CN107959673B - 异常登录检测方法、装置、存储介质和计算机设备 - Google Patents
异常登录检测方法、装置、存储介质和计算机设备 Download PDFInfo
- Publication number
- CN107959673B CN107959673B CN201711148718.5A CN201711148718A CN107959673B CN 107959673 B CN107959673 B CN 107959673B CN 201711148718 A CN201711148718 A CN 201711148718A CN 107959673 B CN107959673 B CN 107959673B
- Authority
- CN
- China
- Prior art keywords
- login
- log
- log file
- detected
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请涉及一种异常登录检测方法,包括以下步骤:当检测到用户登录行为时,获取用户登录行为对应的待检测日志文件;当历史记录中存在正常登录行为时,获取上一次正常登录行为的登录日志文件;对比待检测登录日志文件和上一次正常登录日志文件中的登录记录信息与最后一次登录记录信息;利用新的用户正常登录行为会对登录信息作出修改的登录特性,通过对比检测对比待检测登录日志文件和上一次正常登录日志文件中的登录记录信息与最后一次登录记录信息,确定登录的用户是否绕过正常的登录机制进行登录操作,实现实时、快速判断是否存在异常登录行为。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种异常登录检测方法、装置、存储介质和计算机设备。
背景技术
随着互联网的不断发展,网络安全所带来的挑战越来越严峻,“后门”登录便是一种通过漏洞进行程序或系统入侵的方式,所谓“后门”,一般是指绕过安全性控制而获取对程序或系统访问权的程序方法,是攻击者精心设计的程序或代码,由于这些程序或代码都运行在服务器端,攻击者可以通过程序或代码在服务器端进行某些危险的操作,获得某些敏感的技术信息或者通过渗透、提权获得服务器的控制权,“后门”是攻击者控制服务器的一条通道,比一般的入侵更具有隐蔽性。利用“后门”,黑客能够远程控制网站,篡改网页内容、挂马、窃取网站注册用户密码数据、流量劫持等,直接干扰网站安全正常运营,也危害到网站访问者的电脑系统和账号安全。
目前,针对攻击者通过“后门”发起的异常登录行为,主要采用定期检查是否存在后门漏洞,来确保网络的安全,但这种检测方法存在不能实现实时检测异常登录行为、检测效率低的缺点。
发明内容
基于此,有必要针对不能实现实时检测异常登录行为、检测效率低的问题,提供一种实时、快速的异常登录检测方法、装置、存储介质和计算机设备。
一种异常登录检测方法,包括以下步骤:
当检测到用户登录行为时,获取用户登录行为对应的待检测日志文件;
当历史记录中存在正常登录行为时,获取上一次正常登录行为的登录日志文件;
对比待检测登录日志文件和上一次正常登录日志文件中的登录记录信息与最后一次登录记录信息;
若对比结果为待检测登录日志文件和上一次正常登录日志文件中的登录记录信息相同,且待检测登录日志文件和上一次正常登录日志文件中的最后一次登录记录信息相同,则判定存在异常登录行为。
在其中一个实施例中,当检测到用户登录行为时,获取用户登录行为对应的待检测日志文件的步骤之前,还包括:
监控登录授权日志,通过检测登录授权日志中是否存在预设的关键字,判断是否存在用户登录行为。
在其中一个实施例中,当检测到用户登录行为时,获取用户登录行为对应的待检测日志文件的步骤之前,还包括:
监控auth.log日志文件或secure日志文件,当检测到auth.log日志文件或secure日志文件中存在关键字pam_unix时,判定存在OpenSSH用户登录行为。
在其中一个实施例中,当检测到用户登录行为时,获取用户登录行为对应的待检测日志文件的步骤包括:
当检测到用户登录行为时,获取用户登录行为对应的wtmp文件和lastlog文件。
在其中一个实施例中,对比待检测登录日志文件和上一次正常登录日志文件中的登录记录信息与最后一次登录记录信息步骤之后,还包括:
若对比结果为待检测登录日志文件和上一次正常登录日志文件中的登录记录信息不相同,或待检测登录日志文件和上一次正常登录日志文件中的最后一次登录记录信息不相同,则判定为正常登录行为。
在其中一个实施例中,若对比结果为待检测登录日志文件和上一次正常登录日志文件中的登录记录信息不相同,或待检测登录日志文件和上一次正常登录日志文件中的最后一次登录记录信息不相同,则判定为正常登录行为步骤之后,还包括:
通过CP(copy,复制)命令对正常登录行为对应的登录日志文件中的wtmp文件和lastlog文件进行备份。
在其中一个实施例中,若对比结果为待检测登录日志文件和上一次正常登录日志文件中的登录记录信息相同,且待检测登录日志文件和上一次正常登录日志文件中的最后一次登录记录信息相同,则判定存在异常登录行为的步骤之后,还包括:
发送存在异常登录行为的提示指令。
一种异常登录检测装置,包括:
待检测日志文件获取模块,用于当检测到用户登录行为时,获取用户登录行为对应的待检测日志文件;
正常登录日志文件获取模块,用于当历史记录中存在正常登录行为时,获取上一次正常登录行为的登录日志文件;
信息对比模块,用于对比待检测登录日志文件和上一次正常登录日志文件中的登录记录信息与最后一次登录记录信息;
异常登录确定模块,用于若对比结果为待检测登录日志文件和上一次正常登录日志文件中的登录记录信息相同,且待检测登录日志文件和上一次正常登录日志文件中的最后一次登录记录信息相同,则判定存在异常登录行为。
一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时实现异常登录检测方法的步骤。
一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现异常登录检测方法的步骤。
上述异常登录检测方法、装置、计算机可读存储介质和计算机设备,通过实时检测用户登录行为确定存在新的登录用户,利用新的用户正常登录行为会对登录信息作出修改的登录特性,通过对比检测对比待检测登录日志文件和上一次正常登录日志文件中的登录记录信息与最后一次登录记录信息,确定登录的用户是否绕过正常的登录机制进行登录操作,实现实时、快速判断是否存在异常登录行为。
附图说明
图1为一个实施例中异常登录检测方法的流程示意图;
图2为另一个实施例中异常登录检测方法的流程示意图;
图3为另一个实施例中异常登录检测方法的流程示意图;
图4为一个实施例中异常登录检测装置的流结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中在本申请的说明书中所使用的术语只是为了描述具体地实施例的目的,不是旨在于限制本申请。
在软件的开发阶段,程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷,但是,如果这些后门被其他人知道,或是在发布软件之前没有删除后门程序,那么它就成了安全风险,容易被黑客当成漏洞进行攻击,后门程序又称特洛依木马,其用途在于潜伏在电脑中,从事搜集信息或便于黑客进入的动作。后门是一种异常的登录系统的方法,它不仅绕过系统已有的安全设置,而且还能挫败系统上各种增强的安全设置。
如图1所示,本申请提供一种异常登录检测方法,包括以下步骤:
步骤S200,当检测到用户登录行为时,获取用户登录行为对应的待检测日志文件。
用户登录行为是指用户进行登录操作时的在登录日志中留下的信息记录,日志文件用于记录系统每天的工作信息,日志文件主要有审计和监测的功能,可以通过日志文件检查错误发生的原因,或者受到攻击时攻击者留下的痕迹,还可以实时的监测系统状态,监测和追踪侵入者等。系统中存在新的用户登录时会在系统的登录日志文件中产生新的登录授权记录,登录日志文件还可以记录登录用户的登录用户名、登录时间、登录时长、退出时间等信息。与通过后门漏洞登录系统的登录方式相比,正常的登录行为会对部分日志文件进行修改,其中,待检测日志文件是指用于记录正常登录行为的相关信息的日志文件。
步骤S400,当历史记录中存在正常登录行为时,获取上一次正常登录行为的登录日志文件。
系统对通过后门漏洞实现登录的检测方法,是在存在正常登录行为的基础上,相较于正常的登录方式存在异常来判定为异常登录行为的,当历史记录中存在正常登录行为时,通过获取上一次正常登录行为的登录日志文件,来得到待实时检测用户登录行为的比较对象。
步骤S600,对比待检测登录日志文件和上一次正常登录日志文件中的登录记录信息与最后一次登录记录信息。
登录记录信息是指用于记录正常登录行为的登录退出日志文件中,记载的登录进入系统的相关信息。最后一次登录记录信息是指存在用户登录时,用于记录同一用户最近的一次登录时间、登录接口、登录用户名等。
步骤S800,若对比结果为待检测登录日志文件和上一次正常登录日志文件中的登录记录信息相同,且待检测登录日志文件和上一次正常登录日志文件中的最后一次登录记录信息相同,则判定存在异常登录行为。
当存在正常的用户登录行为时,系统获取当前用户登录行为的登录信息,并对登录日志文件中的登录记录信息与最后一次登录记录信息进行更新,而通过后门漏洞登录时,因为绕过了系统正常的登录机制,对系统日志进行了清除,不会对登录日志文件中的登录记录信息与最后一次登录记录信息进行修改,所以当对比结果为待检测登录日志文件和上一次正常登录日志文件中的登录记录信息相同,且待检测登录日志文件和上一次正常登录日志文件中的最后一次登录记录信息相同,则判定存在异常登录行为。
当对比结果为对登录日志文件中的登录记录信息和最后一次登录记录信息都进行了修改,或者对其中一个记录信息进行了修改,则判定为正常的用户登录行为,系统继续对用户登录行为进行实时监测。
上述异常登录检测方法,通过实时检测用户登录行为确定存在新的登录用户,利用新的用户正常登录行为会对登录信息作出修改的登录特性,通过对比检测对比待检测登录日志文件和上一次正常登录日志文件中的登录记录信息与最后一次登录记录信息,确定登录的用户是否绕过正常的登录机制进行登录操作,实现实时、快速判断是否存在异常登录行为。
在其中一个实施例中,步骤S200之前,还包括:
步骤S120,监控登录授权日志,通过检测登录授权日志中是否存在预设的关键字,判断是否存在用户登录行为。
登录授权日志是指包含系统授权信息、用户登录和使用的权限机制的日志文件,当存在新的用户登录时,无论是正常登录行为还是通过后门漏洞的异常登录行为,均需向系统发出登录请求,系统的登录授权日志对登录进行授权后,用户成功登录以后,在登录授权日志文件中存在预设的关键字,通过检测登录授权日志中是否存在预设的关键字,可以判断是否存在用户登录行为。
如图3所示,在其中一个实施例中,步骤S200之前,还包括:
步骤S140,监控auth.log日志文件或secure日志文件,当检测到auth.log日志文件或secure日志文件中存在关键字pam_unix时,判定存在OpenSSH用户登录行为。
OpenSSH是SSH(Secure Shell,安全外壳协议)的免费开源实现,OpenSSH不同于OpenSSL,但两者有同样的软件发展目标──提供开放源代码的加密通讯软件。OpenSSH是OpenBSD的子计划,SSH协议族可以用来进行远程控制,或在计算机之间传送文件,而实现此功能的传统方式,如telnet(终端仿真协议)、rcp、ftp、rlogin、rsh都是极为不安全的,并且会使用明文传送密码。OpenSSH提供了服务端后台程序和客户端工具,用来加密远程控件和文件传输过程中的数据,并由此来代替原来的类似服务,OpenSSH是使用SSH透过计算机网络加密通讯的实现,它是取代由SSH Communications Security所提供的商用版本的开放源代码方案,在OpenSSH服务中sshd是一个典型的独立守护进程,OpenSSH服务可以通过/etc/ssh/sshd_config文件进行配置。以下通过Linux操作系统对利用后门漏洞进行登录的异常登录行为的检测进行说明。
相对于Windows操作系统,Linux操作系统的密码较难获取,而很多Linux服务器都配置了OpenSSH服务,在获取root权限的情况下,可以通过修改或者更新OpenSSH代码等方法,截取并保存其SSH登录账号密码,甚至可以留一个隐形的后门,达到长期控制Linux服务器的目的。在很多Linux系统被入侵后都会在系统中留后门,利用OpenSSH后门漏洞是攻击者的惯用方式之一,而且OpenSSH后门比较难于检测。
不同的系统对应的登录授权日志有不同的命名方式,如Ubuntu系统的登录授权日志为auth.log日志文件、CentOS系统的登录授权日志为secure日志文件,当存在新的OpenSSH用户登录且未退出登录过程中时,会在auth.log日志文件或secure日志文件中记录关键字pam_unix。因此可以通过监控auth.log日志文件或secure日志文件,当检测到auth.log日志文件或secure日志文件中存在关键字pam_unix时,判定存在OpenSSH用户登录行为。
如图2所示,在其中一个实施例中,步骤S200包括:
步骤S220,当检测到用户登录行为时,获取用户登录行为对应的wtmp文件和lastlog文件。
系统有两类日志记录用户登录的行为,一是记录登录者的数据,一个是记录用户的登录时间。对于Linux操作系统的OpenSSH登录行为,wtmp日志文件记录用户登录的数据,但这个文件是被编码的文件,不能直接用vi、cat等命令查看,可以用last命令读取,每一次登录就会产生一条记录,包括用户名、登录端、时间跨度等信息。lastlog日志文件记录了每个用户最近的登录时间,每个用户只有一条记录。
在其中一个实施例中,步骤S600之后,还包括:
步骤S700,若对比结果为待检测登录日志文件和上一次正常登录日志文件中的登录记录信息不相同,或待检测登录日志文件和上一次正常登录日志文件中的最后一次登录记录信息不相同,则判定为正常登录行为。
用户的正常登录行为会对登录日志文件进行修改,使得上一次登录的信息与当前登录的信息不同,当对比结果为对登录日志文件中的登录记录信息和最后一次登录记录信息都进行了修改,或者对其中一个记录信息进行了修改,则判定为正常的用户登录行为,系统继续对用户登录行为进行实时监测。
在其中一个实施例中,步骤S700之后,还包括:
步骤S720,通过CP命令对正常登录行为对应的登录日志文件中的wtmp文件和lastlog文件进行备份。
每一次正常的登录行为发生之后,系统都会对登录日志进行修改和更新,检测过程必须要实现获取上一次的正常登录行为的登录日志文件,所以需要事先对上一次的正常登录行为的登录日志文件中的wtmp文件和lastlog文件进行备份,其中,备份的方法有通过备份软件进行备份操作,利用系统备份指令进行备份操作等。
具体地,CP命令是用来将一个或多个源文件或目录复制到指定的目的文件或目录。它可以将单个源文件复制成一个指定文件名的具体的文件或一个已经存在的目录下,还可以同时复制多个文件,当一次复制多个文件时,目标文件参数必须是一个已经存在的目录,否则将出现错误。利用系统自带的CP命令对上一次的正常登录行为的登录日志文件中的wtmp文件和lastlog文件进行备份,使得系统能够快速获得对比文件,简单便捷,快速完成目标文件的备份任务,节省检测时间。
在其中一个实施例中,步骤S800之后,还包括:
步骤S900,发送存在异常登录行为的提示指令。
当检测到系统存在异常登录行为时,发送存在异常登录行为的提示指令,使用户了解系统的当前登录情况,采取对应的措施,避免造成信息泄露等。
如图3所示,在其中一个实施例中,异常登录检测方法,包括以下步骤:
步骤S140,监控auth.log日志文件或secure日志文件,当检测到auth.log日志文件或secure日志文件中存在关键字pam_unix时,判定存在OpenSSH用户登录行为。
步骤S220,当检测到用户登录行为时,获取用户登录行为对应的wtmp文件和lastlog文件。
步骤S400,当历史记录中存在正常登录行为时,获取上一次正常登录行为的登录日志文件的wtmp文件和lastlog文件。
步骤S600,对比待检测登录日志文件和上一次正常登录日志文件中的wtmp文件和lastlog文件。
步骤S700,若对比结果为待检测登录日志文件和上一次正常登录日志文件中的wtmp文件不相同,或待检测登录日志文件和上一次正常登录日志文件中的lastlog文件不相同,则判定为正常登录行为。
步骤S720,通过CP命令对正常登录行为对应的登录日志文件中的wtmp文件和lastlog文件进行备份。
步骤S800,若对比结果为待检测登录日志文件和上一次正常登录日志文件中的wtmp文件相同,且待检测登录日志文件和上一次正常登录日志文件中的lastlog文件相同,则判定存在异常登录行为。
步骤S900,发送存在异常登录行为的提示指令。
如图4所示,一种异常登录检测装置,包括:
待检测日志文件获取模块100,用于当检测到用户登录行为时,获取用户登录行为对应的待检测日志文件;
正常登录日志文件获取模块200,用于当历史记录中存在正常登录行为时,获取上一次正常登录行为的登录日志文件;
信息对比模块300,用于对比待检测登录日志文件和上一次正常登录日志文件中的登录记录信息与最后一次登录记录信息;
异常登录确定模块400,用于若对比结果为待检测登录日志文件和上一次正常登录日志文件中的登录记录信息相同,且待检测登录日志文件和上一次正常登录日志文件中的最后一次登录记录信息相同,则判定存在异常登录行为。
上述异常登录检测装置,通过实时检测用户登录行为确定存在新的登录用户,利用新的用户正常登录行为会对登录信息作出修改的登录特性,通过对比检测对比待检测登录日志文件和上一次正常登录日志文件中的登录记录信息与最后一次登录记录信息,确定登录的用户是否绕过正常的登录机制进行登录操作,实现实时、快速判断是否存在异常登录行为。
一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时实现异常登录检测方法的步骤。
计算机设备包括通过系统总线连接的处理器、存储器、网络接口、输入装置和显示屏。其中,存储器包括非易失性存储介质和内存储器。该计算机设备的非易失性存储介质存储有操作系统,还可存储有计算机程序,该计算机程序被处理器执行时,可使得处理器实现异常登录检测方法。该内存储器中也可储存有计算机程序,该计算机程序被处理器执行时,可使得处理器执行异常登录检测方法。计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,上述计算机设备的结构,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,本申请提供的异常登录检测装置可以实现为一种计算机程序的形式,计算机程序可在计算机设备上运行。计算机设备的存储器中可存储组成该异常登录检测装置的各个程序模块,比如,图4所示的待检测日志文件获取模块100、正常登录日志文件获取模块200、信息对比模块300和异常登录确定模块400。各个程序模块构成的计算机程序使得处理器执行本说明书中描述的本申请各个实施例的异常登录检测方法中的步骤。
例如,计算机设备可以通过如图4所示的异常登录检测装置中的待检测日志文件获取模块100执行步骤S200,计算机设备可通过正常登录日志文件获取模块200执行步骤S400,计算机设备可通过信息对比模块300执行步骤S600,计算机设备可通过异常登录确定模块400执行步骤S800。
上述用于实现异常登录检测方法的计算机设备,通过实时检测用户登录行为确定存在新的登录用户,利用新的用户正常登录行为会对登录信息作出修改的登录特性,通过对比检测对比待检测登录日志文件和上一次正常登录日志文件中的登录记录信息与最后一次登录记录信息,确定登录的用户是否绕过正常的登录机制进行登录操作,实现实时、快速判断是否存在异常登录行为。
一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现异常登录检测方法的步骤。计算机可读存储介质实施例。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,异常登录检测方法的程序可存储于一非易失性计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
上述用于实现异常登录检测方法的计算机可读存储介质,通过实时检测用户登录行为确定存在新的登录用户,利用新用户正常登录行为会对登录信息作出修改的登录特性,通过对比检测对比待检测登录日志文件和上一次正常登录日志文件中的登录记录信息与最后一次登录记录信息,确定登录的用户是否绕过正常的登录机制进行登录操作,实现实时、快速判断是否存在异常登录行为。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种异常登录检测方法,其特征在于,包括以下步骤:
当检测到用户登录行为时,获取所述用户登录行为对应的待检测登录日志文件,所述待检测登录日志文件包括登录记录信息与最后一次登录记录信息,所述登录记录信息是指用于记录正常登录行为的登录退出日志文件中记载的登录进入系统的相关信息,所述最后一次登录记录信息是指存在用户登录时,记录的同一用户最近的一次登录时间、登录接口以及登录用户名信息;
当历史记录中存在正常登录行为时,获取上一次正常登录行为的登录日志文件;
对比所述待检测登录日志文件和所述上一次正常登录日志文件中的登录记录信息与最后一次登录记录信息;
若对比结果为所述待检测登录日志文件和所述上一次正常登录日志文件中的登录记录信息相同,且所述待检测登录日志文件和所述上一次正常登录日志文件中的最后一次登录记录信息相同,则判定存在异常登录行为。
2.根据权利要求1所述的异常登录检测方法,其特征在于,所述当检测到用户登录行为时,获取所述用户登录行为对应的待检测日志文件的步骤之前,还包括:
监控登录授权日志,通过检测所述登录授权日志中是否存在预设的关键字,判断是否存在用户登录行为。
3.根据权利要求1所述的异常登录检测方法,其特征在于,所述当检测到用户登录行为时,获取所述用户登录行为对应的待检测日志文件的步骤之前,还包括:
监控auth.log日志文件或secure日志文件,当检测到auth.log日志文件或secure日志文件中存在关键字pam_unix时,判定存在OpenSSH用户登录行为。
4.根据权利要求1所述的异常登录检测方法,其特征在于,所述当检测到用户登录行为时,获取所述用户登录行为对应的待检测日志文件的步骤包括:
当检测到用户登录行为时,获取所述用户登录行为对应的wtmp文件和lastlog文件。
5.根据权利要求1所述的异常登录检测方法,其特征在于,所述对比所述待检测登录日志文件和所述上一次正常登录日志文件中的登录记录信息与最后一次登录记录信息步骤之后,还包括:
若对比结果为所述待检测登录日志文件和所述上一次正常登录日志文件中的登录记录信息不相同,或所述待检测登录日志文件和所述上一次正常登录日志文件中的最后一次登录记录信息不相同,则判定为正常登录行为。
6.根据权利要求5所述的异常登录检测方法,其特征在于,所述若对比结果为所述待检测登录日志文件和所述上一次正常登录日志文件中的登录记录信息不相同,或所述待检测登录日志文件和所述上一次正常登录日志文件中的最后一次登录记录信息不相同,则判定为正常登录行为步骤之后,还包括:
通过CP命令对所述正常登录行为对应的登录日志文件中的wtmp文件和lastlog文件进行备份。
7.根据权利要求1所述的异常登录检测方法,其特征在于,所述若对比结果为所述待检测登录日志文件和所述上一次正常登录日志文件中的登录记录信息相同,且所述待检测登录日志文件和所述上一次正常登录日志文件中的最后一次登录记录信息相同,则判定存在异常登录行为的步骤之后,还包括:
发送存在异常登录行为的提示指令。
8.一种异常登录检测装置,其特征在于,包括:
待检测日志文件获取模块,用于当检测到用户登录行为时,获取所述用户登录行为对应的待检测登录日志文件,所述待检测登录日志文件包括登录记录信息与最后一次登录记录信息,所述登录记录信息是指用于记录正常登录行为的登录退出日志文件中记载的登录进入系统的相关信息,所述最后一次登录记录信息是指存在用户登录时,记录的同一用户最近的一次登录时间、登录接口以及登录用户名信息;
正常登录日志文件获取模块,用于当历史记录中存在正常登录行为时,获取上一次正常登录行为的登录日志文件;
信息对比模块,用于对比所述待检测登录日志文件和所述上一次正常登录日志文件中的登录记录信息与最后一次登录记录信息;
异常登录确定模块,用于若对比结果为所述待检测登录日志文件和所述上一次正常登录日志文件中的登录记录信息相同,且所述待检测登录日志文件和所述上一次正常登录日志文件中的最后一次登录记录信息相同,则判定存在异常登录行为。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1-7任意一项所述异常登录检测方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1-7任一项所述异常登录检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711148718.5A CN107959673B (zh) | 2017-11-17 | 2017-11-17 | 异常登录检测方法、装置、存储介质和计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711148718.5A CN107959673B (zh) | 2017-11-17 | 2017-11-17 | 异常登录检测方法、装置、存储介质和计算机设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107959673A CN107959673A (zh) | 2018-04-24 |
| CN107959673B true CN107959673B (zh) | 2020-11-10 |
Family
ID=61963811
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711148718.5A Active CN107959673B (zh) | 2017-11-17 | 2017-11-17 | 异常登录检测方法、装置、存储介质和计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107959673B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3591662A1 (en) * | 2018-07-05 | 2020-01-08 | Advanced Microfluidics SA | Medical device and secure control system |
| CN109376525B (zh) * | 2018-09-14 | 2020-11-03 | 网宿科技股份有限公司 | Linux服务器的提示方法、Linux服务器及计算机可读存储介质 |
| CN110083575A (zh) * | 2019-04-11 | 2019-08-02 | 中国移动通信集团内蒙古有限公司 | 履职监控方法、装置、设备及计算机可读存储介质 |
| CN110138791A (zh) * | 2019-05-20 | 2019-08-16 | 四川长虹电器股份有限公司 | 基于Flink的Web业务账户盗用实时监测方法及系统 |
| CN110620768A (zh) * | 2019-09-16 | 2019-12-27 | 北京方研矩行科技有限公司 | 一种用于物联网智能终端的基线安全检测方法及装置 |
| CN111240928B (zh) * | 2020-01-06 | 2024-04-09 | 上海闻泰信息技术有限公司 | 设备驱动自动化检测方法、装置、设备及存储介质 |
| CN111581644A (zh) * | 2020-03-26 | 2020-08-25 | 中国电力科学研究院有限公司 | 一种基于Hook函数进行数据包拦截的漏洞挖掘方法及系统 |
| CN112163198B (zh) * | 2020-09-04 | 2024-06-28 | 广州江南科友科技股份有限公司 | 一种主机登录安全检测方法、系统、装置及存储介质 |
| CN114048455A (zh) * | 2021-11-19 | 2022-02-15 | 北京天融信网络安全技术有限公司 | 异常登录检测方法、装置、终端设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104519032A (zh) * | 2013-09-30 | 2015-04-15 | 深圳市腾讯计算机系统有限公司 | 一种互联网账号的安全策略及系统 |
| CN105700989A (zh) * | 2016-01-13 | 2016-06-22 | 焦点科技股份有限公司 | 一种日志文件的异常检测与处理的方法与装置 |
| CN107046550A (zh) * | 2017-06-14 | 2017-08-15 | 微梦创科网络科技(中国)有限公司 | 一种异常登录行为的检测方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130325828A1 (en) * | 2012-05-14 | 2013-12-05 | Confio Corporation | System and Method For Providing High-Availability and High-Performance Options For Transaction Log |
-
2017
- 2017-11-17 CN CN201711148718.5A patent/CN107959673B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104519032A (zh) * | 2013-09-30 | 2015-04-15 | 深圳市腾讯计算机系统有限公司 | 一种互联网账号的安全策略及系统 |
| CN105700989A (zh) * | 2016-01-13 | 2016-06-22 | 焦点科技股份有限公司 | 一种日志文件的异常检测与处理的方法与装置 |
| CN107046550A (zh) * | 2017-06-14 | 2017-08-15 | 微梦创科网络科技(中国)有限公司 | 一种异常登录行为的检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107959673A (zh) | 2018-04-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107959673B (zh) | 异常登录检测方法、装置、存储介质和计算机设备 | |
| US10834116B2 (en) | Secure digital traffic analysis | |
| CN110602046B (zh) | 数据监控处理方法、装置、计算机设备和存储介质 | |
| US10447727B1 (en) | Predicting and addressing harmful or sensitive network activity | |
| US9389898B2 (en) | System and method for enforcement of security controls on virtual machines throughout life cycle state changes | |
| US10063594B2 (en) | Network access control with compliance policy check | |
| CN107077410B (zh) | 分析客户端应用行为以检测异常并且阻止访问 | |
| US9058504B1 (en) | Anti-malware digital-signature verification | |
| US9288199B1 (en) | Network access control with compliance policy check | |
| US11245704B2 (en) | Automatically executing responsive actions based on a verification of an account lineage chain | |
| US20230362263A1 (en) | Automatically Executing Responsive Actions Upon Detecting an Incomplete Account Lineage Chain | |
| US8862730B1 (en) | Enabling NAC reassessment based on fingerprint change | |
| KR101308703B1 (ko) | 전자상거래 보안 시스템 및 그 방법 | |
| CN113194088B (zh) | 访问拦截方法、装置、日志服务器和计算机可读存储介质 | |
| Vasiliadis et al. | WRIT: Web Request Integrity and Attestation against Malicious Browser Extensions | |
| JP6950304B2 (ja) | セキュアエレメント、コンピュータプログラム、デバイス、サーバ及びファイル情報の照合方法 | |
| CN110781466A (zh) | 设备安全管理方法、装置、计算机设备和存储介质 | |
| CN110399718B (zh) | 一种针对工业控制系统的远程渗透取证的方法 | |
| US11533306B2 (en) | Processes and method for safe of use, monitoring and management of device accounts in terminal manner | |
| CN117688577A (zh) | 一种固件升级保护方法、装置、设备及可读存储介质 | |
| CN117459318A (zh) | 一种登录身份验证方法、装置、电子设备及存储介质 | |
| CN116186707A (zh) | 信息安全防护方法、装置、计算机设备和存储介质 | |
| CN117955675A (zh) | 一种网络攻击的防御方法、装置、电子设备及存储介质 | |
| CN116956276A (zh) | 异常行为的校验方法、装置和存储介质及电子设备 | |
| CN118074985A (zh) | 浏览器文件管控方法、系统、装置及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |