CN107911396B - 登录异常检测方法和系统 - Google Patents
登录异常检测方法和系统 Download PDFInfo
- Publication number
- CN107911396B CN107911396B CN201711489461.XA CN201711489461A CN107911396B CN 107911396 B CN107911396 B CN 107911396B CN 201711489461 A CN201711489461 A CN 201711489461A CN 107911396 B CN107911396 B CN 107911396B
- Authority
- CN
- China
- Prior art keywords
- login
- address
- account
- target
- information characteristic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 94
- 230000002159 abnormal effect Effects 0.000 claims abstract description 146
- 230000005856 abnormality Effects 0.000 claims abstract description 59
- 238000000034 method Methods 0.000 claims abstract description 21
- 238000012545 processing Methods 0.000 claims description 17
- 238000004590 computer program Methods 0.000 claims description 9
- 238000012795 verification Methods 0.000 claims description 5
- 230000000694 effects Effects 0.000 abstract description 33
- 239000003795 chemical substances by application Substances 0.000 description 10
- 238000010586 diagram Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 235000016709 nutrition Nutrition 0.000 description 2
- 238000007619 statistical method Methods 0.000 description 2
- 230000004931 aggregating effect Effects 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种登录异常检测方法和系统、计算机存储介质及设备,其中方法包括:获取在预设时间范围内通过目标IP地址登录的登录信息特征值,将所述登录信息特征值与参考值进行比较,若所述登录信息特征值超过参考值,则获取所述登录信息特征值对应的异常分值,若所述异常分值超过第一阈值,则确定所述目标IP地址存在登录异常。通过本技术方案,根据IP地址一定时间范围内登录的登录信息,综合判断IP地址异常情况,不受账户登录设备影响,提高了登录异常检测的检测效果。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种登录异常检测方法和系统。
背景技术
随着互联网的急速发展,互联网账户的安全问题越来越严重。针对账户安全受攻击的问题,一般的应对方法是对账户登录的安全性进行检测,当发现账户存在登录异常时,则对账户进行安全验证或安全处理。
目前,互联网账户登录异常的检测方法一般是对账户登录设备进行检测,根据登录设备的情况判定账户是否存在登录异常。然而,每当账户切换登录设备或者是设备更新时,都有可能触发异常检测,而且部分账户本身并不绑定登录设备,无法识别其唯一身份,因此,目前采用的登录异常检测方法存在检测效果差的技术问题。
发明内容
基于此,有必要针对上述目前采用的登录异常检测方法检测效果差的技术问题,提供一种登录异常检测方法和系统、计算机存储介质及设备。
一种登录异常检测方法,包括以下步骤:
获取在预设时间范围内通过目标IP地址登录的登录信息特征值;
将所述登录信息特征值与参考值进行比较,若所述登录信息特征值超过参考值,则获取所述登录信息特征值对应的异常分值;
若所述异常分值超过第一阈值,则确定所述目标IP地址存在登录异常。
上述登录异常检测方法,通过获取预设时间范围内通过目标IP地址登录的登录信息特征值,将该特征值与参考值进行比较,若特征值超过参考值,则获取登录信息特征值对应的异常分值,当异常分值超过第一阈值则确定目标IP地址存在登录异常,根据IP地址一定时间范围内登录的登录信息,综合判断IP地址异常情况,不受账户登录设备影响,提高了登录异常检测方法的检测效果。
在其中一个实施例中,所述登录信息特征值包括账户登录量、账户用户代理相似度、账户异地登录量、账户登录失败量、账户密码相似度和账户账号相似度中的至少一种;
若账户登录量、账户用户代理相似度、账户异地登录量、账户登录失败量、账户密码相似度和账户账号相似度中的任意一种登录信息特征值超过对应的第二阈值,则确认所述目标IP地址存在登录异常。
通过根据在目标IP地址登录的登录信息特征值,若任意一个特征值出现高度异常,则确定IP地址存在登录异常,提高了登录异常检测的检测效果和效率。
在其中一个实施例中,所述登录信息特征值的数量为多个,所述登录异常检测方法还包括以下步骤:
根据各个登录信息特征值分别获取对应的异常分值,并根据各个所述异常分值计算总异常分值,若所述总异常分值超过所述第一阈值,则确定所述目标IP地址存在登录异常。
通过结合各个登录信息特征值所对应的异常分值,综合判定IP地址的异常情况,提高了登录异常检测方法的检测准确度和效果。
在其中一个实施例中,若所述登录信息特征值超过参考值,则获取所述登录信息特征值对应的异常分值的步骤包括:
获取所述登录信息特征值对应的类型;
若所述登录信息特征值的数值超过对应的参考值,则根据所述类型获取所述登录信息特征值对应的异常分值。
通过根据不同的登录信息的类型确定对应的异常分值,即根据不同类型的登录信息在判定IP地址异常情况中的权重不同,进一步提高综合判定IP地址的异常情况的准确性,提高登录异常检测方法的检测效果。
在其中一个实施例中,在获取在预设时间范围内通过目标IP地址登录的登录信息特征值的步骤之后,还包括:
若所述账户登录量高于对应的参考值且低于所述第二阈值,则获取所述目标IP地址的账户访问量;
若所述账户访问量高于第三阈值,则确定所述目标IP地址存在登录异常。
通过结合账户登录量和账户访问量,确定IP地址的登录异常情况,提高了登录异常检测方法的检测准确性和效果。
在其中一个实施例中,在获取在预设时间范围内通过目标IP地址登录的登录信息特征值的步骤之后,还包括:
若所述账户登录量超过对应的参考值且所述账户密码相似度超过对应的参考值,则获取所述目标IP地址中各个登录账户的登录失败率,根据各个所述登录失败率计算所述目标IP地址的平均登录失败率;
根据所述平均登录失败率确认所述目标IP地址的登录异常类型。
通过根据IP地址下各个登录账户的登录失败率计算平均登录失败率,从而可确定IP地址的登录异常的类型,提高登录异常检测方法的检测效果。
在其中一个实施例中,在根据各个所述登录失败率计算所述目标IP地址的平均登录失败率的步骤之后,还包括:
若所述平均登录失败率低于第四阈值,则确定所述目标IP地址的登录异常类型为弱密码攻击;
或;
若所述平均登录失败率高于第四阈值,则确定所述目标IP地址的登录异常类型为养号。
通过根据平均登录失败率的数值,确认对应的IP地址的登录异常类型,进一步提高登录异常检测方法的检测效果。
在其中一个实施例中,还包括:
若确定所述目标IP地址的登录异常类型为弱密码攻击,则对所述目标IP地址进行验证码登录处理;
或;
若确定所述目标IP地址的登录异常类型为养号,则对所述目标IP地址进行限制登录处理。
通过根据不同的登录异常类型,进行不同的登录处理,提高账户登录的安全性,提高登录异常检测方法的检测效果。
在其中一个实施例中,获取在预设时间范围内通过目标IP地址登录的登录信息特征值的步骤包括:
获取在预设时间范围内通过目标IP地址登录的账户登录日志;
从所述账户登录日志中提取所述登录信息特征值。
通过获取用户登录的账户登录日志,从日志中提取登录信息特征值,不影响用户正常登录,并对异常情况进行实时分析,提高登录异常检测方法的检测效果。
一种登录异常检测系统,包括:
获取模块,用于获取在预设时间范围内通过目标IP地址登录的登录信息特征值;
比较模块,用于将所述登录信息特征值与参考值进行比较,若所述登录信息特征值超过参考值,则获取所述登录信息特征值对应的异常分值;
确定模块,用于若所述异常分值超过第一阈值,则确定所述目标IP地址存在登录异常。
上述登录异常检测系统,通过获取模块获取预设时间范围内通过目标IP地址登录的登录信息特征值,利用比较模块将该特征值与参考值进行比较,若特征值超过参考值,则获取登录信息特征值对应的异常分值,通过确定模块在异常分值超过第一阈值则确定目标IP地址存在登录异常,本系统根据IP地址一定时间范围内登录的登录信息,综合判断IP地址异常情况,不受账户登录设备影响,提高了登录异常检测方法的检测效果。
一种计算机存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现所述的登录异常检测方法。
上述计算机存储介质,通过其存储的计算机程序,提高了登录异常检测方法的检测效果。
一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现所述的登录异常检测方法。
上述计算机设备,通过所述处理器上运行的计算机程序,提高了登录异常检测的检测效果。
附图说明
图1为一个实施例的登录异常检测方法流程图;
图2为一个实施例的登录异常检测时序图;
图3为一个实施例的登录异常检测系统结构示意图。
具体实施方式
下面结合具体的实施例及附图对本发明的技术方案进行详细的描述,以使其更加清楚。
如图1所示,本发明实施例提供一种登录异常检测方法,可包括以下步骤:
S101:获取在预设时间范围内通过目标IP地址登录的登录信息特征值;
S102:将所述登录信息特征值与参考值进行比较,若所述登录信息特征值超过参考值,则获取所述登录信息特征值对应的异常分值;
S103:若所述异常分值超过第一阈值,则确定所述目标IP地址存在登录异常。
其中,登录信息特征值可包括账户登录量、账户用户代理相似度、账户异地登录量、账户登录失败量、账户密码相似度和账户账号相似度。在一定时间内,同一IP地址下若存在使用机器人进行大量操作时,登录信息特征值会存在异常情况。从而,获取在预设时间范围内通过IP地址登录的登录信息特征值,若其中任意一种登录信息特征值超过对应的第二阈值,即高度异常值,则确认该IP地址存在登录异常。通过根据在IP地址登录的登录信息特征值,若任意一个特征值出现高度异常,则确定IP地址存在登录异常,提高了登录异常检测的检测效果和效率。
在一个实施例中,获取10分钟内通过目标IP地址登录的登录信息特征值,其中账户登录量为100000,该账户登录量明显超过对应的第二阈值5000,从而认定账户登录量存在高度异常,确认目标IP地址存在登录异常。
同样地,在同一IP地址下的登录行为应是不同用户,而不同用户选择的登录设备是不同的,即对应的用户代理也不相同,因此,在短时间内同一IP地址下,账户用户代理相似度高于第二阈值,则可确认IP地址存在登录异常;而异常登录情况是根据账户预设的常用登录地或账户历史登录数据进行判断,在短时间内同一IP地址下的账户异地登录量超过对应的第二阈值,则可确认IP地址存在登录异常;在短时间内同一IP地址下的登录失败量、账户密码相似度和账户账号相似度超过第二阈值,即可确认IP地址存在登录异常。其中,对账户用户代理相似度、账户密码相似度和账户账号相似度的判定可在预设数量的账户登录量的基础上进行。
可选地,在步骤S101获取在预设时间范围内通过目标IP地址登录的登录信息特征值之后还可包括,获取的登录信息特征值包括账户登录量,若账户登录量高于对应的参考值且低于第二阈值,则获取目标IP地址的账户访问量,若账户访问量高于第三阈值,则确定所述目标IP地址存在登录异常。登录异常的IP地址当存在账户登录量高的情况下,同时会进行大量的访问,即出现高账户访问量,从而通过结合账户登录量和账户访问量确定IP地址的登录异常情况,提高了登录异常检测方法的检测准确性和效果。其中,若账户访问量低于第三阈值,则可认为IP地址不存在登录异常或再根据其他参数进行判定。
在一个实施例中,获取10分钟内通过目标IP地址登录的登录信息特征值,其中账户登录量为1500,该账户登录量超过对应的参考值500且低于对应的第二阈值5000,从而获取IP地址的账户访问量为1500000,账户访问量高于第三阈值150000,从而确定目标IP地址存在登录异常。
另外,获取的登录信息特征值的数量可为多个,则根据各个登录信息特征值分别获取对应的异常分值,并根据各个所述异常分值计算总异常分值,即进行加和计算总分值,若总异常分值超过第一阈值则确定目标IP地址存在登录异常。通过结合各个登录信息特征值所对应的异常分值,综合判定IP地址的异常情况,提高了登录异常检测方法的检测准确度和效果。其中,可通过统计分析根据IP地址的历史异常数据,根据历史异常数据确定第一阈值。
在一个实施例中,获取10分钟内通过IP地址登录的登录信息特征值,包括账户登录量1000、账户异地登录量500、账户登录失败量300和账户密码相似度40%,其中,各个登录信息特征值均超过对应的参考值,即账户登录量参考值500、账户异地登录量200、账户登录失败量100和账户密码相似度20%,从而获取各个登录信息特征值对应的异常分值为账户登录量异常分值1、账户异地登录量异常分值1、账户登录失败量异常分值1和账户密码相似度异常分值1,进行加和获取总异常分值为4,超过预设第一阈值3,从而确定IP地址存在登录异常。
进一步地,步骤S102登录信息特征值超过参考值,则获取登录信息特征值对应的分值可包括根据各个登录信息特征值对应的类型,确定登录信息特征值对应的异常分值,即为各个不同类型的登录信息特征值设置不同权重,从而根据不同的登录信息的类型确定对应的异常分值,进一步提高综合判定IP地址的异常情况的准确性,提高登录异常检测方法的检测效果。
在一个实施例中,获取10分钟内通过IP地址登录的登录信息特征值,包括账户登录量1000、账户登录失败量300和账户密码相似度40%,其中,各个登录信息特征值均超过对应的参考值,即账户登录量参考值500、账户登录失败量100和账户密码相似度20%,从而根据账户登录量的预设权重1,确定账户登录量异常分值为1,根据账户登录失败量的预设权重1确定账户登录失败量的异常分值为1,根据账户密码相似度的预设权重2确定账户密码相似度的异常分值为2,进行加和获取总异常分值为4,超过预设第一阈值3,从而确定IP地址存在登录异常。
其中,步骤S101获取在预设时间范围内通过目标IP地址登录的登录信息特征值可包括,获取目标IP地址下各个登录账户的登录失败率,根据各个登录失败率计算IP地址的平均登录失败率。进而可将平均登录失败率与对应的参考值进行比较,获取相应的异常分值,可根据平均登录失败率的数值高低,获取对应的异常分值,进而根据获取的其他多个登录信息特征值对应的异常分值,综合判断IP地址的登录异常情况。
在一个实施例中,获取10分钟内通过IP地址登录的登录信息特征值,包括账户登录量1000和账户登录失败量300,其中,各个登录信息特征值均超过对应的参考值,即账户登录量参考值500和账户登录失败量100,从而根据账户登录量的预设权重1确定账户登录量异常分值为1,根据账户登录失败量的预设权重1确定账户登录失败量的异常分值为1,获取IP地址下各个登录账户的登录失败率计算平均登录失败率为30%,处于预设平均失败率第二级别20%-40%,从而确定平均登录失败率异常分值2,进行加和获取总异常分值为4,超过预设第一阈值3,从而确定IP地址存在登录异常。其中,平均登录失败率的判定级别和对应异常分值可根据实际情况设定。
在步骤S103确定目标IP地址存在登录异常后,还可以判断登录异常的类型,可包括若账户登录量超过对应的参考值且账户密码相似度超过对应的参考值,则获取目标IP地址中各个登录账户的登录失败率,根据各个登录失败率计算目标IP地址的平均登录失败率,根据平均登录失败率确认目标IP地址的登录异常类型,通过根据IP地址下各个登录账户的登录失败率计算平均登录失败率,从而可确定IP地址的登录异常的类型,提高登录异常检测方法的检测效果。
在一个实施例中,确定目标IP地址存在登录异常,其中账户登录量超过对应的参考值且账户密码相似度超过对应的参考值,从而获取目标IP地址中各个登录账户的登录失败率,并计算IP地址的平均登录失败率为50%,该平均登录失败率高于第四阈值20%,从而确定目标IP地址的登录异常类型为弱密码攻击
在另一个实施例中,确定目标IP地址存在登录异常,其中账户登录量超过对应的参考值且账户密码相似度超过对应的参考值,从而获取目标IP地址中各个登录账户的登录失败率,并计算IP地址的平均登录失败率为15%,低于第四阈值20%,从而确定目标IP地址的登录异常类型为养号,即一种违背网络原则的作弊性的账户升级。
上述根据IP地址的平均登录失败率确定IP地址的登录异常类型,提高了登录异常检测方法的检测效果。
并且,在确定IP地址的登录异常类型之后,还可根据IP地址的登录异常类型,进行相应的登录处理。其中,若确定IP地址的登录异常类型为弱密码攻击,则对IP地址进行验证码登录处理,若确定IP地址的登录异常类型为养号,则对IP地址进行限制登录处理。通过根据不同的登录异常类型,进行不同的登录处理,提高账户登录的安全性,提高登录异常检测方法的检测效果。
在一个实施例中,获取在预设时间范围内通过目标IP地址登录的登录信息特征值的步骤,可包括获取在预设时间范围内通过目标IP地址登录的账户登录日志,从账户登录日志中提取所述登录信息特征值。通过获取用户登录的账户登录日志,从日志中提取登录信息特征值,不影响用户正常登录,并对异常情况进行实时分析,提高登录异常检测方法的检测效果。为使本实施例的技术方案更加清楚,提供如图2所示一个实施例的登录异常检测方法的时序图,其中包括:
步骤S201:检测到用户在目标IP地址下进行登录操作;
步骤S202:通过服务器集群获取预定时间内各个通过目标IP地址登录的账户;
步骤S203:根据各个账户的登录操作生成相应的账户登录日志;
步骤S204:采集服务器集群下的各个账户登录日志并进行聚合;
步骤S205:将聚合的各个日志数据进行分发;
步骤S206:对各个日志数据进行分析计算,并向服务器集群反馈异常情况;
其中,分析日志可使用flume+kafka+spark streming的实时流式处理架构,通过flume采集集群下各个日志并聚合至kafka,通过kafka分发至spark,利用spark对日志数据进行分析计算,从而获取登录异常情况。此处实时流式处理架构也可替换成storm等其他类似的中间件或者是直接提供接口,直接将相关的登录信息特征值上传后再进行分析。
上述任意一个实施例的登录异常检测方法,通过获取预设时间范围内通过目标IP地址登录的登录信息特征值,将该特征值与参考值进行比较,若特征值超过参考值,则获取登录信息特征值对应的异常分值,当异常分值超过第一阈值则确定目标IP地址存在登录异常,根据IP地址一定时间范围内登录的登录信息,综合判断IP地址异常情况,不受账户登录设备影响,提高了登录异常检测方法的检测效果,减少登录账户的安全风险。
有必要针对传统技术登录异常检测的检测效果差的问题,在一个实施例中,提供一种登录异常检测系统,参考图3,为一个实施例的登录异常检测系统的结构示意图,该系统可包括:
获取模块101,用于获取在预设时间范围内通过目标IP地址登录的登录信息特征值;
比较模块102,用于将所述登录信息特征值与参考值进行比较,若所述登录信息特征值超过参考值,则获取所述登录信息特征值对应的异常分值;
确定模块103,用于若所述异常分值超过第一阈值,则确定所述目标IP地址存在登录异常。
其中,登录信息特征值可包括账户登录量、账户用户代理相似度、账户异地登录量、账户登录失败量、账户密码相似度和账户账号相似度。在一定时间内,同一IP地址下若存在使用机器人进行大量操作时,登录信息特征值会存在异常情况。从而,获取模块101获取在预设时间范围内通过IP地址登录的登录信息特征值,利用比较模块102在若其中任意一种登录信息特征值超过对应的第二阈值,即高度异常值,则由确定模块103确认该IP地址存在登录异常。通过根据在IP地址登录的登录信息特征值,若任意一个特征值出现高度异常,则确定IP地址存在登录异常,提高了登录异常检测的检测效果和效率。
在一个实施例中,获取模块101获取10分钟内通过目标IP地址登录的登录信息特征值,其中账户登录量为100000,比较模块102比较到该账户登录量明显超过对应的第二阈值5000,从而确定模块103确定账户登录量存在高度异常,确认目标IP地址存在登录异常。
同样地,在同一IP地址下的登录行为应是不同用户,而不同用户选择的登录设备是不同的,即对应的用户代理也不相同,因此,在短时间内同一IP地址下,账户用户代理相似度高于第二阈值,则可确认IP地址存在登录异常;而异常登录情况是根据账户预设的常用登录地或账户历史登录数据进行判断,在短时间内同一IP地址下的账户异地登录量超过对应的第二阈值,则可确认IP地址存在登录异常;在短时间内同一IP地址下的登录失败量、账户密码相似度和账户账号相似度超过第二阈值,即可确认IP地址存在登录异常。其中,对账户用户代理相似度、账户密码相似度和账户账号相似度的判定可在预设数量的账户登录量的基础上进行。
可选地,获取模块101获取在预设时间范围内通过目标IP地址登录的登录信息特征值之后还可包括,获取的登录信息特征值包括账户登录量,从而比较模块102进行比较,若账户登录量高于对应的参考值且低于第二阈值,则获取目标IP地址的账户访问量,若账户访问量高于第三阈值,则通过确定模块103确定所述目标IP地址存在登录异常。登录异常的IP地址当存在账户登录量高的情况下,同时会进行大量的访问,即出现高账户访问量,从而通过结合账户登录量和账户访问量确定IP地址的登录异常情况,提高了登录异常检测方法的检测准确性和效果。其中,若账户访问量低于第三阈值,则可认为IP地址不存在登录异常或再根据其他参数进行判定。
在一个实施例中,获取模块101获取10分钟内通过目标IP地址登录的登录信息特征值,其中账户登录量为1500,比较模块102进行比较到该账户登录量超过对应的参考值500且低于对应的第二阈值5000,从而获取IP地址的账户访问量为1500000,账户访问量高于第三阈值150000,从而通过确定模块103确定目标IP地址存在登录异常。
另外,获取模块101获取的登录信息特征值的数量可为多个,则由比较模块102进行比较并根据各个登录信息特征值分别获取对应的异常分值,并根据各个所述异常分值计算总异常分值,即进行加和计算总分值,若总异常分值超过第一阈值则通过确定模块103确定目标IP地址存在登录异常。通过结合各个登录信息特征值所对应的异常分值,综合判定IP地址的异常情况,提高了登录异常检测方法的检测准确度和效果。其中,可通过统计分析根据IP地址的历史异常数据,根据历史异常数据确定第一阈值。
在一个实施例中,获取模块101获取10分钟内通过IP地址登录的登录信息特征值,包括账户登录量1000、账户异地登录量500、账户登录失败量300和账户密码相似度40%,其中,比较模块102进行比较,各个登录信息特征值均超过对应的参考值,即账户登录量参考值500、账户异地登录量200、账户登录失败量100和账户密码相似度20%,从而获取各个登录信息特征值对应的异常分值为账户登录量异常分值1、账户异地登录量异常分值1、账户登录失败量异常分值1和账户密码相似度异常分值1,进行加和获取总异常分值为4,超过预设第一阈值3,从而确定模块103确定IP地址存在登录异常。
进一步地,比较模块102实现登录信息特征值超过参考值,则获取登录信息特征值对应的分值的功能,还可包括根据各个登录信息特征值对应的类型,确定登录信息特征值对应的异常分值,即为各个不同类型的登录信息特征值设置不同权重,从而确定模块103根据不同的登录信息的类型确定对应的异常分值,进一步提高综合判定IP地址的异常情况的准确性,提高登录异常检测方法的检测效果。
在一个实施例中,获取模块101获取10分钟内通过IP地址登录的登录信息特征值,包括账户登录量1000、账户登录失败量300和账户密码相似度40%,其中,比较模块102将登陆信息特征值与对应的参考值进行比较,各个登录信息特征值均超过对应的参考值,即账户登录量参考值500、账户登录失败量100和账户密码相似度20%,从而根据账户登录量的预设权重1,确定账户登录量异常分值为1,根据账户登录失败量的预设权重1确定账户登录失败量的异常分值为1,根据账户密码相似度的预设权重2确定账户密码相似度的异常分值为2,进行加和获取总异常分值为4,超过预设第一阈值3,从而确定模块103确定IP地址存在登录异常。
其中,获取模块101实现获取在预设时间范围内通过目标IP地址登录的登录信息特征值的功能还可包括,获取目标IP地址下各个登录账户的登录失败率,根据各个登录失败率计算IP地址的平均登录失败率。进而比较模块102可将平均登录失败率与对应的参考值进行比较,获取相应的异常分值,可根据平均登录失败率的数值高低,获取对应的异常分值,进而根据获取的其他多个登录信息特征值对应的异常分值,由确定模块103综合判断IP地址的登录异常情况。
在一个实施例中,获取模块102获取10分钟内通过IP地址登录的登录信息特征值,包括账户登录量1000和账户登录失败量300,其中,比较模块102进行数值比较,各个登录信息特征值均超过对应的参考值,即账户登录量参考值500和账户登录失败量100,从而根据账户登录量的预设权重1确定账户登录量异常分值为1,根据账户登录失败量的预设权重1确定账户登录失败量的异常分值为1,获取IP地址下各个登录账户的登录失败率计算平均登录失败率为30%,处于预设平均失败率第二级别20%-40%,从而确定平均登录失败率异常分值2,进行加和获取总异常分值为4,超过预设第一阈值3,从而确定模块103确定IP地址存在登录异常。其中,平均登录失败率的判定级别和对应异常分值可根据实际情况设定。
在确定模块103确定目标IP地址存在登录异常后,还可以判断登录异常的类型,可包括若账户登录量超过对应的参考值且账户密码相似度超过对应的参考值,则通过获取模块101获取目标IP地址中各个登录账户的登录失败率,根据各个登录失败率计算目标IP地址的平均登录失败率,根据平均登录失败率确认目标IP地址的登录异常类型,通过根据IP地址下各个登录账户的登录失败率计算平均登录失败率,从而由确定模块103确定IP地址的登录异常的类型,提高登录异常检测方法的检测效果。
在一个实施例中,确定目标IP地址存在登录异常,其中账户登录量超过对应的参考值且账户密码相似度超过对应的参考值,从而获取模块101获取目标IP地址中各个登录账户的登录失败率,并计算IP地址的平均登录失败率为50%,比较模块102进行数值比较,平均登录失败率高于第四阈值20%,从而确定模块103确定目标IP地址的登录异常类型为弱密码攻击
在另一个实施例中,确定目标IP地址存在登录异常,其中账户登录量超过对应的参考值且账户密码相似度超过对应的参考值,从而获取模块101获取目标IP地址中各个登录账户的登录失败率,并计算IP地址的平均登录失败率为15%,比较模块102进行数值比较,平均登录失败率低于第四阈值20%,从而确定模块103确定目标IP地址的登录异常类型为养号。
上述确定模块103根据IP地址的平均登录失败率确定IP地址的登录异常类型,提高了登录异常检测方法的检测效果。
并且,在确定IP地址的登录异常类型之后,还可通过确定模块103根据IP地址的登录异常类型,进行相应的登录处理。其中,若确定IP地址的登录异常类型为弱密码攻击,则对IP地址进行验证码登录处理,若确定IP地址的登录异常类型为养号,则对IP地址进行限制登录处理。通过确定模块103根据不同的登录异常类型,进行不同的登录处理,提高账户登录的安全性,提高登录异常检测方法的检测效果。
在一个实施例中,获取模块101实现获取在预设时间范围内通过目标IP地址登录的登录信息特征值的功能,可包括获取在预设时间范围内通过目标IP地址登录的账户登录日志,从账户登录日志中提取所述登录信息特征值。通过获取用户登录的账户登录日志,从日志中提取登录信息特征值,不影响用户正常登录,并对异常情况进行实时分析,提高登录异常检测方法的检测效果。
上述任意一个实施例的登录异常检测系统,通过获取模块获取预设时间范围内通过目标IP地址登录的登录信息特征值,利用比较模块将该特征值与参考值进行比较,若特征值超过参考值,则获取登录信息特征值对应的异常分值,通过确定模块在异常分值超过第一阈值则确定目标IP地址存在登录异常,本系统根据IP地址一定时间范围内登录的登录信息,综合判断IP地址异常情况,不受账户登录设备影响,提高了登录异常检测方法的检测效果。
本发明的登录异常检测系统与本发明的登录异常检测方法一一对应,在上述登录异常检测方法的实施例阐述的技术特征及其有益效果均适用于登录异常检测系统的实施例中,特此声明。
本发明还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述任意实施例中的登录异常检测的方法。该计算机可读存储介质所执行的方法与上述实施例中的登录异常检测的方法相同,此处不再赘述。
计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
本发明还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述任意实施例中的登录异常检测的方法。该计算机设备中的处理器所执行的方法与上述实施例中的登录异常检测的方法相同,此处不再赘述。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (11)
1.一种登录异常检测方法,其特征在于,包括以下步骤:
获取在预设时间范围内通过目标IP地址登录的登录信息特征值,所述登录信息特征值包括账户登录量、账户用户代理相似度、账户异地登录量、账户登录失败量、账户密码相似度和账户账号相似度中的多个;
将所述登录信息特征值与参考值进行比较,若所述登录信息特征值超过参考值,则获取所述登录信息特征值对应的异常分值,根据各个所述异常分值计算总异常分值;
若所述总异常分值超过第一阈值,则确定所述目标IP地址存在登录异常;
所述第一阈值通过统计分析IP地址的历史异常数据确定。
2.根据权利要求1所述的登录异常检测方法,其特征在于,若账户登录量、账户用户代理相似度、账户异地登录量、账户登录失败量、账户密码相似度和账户账号相似度中的任意一种登录信息特征值超过对应的第二阈值,则确认所述目标IP地址存在登录异常。
3.根据权利要求1所述的登录异常检测方法,其特征在于,若所述登录信息特征值超过参考值,则获取所述登录信息特征值对应的异常分值的步骤包括:
获取所述登录信息特征值对应的类型;
若所述登录信息特征值的数值超过对应的参考值,则根据所述类型获取所述登录信息特征值对应的异常分值。
4.根据权利要求2所述的登录异常检测方法,其特征在于,在获取在预设时间范围内通过目标IP地址登录的登录信息特征值的步骤之后,还包括:
若所述账户登录量高于对应的参考值且低于所述第二阈值,则获取所述目标IP地址的账户访问量;
若所述账户访问量高于第三阈值,则确定所述目标IP地址存在登录异常。
5.根据权利要求2所述的登录异常检测方法,其特征在于,在获取在预设时间范围内通过目标IP地址登录的登录信息特征值的步骤之后,还包括:
若所述账户登录量超过对应的参考值且所述账户密码相似度超过对应的参考值,则获取所述目标IP地址中各个登录账户的登录失败率,根据各个所述登录失败率计算所述目标IP地址的平均登录失败率;
根据所述平均登录失败率确认所述目标IP地址的登录异常类型。
6.根据权利要求5所述的登录异常检测方法,其特征在于,在根据各个所述登录失败率计算所述目标IP地址的平均登录失败率的步骤之后,还包括:
若所述平均登录失败率高于第四阈值,则确定所述目标IP地址的登录异常类型为弱密码攻击;
或;
若所述平均登录失败率低于第四阈值,则确定所述目标IP地址的登录异常类型为养号。
7.根据权利要求6所述的登录异常检测方法,其特征在于,还包括:
若确定所述目标IP地址的登录异常类型为弱密码攻击,则对所述目标IP地址进行验证码登录处理;
或;
若确定所述目标IP地址的登录异常类型为养号,则对所述目标IP地址进行限制登录处理。
8.根据权利要求1至7任意一项所述的登录异常检测方法,其特征在于,获取在预设时间范围内通过目标IP地址登录的登录信息特征值的步骤包括:
获取在预设时间范围内通过目标IP地址登录的账户登录日志;
从所述账户登录日志中提取所述登录信息特征值。
9.一种登录异常检测系统,其特征在于,包括:
获取模块,用于获取在预设时间范围内通过目标IP地址登录的登录信息特征值,所述登录信息特征值包括账户登录量、账户用户代理相似度、账户异地登录量、账户登录失败量、账户密码相似度和账户账号相似度中的多个;
比较模块,用于将所述登录信息特征值与参考值进行比较,若所述登录信息特征值超过参考值,则获取所述登录信息特征值对应的异常分值,并根据各个所述异常分值计算总异常分值;
确定模块,用于若所述总异常分值超过第一阈值,则确定所述目标IP地址存在登录异常,所述第一阈值通过统计分析IP地址的历史异常数据确定。
10.一种存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时可实现如权利要求1至8中任一项所述的登录异常检测方法。
11.一种计算机设备,包括存储介质,处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如权利要求1至8中任一项所述的登录异常检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711489461.XA CN107911396B (zh) | 2017-12-30 | 2017-12-30 | 登录异常检测方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711489461.XA CN107911396B (zh) | 2017-12-30 | 2017-12-30 | 登录异常检测方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107911396A CN107911396A (zh) | 2018-04-13 |
| CN107911396B true CN107911396B (zh) | 2020-12-15 |
Family
ID=61872228
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711489461.XA Active CN107911396B (zh) | 2017-12-30 | 2017-12-30 | 登录异常检测方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107911396B (zh) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108667828A (zh) * | 2018-04-25 | 2018-10-16 | 咪咕文化科技有限公司 | 一种风险控制方法、装置及存储介质 |
| CN108768943B (zh) * | 2018-04-26 | 2020-06-26 | 腾讯科技(深圳)有限公司 | 一种检测异常账号的方法、装置及服务器 |
| CN110519208B (zh) * | 2018-05-22 | 2021-11-30 | 华为技术有限公司 | 异常检测方法、装置及计算机可读介质 |
| CN110798428A (zh) * | 2018-08-01 | 2020-02-14 | 深信服科技股份有限公司 | 一种账号暴力破解行为的检测方法、系统及相关装置 |
| CN108965330A (zh) * | 2018-08-27 | 2018-12-07 | 郑州云海信息技术有限公司 | 一种账号安全保护方法及系统 |
| CN109889485A (zh) * | 2018-12-28 | 2019-06-14 | 顺丰科技有限公司 | 一种用户异常操作行为检测方法、系统及存储介质 |
| CN111784375B (zh) * | 2019-04-04 | 2024-08-27 | 北京嘀嘀无限科技发展有限公司 | 用户类型识别方法、装置、电子设备和存储介质 |
| CN110460593B (zh) * | 2019-07-29 | 2021-12-14 | 腾讯科技(深圳)有限公司 | 一种移动流量网关的网络地址识别方法、装置及介质 |
| CN111064741A (zh) * | 2019-12-27 | 2020-04-24 | 全知科技(杭州)有限责任公司 | 一种识别web应用系统中账号借用风险的方法 |
| CN113810329B (zh) * | 2020-06-11 | 2023-09-29 | 中国科学院计算机网络信息中心 | 一种邮箱账号异常的检测方法及检测系统 |
| CN113810334B (zh) * | 2020-06-11 | 2023-05-02 | 中国科学院计算机网络信息中心 | 一种邮件系统异常ip的检测方法及检测系统 |
| CN113810328A (zh) * | 2020-06-11 | 2021-12-17 | 中国科学院计算机网络信息中心 | 异常账户确定方法、装置及存储介质 |
| CN111885001A (zh) * | 2020-06-24 | 2020-11-03 | 国家计算机网络与信息安全管理中心 | 异常登录行为识别方法、控制器及介质 |
| CN112003846B (zh) * | 2020-08-13 | 2023-02-03 | 广州市百果园信息技术有限公司 | 一种信用阈值的训练、ip地址的检测方法及相关装置 |
| CN113326507B (zh) * | 2021-05-31 | 2023-09-26 | 北京天融信网络安全技术有限公司 | 一种识别内网潜在威胁业务账号的方法及装置 |
| CN113315791A (zh) * | 2021-07-30 | 2021-08-27 | 杭州安恒信息技术股份有限公司 | 一种基于代理模块的主机防护方法和电子装置 |
| CN114172717A (zh) * | 2021-12-03 | 2022-03-11 | 武汉极意网络科技有限公司 | 一种基于事件追踪的账户风险评价方法 |
| CN116541815B (zh) * | 2023-07-06 | 2024-04-05 | 深圳市柏英特电子科技有限公司 | 一种计算机设备运维数据安全管理系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103532797A (zh) * | 2013-11-06 | 2014-01-22 | 网之易信息技术(北京)有限公司 | 一种用户登录异常监测方法和装置 |
| CN106209862A (zh) * | 2016-07-14 | 2016-12-07 | 微梦创科网络科技(中国)有限公司 | 一种盗号防御实现方法及装置 |
| CN107070940A (zh) * | 2017-05-03 | 2017-08-18 | 微梦创科网络科技(中国)有限公司 | 一种从流式登录日志中判断恶意登录ip地址的方法及装置 |
| CN107172104A (zh) * | 2017-07-17 | 2017-09-15 | 顺丰科技有限公司 | 一种登录异常检测方法、系统及设备 |
| CN107276982A (zh) * | 2017-05-08 | 2017-10-20 | 微梦创科网络科技(中国)有限公司 | 一种异常登录检测方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104426885B (zh) * | 2013-09-03 | 2019-04-16 | 深圳市腾讯计算机系统有限公司 | 异常账号提供方法及装置 |
| CN107046550B (zh) * | 2017-06-14 | 2020-07-07 | 微梦创科网络科技(中国)有限公司 | 一种异常登录行为的检测方法及装置 |
-
2017
- 2017-12-30 CN CN201711489461.XA patent/CN107911396B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103532797A (zh) * | 2013-11-06 | 2014-01-22 | 网之易信息技术(北京)有限公司 | 一种用户登录异常监测方法和装置 |
| CN106209862A (zh) * | 2016-07-14 | 2016-12-07 | 微梦创科网络科技(中国)有限公司 | 一种盗号防御实现方法及装置 |
| CN107070940A (zh) * | 2017-05-03 | 2017-08-18 | 微梦创科网络科技(中国)有限公司 | 一种从流式登录日志中判断恶意登录ip地址的方法及装置 |
| CN107276982A (zh) * | 2017-05-08 | 2017-10-20 | 微梦创科网络科技(中国)有限公司 | 一种异常登录检测方法及装置 |
| CN107172104A (zh) * | 2017-07-17 | 2017-09-15 | 顺丰科技有限公司 | 一种登录异常检测方法、系统及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107911396A (zh) | 2018-04-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107911396B (zh) | 登录异常检测方法和系统 | |
| CN107911395B (zh) | 登录验证方法和系统、计算机存储介质和设备 | |
| CN106548343B (zh) | 一种非法交易检测方法及装置 | |
| WO2016192495A1 (zh) | 账号被盗的风险识别方法、识别装置及防控系统 | |
| CN107465642B (zh) | 一种判断账号异常登录的方法及装置 | |
| EP3068095A2 (en) | Monitoring apparatus and method | |
| US20170171188A1 (en) | Non-transitory computer-readable recording medium, access monitoring method, and access monitoring apparatus | |
| CN109727027B (zh) | 账户识别方法、装置、设备及存储介质 | |
| CN112953917B (zh) | 一种网络攻击源识别方法、装置、计算机设备及存储介质 | |
| CN111800430A (zh) | 一种攻击团伙识别方法、装置、设备及介质 | |
| CN110929972B (zh) | 评估配电变压器状态的方法、装置、设备、介质和程序 | |
| CN107689956A (zh) | 一种异常事件的威胁评估方法及装置 | |
| CN108366274B (zh) | 一种刷播放量的检测方法和装置 | |
| CN111586028B (zh) | 一种异常登录的评估方法、装置、服务器和存储介质 | |
| CN109428804B (zh) | 一种账号管理方法及装置 | |
| CN110808995B (zh) | 安全防护方法和装置 | |
| CN118075017A (zh) | 一种网络信息安全防护检测方法及系统 | |
| CN111125682A (zh) | 风控策略调整方法及装置和电子设备 | |
| CN114329452A (zh) | 一种异常行为检测方法、装置及相关设备 | |
| CN111177725A (zh) | 一种检测恶意刷点击操作的方法、装置、设备及存储介质 | |
| CN104035866B (zh) | 基于系统调用分析的软件行为评估方法和装置 | |
| CN116800504A (zh) | 一种终端物理指纹提取及非法接入动态认证方法和装置 | |
| CN110730169A (zh) | 一种保障账户安全的处理方法、装置及系统 | |
| CN115186249A (zh) | 多设备同时登录的管理方法、系统、电子设备及存储介质 | |
| CN113810334B (zh) | 一种邮件系统异常ip的检测方法及检测系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220221 Address after: Room 1423, No. 1256 and 1258, Wanrong Road, Jing'an District, Shanghai 200040 Patentee after: Tianyi Digital Life Technology Co.,Ltd. Address before: 1 / F and 2 / F, East Garden, Huatian International Plaza, 211 Longkou Middle Road, Tianhe District, Guangzhou, Guangdong 510630 Patentee before: Century Dragon Information Network Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240314 Address after: Unit 1, Building 1, China Telecom Zhejiang Innovation Park, No. 8 Xiqin Street, Wuchang Street, Yuhang District, Hangzhou City, Zhejiang Province, 311100 Patentee after: Tianyi Shilian Technology Co.,Ltd. Country or region after: China Address before: Room 1423, No. 1256 and 1258, Wanrong Road, Jing'an District, Shanghai 200040 Patentee before: Tianyi Digital Life Technology Co.,Ltd. Country or region before: China |