最新登录数据的维度及该维度对应的所述登录异常指数,生成异常得分。
本实施例的登录异常检测设备,包括存储有计算机程序的计算机可读介质,所述程序被运行用于执行:
获取用户历史预设时间区段内的登录数据;
根据所述登录数据生成基于登录的时间节点、时间类型、登录IP所属城市、两地登录速度、登录尝试次数的登录异常指数;
获取新的登录数据,结合最新登录数据的维度及该维度对应的所述登录异常指数,生成异常得分。
实施例五
本实施例与实施例一相同的特征不再赘述,本实施例与实施例一不同的特征在于:
依据用户历史数据建立时间节点、登录IP所属城市、两地登录速度、两次登录时间间隔、登录尝试次数5个维度。
登录数据依据权重评分或/和异常检测算法的结果,筛选出高分命中的数据进行调查,判断是否为异常登录,
将登录数据录入下述登录记录最终异常得分求解公式中进行权重评分:
该登录记录最终异常得分=0.1×(时间节点的异常指数)+0.8×(登录IP所属城市的异常指数)+0.9×(两地登录速度的异常指数)+0.1×(两次登录时间间隔的异常指数)+1×(登录尝试次数的异常指数),
每个维度已各自设置异常指数为0-100%。
本实施例的登录异常检测系统,包括:
采集单元,用于获取用户历史预设时间区段内的登录数据;
维度建立单元,用于根据所述登录数据生成基于登录的时间节点、登录IP所属城市、两地登录速度、两次登录时间间隔、登录尝试次数的登录异常指数;
异常评估单元,用于获取新的登录数据,结合最新登录数据的维度及该维度对应的所述登录异常指数,生成异常得分。
本实施例的登录异常检测设备,包括存储有计算机程序的计算机可读介质,所述程序被运行用于执行:
获取用户历史预设时间区段内的登录数据;
根据所述登录数据生成基于登录的时间节点、登录IP所属城市、两地登录速度、两次登录时间间隔、登录尝试次数的登录异常指数;
获取新的登录数据,结合最新登录数据的维度及该维度对应的所述登录异常指数,生成异常得分。
实施例六:
本实施例与实施例一相同的特征不再赘述,本实施例与实施例一不同的特征在于:
依据用户历史数据建立时间节点、时间类型、两地登录速度、两次登录时间间隔、登录尝试次数5个维度。
登录数据依据权重评分或/和异常检测算法的结果,筛选出高分命中的数据进行调查,判断是否为异常登录,
将登录数据录入下述登录记录最终异常得分求解公式中进行权重评分:
该登录记录最终异常得分=0.5×(时间节点的异常指数)+0.5×(时间类型的异常指数)+0.7×(两地登录速度的异常指数)+0.8×(两次登录时间间隔的异常指数)+0.9×(登录尝试次数的异常指数),
每个维度已各自设置异常指数为0-100%。
本实施例的登录异常检测系统,包括:
采集单元,用于获取用户历史预设时间区段内的登录数据;
维度建立单元,用于根据所述登录数据生成基于登录的时间节点、时间类型、两地登录速度、两次登录时间间隔、登录尝试次数的登录异常指数;
异常评估单元,用于获取新的登录数据,结合最新登录数据的维度及该维度对应的所述登录异常指数,生成异常得分。
本实施例的登录异常检测设备,包括存储有计算机程序的计算机可读介质,所述程序被运行用于执行:
获取用户历史预设时间区段内的登录数据;
根据所述登录数据生成基于登录的时间节点、时间类型、两地登录速度、两次登录时间间隔、登录尝试次数的登录异常指数;
获取新的登录数据,结合最新登录数据的维度及该维度对应的所述登录异常指数,生成异常得分。
实施例七
本实施例与实施例一相同的特征不再赘述,本实施例与实施例一不同的特征在于:
依据用户历史数据建立时间节点、登录IP所属城市、两地登录速度、登录尝试次数4个维度。
登录数据依据权重评分或/和异常检测算法的结果,筛选出高分命中的数据进行调查,判断是否为异常登录,
将登录数据录入下述登录记录最终异常得分求解公式中进行权重评分:
该登录记录最终异常得分=0.4×(时间节点的异常指数)+0.9×(登录IP所属城市的异常指数)+0.8×(两地登录速度的异常指数)+1×(登录尝试次数的异常指数),
每个维度已各自设置异常指数为0-100%。
本实施例的登录异常检测系统,包括:
采集单元,用于获取用户历史预设时间区段内的登录数据;
维度建立单元,用于根据所述登录数据生成基于登录的时间节点、登录IP所属城市、两地登录速度、登录尝试次数的登录异常指数;
异常评估单元,用于获取新的登录数据,结合最新登录数据的维度及该维度对应的所述登录异常指数,生成异常得分。
本实施例的登录异常检测设备,包括存储有计算机程序的计算机可读介质,所述程序被运行用于执行:
获取用户历史预设时间区段内的登录数据;
根据所述登录数据生成基于登录的时间节点、登录IP所属城市、两地登录速度、登录尝试次数的登录异常指数;
获取新的登录数据,结合最新登录数据的维度及该维度对应的所述登录异常指数,生成异常得分。
实施例八
本实施例与实施例一相同的特征不再赘述,本实施例与实施例一不同的特征在于:
依据用户历史数据建立时间节点、两地登录速度、登录尝试次数3个维度。
登录数据依据权重评分或/和异常检测算法的结果,筛选出高分命中的数据进行调查,判断是否为异常登录,
将登录数据录入下述登录记录最终异常得分求解公式中进行权重评分:
该登录记录最终异常得分=0.9×(时间节点的异常指数)+0.8×(两地登录速度的异常指数)+1×(登录尝试次数的异常指数),
每个维度已各自设置异常指数为0-100%。
本实施例的登录异常检测系统,包括:
采集单元,用于获取用户历史预设时间区段内的登录数据;
维度建立单元,用于根据所述登录数据生成基于登录的时间节点、两地登录速度、登录尝试次数的登录异常指数;
异常评估单元,用于获取新的登录数据,结合最新登录数据的维度及该维度对应的所述登录异常指数,生成异常得分。
本实施例的登录异常检测设备,包括存储有计算机程序的计算机可读介质,所述程序被运行用于执行:
获取用户历史预设时间区段内的登录数据;
根据所述登录数据生成基于登录的时间节点、两地登录速度、登录尝试次数的登录异常指数;
获取新的登录数据,结合最新登录数据的维度及该维度对应的所述登录异常指数,生成异常得分。
实施例九
本实施例与实施例一相同的特征不再赘述,本实施例与实施例一不同的特征在于:
依据用户历史数据建立时间节点、登录IP所属城市2个维度。
登录数据依据权重评分或/和异常检测算法的结果,筛选出高分命中的数据进行调查,判断是否为异常登录,
将登录数据录入下述登录记录最终异常得分求解公式中进行权重评分:
该登录记录最终异常得分=0.8×(时间节点的异常指数)+1×(登录IP所属城市的异常指数),
每个维度已各自设置异常指数为0-100%。
本实施例的登录异常检测系统,包括:
采集单元,用于获取用户历史预设时间区段内的登录数据;
维度建立单元,用于根据所述登录数据生成基于登录的时间节点、登录IP所属城市的登录异常指数;
异常评估单元,用于获取新的登录数据,结合最新登录数据的维度及该维度对应的所述登录异常指数,生成异常得分。
本实施例的登录异常检测设备,包括存储有计算机程序的计算机可读介质,所述程序被运行用于执行:
获取用户历史预设时间区段内的登录数据;
根据所述登录数据生成基于登录的时间节点、登录IP所属城市的登录异常指数;
获取新的登录数据,结合最新登录数据的维度及该维度对应的所述登录异常指数,生成异常得分。
实施例十
本实施例与实施例一相同的特征不再赘述,本实施例与实施例一不同的特征在于:
依据用户历史数据建立时间节点、时间类型。
登录数据依据权重评分或/和异常检测算法的结果,筛选出高分命中的数据进行调查,判断是否为异常登录,
将登录数据录入下述登录记录最终异常得分求解公式中进行权重评分:
该登录记录最终异常得分=0.8×(时间节点的异常指数)+1×(时间类型的异常指数),
每个维度已各自设置异常指数为0-100%。
本实施例的登录异常检测系统,包括:
采集单元,用于获取用户历史预设时间区段内的登录数据;
维度建立单元,用于根据所述登录数据生成基于登录的时间节点、时间类型的登录异常指数;
异常评估单元,用于获取新的登录数据,结合最新登录数据的维度及该维度对应的所述登录异常指数,生成异常得分。
本实施例的登录异常检测设备,包括存储有计算机程序的计算机可读介质,所述程序被运行用于执行:
获取用户历史预设时间区段内的登录数据;
根据所述登录数据生成基于登录的时间节点、时间类型的登录异常指数;
获取新的登录数据,结合最新登录数据的维度及该维度对应的所述登录异常指数,生成异常得分
实施例十一
本实施例与实施例一相同的特征不再赘述,本实施例与实施例一不同的特征在于:
依据用户历史数据建立时间节点、时间类型、登录IP所属城市、两地登录速度、两次登录时间间隔、登录尝试次数6个维度。
登录数据依据权重评分或/和异常检测算法的结果,筛选出高分命中的数据进行调查,判断是否为异常登录,
将登录数据录入下述登录记录最终异常得分求解公式中进行权重评分:
该登录记录最终异常得分=0.2×(时间节点的异常指数)+0.1×(时间类型的异常指数)+0.9×(登录IP所属城市的异常指数)+0.9×(两地登录速度的异常指数)+0.8×(两次登录时间间隔的异常指数)+1×(登录尝试次数的异常指数),
每个维度已各自设置异常指数为0-100%。
实施例十二
本实施例与实施例一相同的特征不再赘述,本实施例与实施例一不同的特征在于:
1时间节点维度
4)按照工号统计过去半年登录次数的平均值(mean)以及标准差(sd);
5)从0点开始遍历各小时点:
定义各个账号的最低登录次数Count=mean-2×sd;
7)当对用户的新登录数据进行处理时:
如果该时间节点离最近的一个1或2标签,距离1到2个小时,异常值设置为60%;
距离3个小时,异常值设置为85%;
距离4个小时以上设置为100%。
2时间类型维度
7)当对用户的新登录数据进行处理时:
如果登录IP所映射的日期类型为第二习惯登录,则该登录的异常指数为60%;
如果登录IP所映射的日期类型为第三习惯登录,则该登录的异常指数为85%;
如果登录IP所映射的日期为非习惯性登录,则该登录的异常指数为100%。
3登录IP所属城市维度
7)当对用户的新登录数据进行处理时:
如果登录IP所映射的城市为第二习惯登录IP所属城市,则该登录的异常指数为60%;
如果登录IP所映射的城市为第三习惯登录IP所属城市,则该登录的异常指数为85%;
如果登录IP所映射的城市为非习惯登录IP所属城市,则该登录的异常指数为100%。
4两地登录速度维度
100KM/H≤用户两地登录速度<120KM/H,则该登录的异常指数为60%;
120KM/H≤用户两地登录速度<150KM/H,则该登录的异常指数为85%;
用户两地登录速度≥150KM/H,则该登录的异常指数为100%。
5两次登录时间间隔维度
3个月≤用户当次登录时间–用户上次登录时间<6个月,则登录异常指数为85%;
2个月≤用户当次登录时间–用户上次登录时间<3个月,则登录异常指数为60%;
6登录前的尝试-登录尝试次数维度
如果上次登录成功后本次登录成功前失败登录尝试超过10次,则异常指数为85%;
如果上次登录成功后本次登录成功前失败登录尝试超过5次,则异常指数为60%;
注:过往的统计数据需要跟随新数据的变化而变化,按周更新。
登录数据依据权重评分或/和异常检测算法的结果,筛选出高分命中的数据进行调查,判断是否为异常登录,
将登录数据录入下述登录记录最终异常得分求解公式中进行权重评分:
该登录记录最终异常得分=0.7×(时间节点的异常指数)+0.7×(时间类型的异常指数)+0.9×(登录IP所属城市的异常指数)+0.4×(两地登录速度的异常指数)+0.3×(两次登录时间间隔的异常指数)+0.3×(登录尝试次数的异常指数)。
每个维度已各自设置异常指数为0-100%。
登录数据异常检测算法为:
当每个维度的异常指数均低于0.2时,登录无异常,
当其中至少一个维度的异常指数≥0.2时,通过IFOREST函数计算登录数据评分。
实施例十三
本实施例与实施例一相同的特征不再赘述,本实施例与实施例一不同的特征在于:
1时间节点维度
4)按照工号统计过去半年登录次数的平均值(mean)以及标准差(sd);
5)从0点开始遍历各小时点:
定义各个账号的最低登录次数Count=mean。
登录数据异常检测算法为:
当每个维度的异常指数均低于0.8时,登录无异常,
当其中至少一个维度的异常指数≥0.8时,通过IFOREST函数计算登录数据评分。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离所述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能。
Claims (17)
1.一种登录异常检测方法,其特征是,包括以下步骤:
获取用户历史预设时间区段内的登录数据;
根据所述登录数据生成基于登录的时间节点、时间类型、登录IP所属城市、两地登录速度、两次登录时间间隔、登录尝试次数中至少两维度的登录异常指数,其中,登录的时间节点维度必须存在;
获取新的登录数据,结合最新登录数据的维度及该维度对应的所述登录异常指数,生成异常得分,
其中,基于登录的时间节点的异常指数的生成时,将根据用户在历史预设时间区段内的成功登录数据按照时间节点顺序创建的登录习惯表与获取的最新的登录数据的时间节点对比,
其中,按照时间节点顺序创建登录习惯表包括,
获取历史预设时间区段内用户各时间节点中最低登录次数;
遍历各时间节点,将各时间节点的登录次数与最低登录次数对比,
若大于等于最低登录次数,则将该时间节点标记为第一标识;
若小于最低登录次数,且相邻的时间节点为第一标识,则将该时间节点标记为第一标识;
生成习惯表。
2.根据权利要求1所述的登录异常检测方法,其特征是,
若最新登录数据所在时间节点与登录习惯表上的时间节点的正常值的时长间隔大于预设阈值,则为异常登录并生成异常指数;
若最新登录数据所在时间节点与登录习惯表上的时间节点的正常值的时长间隔小于等于预设阈值,则为正常登录。
3.根据权利要求1所述的登录异常检测方法,其特征是,在生成习惯表之前还包括,
查找未标记第一标识的孤立的时间节点;
获取孤立的时间节点的位置,判断该时间节点是否位于两第一标识之间;
若是,则将该孤立的时间节点标记为第二标识;
若否,则将该孤立的时间节点标记为第三标识。
4.根据权利要求3所述的登录异常检测方法,其特征是,若最新登录数据所在时间节点与登录习惯表上的时间节点的正常值的距离大于预设阈值,则为异常登录并生成异常指数,包括
判断该最新登录时间节点距离第一标识或第二标识是否在预设的时长范围内,若超过预设时长范围则为异常,并根据其超出预设时长范围的时长距离生成异常指数。
5.根据权利要求3所述的登录异常检测方法,其特征是,若最新登录数据所在时间节点与登录习惯表上的时间节点的正常值的距离小于等于预设阈值,包括
判断该最新登录时间节点距离第一标识或第二标识是否在预设的时长范围内,若未超过预设时长范围则为正常。
6.根据权利要求1所述的登录异常检测方法,其特征是,
基于时间类型的异常指数的生成包括,
获取用户在预设历史时间区段内的成功登录数据;
将预设历史时间区段映射为工作日类型、全息日类型及节假日类型;
计算各日期类型的登录比例,生成登录习惯类型;
获取最新登录数据所属的日期类型;
将最新登录类型与登录习惯类型对比,并生成基于时间类型的登录异常指数。
7.根据权利要求6所述的登录异常检测方法,其特征是,所述生成登录习惯类型包括,
将各日期类型登录比例与登录平均值比较;
若该日期类型的登录比例大于所述登录平均值,则生成第一习惯登录类型;
若该日期类型的登录比例小于等于所述登录平均值,则生成非第一习惯登录类型。
8.根据权利要求7所述的登录异常检测方法,其特征是,将最新登录类型与登录习惯类型对比,并生成基于时间类型的登录异常指数,包括,
将最新登录数据所属日期类型与登录习惯类型对比;
若最新登录数据所属的日期类型为第一习惯登录类型,则为正常;若最新登录数据所属的日期类型为非第一习惯登录类型,则为异常,并根据距离所述登录平均值的数值间隔,生成异常指数。
9.根据权利要求1所述的登录异常检测方法,其特征是,
基于两次登录时间间隔异常指数的生成包括,
获取最新登录与上次登录的时间间隔;
若两次登录的时间间隔小于预设的阈值,则为正常;
若两次登录的时间间隔大于预设的阈值,则为异常,并根据距离阈值的时长生成异常指数。
10.根据权利要求1所述的登录异常检测方法,其特征是,
基于登录IP所属城市异常指数的生成包括:
获取用户历史预设时间区段内的登录数据;
获取用户发生过登录操作的城市,并生成各城市登录比例及用户登录平均值;
将各城市的登录比例与用户登录平均值进行对比,生成习惯登录IP所属城市;
获取最新登录IP所属的城市;
将该最新登录IP所属的城市与习惯登录IP所属城市对比,并生成基于登录IP所属城市的异常指数。
11.根据权利要求10所述的登录异常检测方法,其特征是,所述生成习惯登录IP所属城市包括,
对比各城市的登录比例与平均值;
若该登录IP所属城市的登录比例大于平均值,则为第一习惯登录IP所属城市;若该登录IP所属城市的登录比例小于等于平均值,则为非第一习惯登录IP所属城市。
12.根据权利要求11所述的登录异常检测方法,其特征是,所述生成基于登录IP所属城市的异常指数包括,
将最新登录IP所属城市与登录习惯城市对比,若最新登录操作发生在第一习惯登录IP所属城市,则为正常;若登录操作发生在非第一习惯登录IP所属城市,则为异常,并根据距离所述平均值的数值间隔,生成异常指数。
13.根据权利要求1所述的登录异常检测方法,其特征是,
基于两地登录速度异常指数的生成包括如下步骤:
获取用户两地登录速度,用户两地登录速度=|用户上一次登录IP所属城市-用户本次登录IP所属城市|÷|用户上一次登录时间-用户本次登录时间|;
将用户两地登录速度与预设速度阈值比较,
若用户两地登录速度小于等于预设速度阈值则正常,
若用户两地登录速度大于预设速度阈值则为异常,根据用户两地登录速度与预设速度阈值之间的数值间隔生成异常指数。
14.根据权利要求1所述的登录异常检测方法,其特征是,
基于登录尝试次数异常指数的获取包括:
获取距上次登录成功后,最新登录成功前失败登录尝试次数;
若该失败登录尝试次数小于预设的阈值,则为正常;
若该失败登录尝试次数大于预设的阈值,则为异常,并根据距离阈值的数值间隔生成异常指数。
15.根据权利要求1-14任一所述的登录异常检测方法,其特征是,
结合最新登录数据的维度及该维度对应的所述登录异常指数通过下述权重评分或/和异常检测算法的计算公式,生成异常得分,
权重评分=a1×(时间节点异常指数)+a2×(时间类型异常指数)+a3×(登录IP所属城市异常指数)+a4×(两地登录速度异常指数)+a5×(两次登录时间间隔异常指数)+a6×(登录尝试次数异常指数),
每个维度的异常指数取值为0-100%,a1-6取值为0-1,
登录数据异常检测算法为:
当每个维度的异常指数均小于阈值时,登录无异常,
当其中至少一个维度的异常指数大于阈值时,则输入IFOREST函数计算异常得分。
16.一种登录异常检测系统,其特征是,包括:
采集单元,用于获取用户历史预设时间区段内的登录数据;
维度建立单元,用于根据所述登录数据生成基于登录的时间节点、时间类型、登录IP所属城市、两地登录速度、两次登录时间间隔、登录尝试次数中至少两维度的登录异常指数,其中,登录的时间节点维度必须存在;
异常评估单元,用于获取新的登录数据,结合最新登录数据的维度及该维度对应的所述登录异常指数,生成异常得分,
其中,基于登录的时间节点的异常指数的生成时,将根据用户在历史预设时间区段内的成功登录数据按照时间节点顺序创建的登录习惯表与获取的最新的登录数据的时间节点对比,
其中,按照时间节点顺序创建登录习惯表包括,
获取历史预设时间区段内用户各时间节点中最低登录次数;
遍历各时间节点,将各时间节点的登录次数与最低登录次数对比,
若大于等于最低登录次数,则将该时间节点标记为第一标识;
若小于最低登录次数,且相邻的时间节点为第一标识,则将该时间节点标记为第一标识;
生成习惯表。
17.一种登录异常检测设备,其特征是,包括存储有计算机程序的计算机可读介质,所述程序被运行用于执行:
获取用户历史预设时间区段内的登录数据;
根据所述登录数据生成基于登录的时间节点、时间类型、登录IP所属城市、两地登录速度、两次登录时间间隔、登录尝试次数中至少两维度的登录异常指数,其中,登录的时间节点维度必须存在;
获取新的登录数据,结合最新登录数据的维度及该维度对应的所述登录异常指数,生成异常得分,
其中,基于登录的时间节点的异常指数的生成时,将根据用户在历史预设时间区段内的成功登录数据按照时间节点顺序创建的登录习惯表与获取的最新的登录数据的时间节点对比,
其中,按照时间节点顺序创建登录习惯表包括,
获取历史预设时间区段内用户各时间节点中最低登录次数;
遍历各时间节点,将各时间节点的登录次数与最低登录次数对比,
若大于等于最低登录次数,则将该时间节点标记为第一标识;
若小于最低登录次数,且相邻的时间节点为第一标识,则将该时间节点标记为第一标识;
生成习惯表。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710579217.6A CN107172104B (zh) | 2017-07-17 | 2017-07-17 | 一种登录异常检测方法、系统及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710579217.6A CN107172104B (zh) | 2017-07-17 | 2017-07-17 | 一种登录异常检测方法、系统及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107172104A CN107172104A (zh) | 2017-09-15 |
CN107172104B true CN107172104B (zh) | 2019-12-27 |
Family
ID=59816959
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710579217.6A Active CN107172104B (zh) | 2017-07-17 | 2017-07-17 | 一种登录异常检测方法、系统及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107172104B (zh) |
Families Citing this family (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109698809B (zh) * | 2017-10-20 | 2021-04-02 | 中移(苏州)软件技术有限公司 | 一种账号异常登录的识别方法及装置 |
CN107743129A (zh) * | 2017-11-02 | 2018-02-27 | 深圳市金立通信设备有限公司 | 动态分配Cookie过期时间的方法、终端及计算机可读存储介质 |
CN108090332A (zh) * | 2017-12-06 | 2018-05-29 | 国云科技股份有限公司 | 一种基于用户登录行为分析的风控方法 |
CN107911396B (zh) * | 2017-12-30 | 2020-12-15 | 世纪龙信息网络有限责任公司 | 登录异常检测方法和系统 |
CN110213199B (zh) * | 2018-02-28 | 2022-05-13 | 中国移动通信集团有限公司 | 一种撞库攻击监控方法、装置、系统及计算机存储介质 |
CN108521402B (zh) * | 2018-03-07 | 2021-01-22 | 创新先进技术有限公司 | 一种输出标签的方法、装置及设备 |
CN108711013A (zh) * | 2018-05-24 | 2018-10-26 | 深圳市买买提信息科技有限公司 | 异常行为确定方法、装置、设备及存储介质 |
CN108777873B (zh) * | 2018-06-04 | 2021-03-02 | 江南大学 | 基于加权混合孤立森林的无线传感网络异常数据检测方法 |
CN108989150B (zh) * | 2018-07-19 | 2021-03-26 | 新华三信息安全技术有限公司 | 一种登录异常检测方法及装置 |
CN109889485A (zh) * | 2018-12-28 | 2019-06-14 | 顺丰科技有限公司 | 一种用户异常操作行为检测方法、系统及存储介质 |
CN109905369B (zh) * | 2019-01-24 | 2022-11-04 | 平安科技(深圳)有限公司 | 员工账号被盗的预警方法、装置及计算机可读存储介质 |
CN110011992B (zh) * | 2019-03-25 | 2022-07-26 | 联想(北京)有限公司 | 系统登录方法及电子设备 |
CN110618977B (zh) * | 2019-09-12 | 2023-10-31 | 腾讯科技(深圳)有限公司 | 登录异常检测方法、装置、存储介质和计算机设备 |
CN110784470B (zh) * | 2019-10-30 | 2022-10-11 | 上海观安信息技术股份有限公司 | 一种用户异常登录的确定方法及装置 |
CN111311285A (zh) * | 2020-02-21 | 2020-06-19 | 深圳壹账通智能科技有限公司 | 一种防止用户非法登录的方法、装置、设备和存储介质 |
CN112016081B (zh) * | 2020-08-31 | 2021-09-21 | 贝壳找房(北京)科技有限公司 | 标识映射的实现方法、装置、介质和电子设备 |
CN112487210A (zh) * | 2020-12-14 | 2021-03-12 | 每日互动股份有限公司 | 异常设备识别方法、电子设备和介质 |
CN113497807A (zh) * | 2021-07-09 | 2021-10-12 | 深圳竹云科技有限公司 | 检测用户登录风险的方法、装置及计算机可读存储介质 |
CN114817881A (zh) * | 2022-06-29 | 2022-07-29 | 深圳竹云科技股份有限公司 | 账号异常的检测方法、装置、计算机设备和存储介质 |
CN115296855B (zh) * | 2022-07-11 | 2023-11-07 | 绿盟科技集团股份有限公司 | 一种用户行为基线生成方法及相关装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102325062A (zh) * | 2011-09-20 | 2012-01-18 | 北京神州绿盟信息安全科技股份有限公司 | 异常登录检测方法及装置 |
CN103532797A (zh) * | 2013-11-06 | 2014-01-22 | 网之易信息技术(北京)有限公司 | 一种用户登录异常监测方法和装置 |
CN104796275A (zh) * | 2014-01-21 | 2015-07-22 | 腾讯科技(深圳)有限公司 | 异常状态处理方法、系统及装置 |
CN105471819A (zh) * | 2014-08-19 | 2016-04-06 | 腾讯科技(深圳)有限公司 | 账号异常检测方法及装置 |
CN106357657A (zh) * | 2016-09-29 | 2017-01-25 | 广州鹤互联网科技有限公司 | 一种签核发起用户管理方法和设备 |
CN106657073A (zh) * | 2016-12-26 | 2017-05-10 | 北京五八信息技术有限公司 | 筛选异常登录用户的方法及系统 |
-
2017
- 2017-07-17 CN CN201710579217.6A patent/CN107172104B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102325062A (zh) * | 2011-09-20 | 2012-01-18 | 北京神州绿盟信息安全科技股份有限公司 | 异常登录检测方法及装置 |
CN103532797A (zh) * | 2013-11-06 | 2014-01-22 | 网之易信息技术(北京)有限公司 | 一种用户登录异常监测方法和装置 |
CN104796275A (zh) * | 2014-01-21 | 2015-07-22 | 腾讯科技(深圳)有限公司 | 异常状态处理方法、系统及装置 |
CN105471819A (zh) * | 2014-08-19 | 2016-04-06 | 腾讯科技(深圳)有限公司 | 账号异常检测方法及装置 |
CN106357657A (zh) * | 2016-09-29 | 2017-01-25 | 广州鹤互联网科技有限公司 | 一种签核发起用户管理方法和设备 |
CN106657073A (zh) * | 2016-12-26 | 2017-05-10 | 北京五八信息技术有限公司 | 筛选异常登录用户的方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN107172104A (zh) | 2017-09-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107172104B (zh) | 一种登录异常检测方法、系统及设备 | |
US7234166B2 (en) | Event sequence detection | |
US7649853B1 (en) | Method for keeping and searching network history for corrective and preventive measures | |
EP2692119B1 (en) | Non-existent domain names traffic analysis | |
US20050182780A1 (en) | Data de-duplication | |
US7702078B2 (en) | Method, system and computer program product for facilitating the analysis of automatic line insulation testing data | |
US8494911B2 (en) | Dashboard maintenance/outage correlation | |
CN107357712B (zh) | 一种查单异常检测方法、系统及设备 | |
CN114978568A (zh) | 使用机器学习进行数据中心管理 | |
CN110990242B (zh) | 一种用户操作次数波动异常的确定方法及装置 | |
CN114679327B (zh) | 网络攻击等级确定方法、装置、计算机设备和存储介质 | |
CN112887208B (zh) | 一种路由泄露检测方法、装置及设备 | |
CN116015983B (zh) | 一种基于数字孪生体的网络安全漏洞分析方法及系统 | |
CN107395585B (zh) | 一种基于时间节点的异常指数的获取方法、系统及设备 | |
CN117176441A (zh) | 一种网络设备安全日志事件检测系统、方法 | |
Hong et al. | Data Auditing for Intelligent Network Security Monitoring | |
CN107026761A (zh) | 一种确定告警源的方法及装置 | |
CN106874423A (zh) | 搜索控制方法和系统 | |
CN107622065B (zh) | 一种数据处理方法及服务器 | |
CN110995465A (zh) | 信通点位全景视图信息运维方法及系统 | |
CN104010048B (zh) | 用于ip地址管理的设备和方法 | |
CN113132301B (zh) | 异常数据汇集的检测方法、装置和计算机存储介质 | |
US20050267966A1 (en) | Methods, systems and computer program products for auditing network device configurations | |
CN117494146B (zh) | 一种模型数据库管理系统 | |
Gitzel et al. | A data quality metrics hierarchy for reliability data |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |