CN107992738A - 一种账号登录异常检测方法、装置及电子设备 - Google Patents
一种账号登录异常检测方法、装置及电子设备 Download PDFInfo
- Publication number
- CN107992738A CN107992738A CN201711136347.9A CN201711136347A CN107992738A CN 107992738 A CN107992738 A CN 107992738A CN 201711136347 A CN201711136347 A CN 201711136347A CN 107992738 A CN107992738 A CN 107992738A
- Authority
- CN
- China
- Prior art keywords
- account
- value
- bipartite graph
- stolen
- storehouse
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/901—Indexing; Data structures therefor; Storage structures
- G06F16/9024—Graphs; Linked lists
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Computer Hardware Design (AREA)
- Data Mining & Analysis (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例提供了一种账号登录异常检测方法、装置及电子设备,应用于互联网技术领域,所述方法包括:获取多个登录日志,将各登录日志中的关键字段中的账号和各登录日志中的关键字段中的登录请求参数构建为第一二分图;对第一二分图中的各账号进行循环迭代,得到各账号的账号值;将大于预设上限阈值的账号值对应的账号确定为被盗分享账号,将小于预设下限阈值的账号值对应的账号确定为撞库账号。本发明实施例通过对多个登录日志进行建模,即将非结构化的登录日志转化为第一二分图,从而可以通过循环迭代的方法得到第一二分图中各账号的账号值,进而通过账号值实现对撞库账号和被盗分享账号的同时检测。
Description
技术领域
本发明涉及互联网技术领域,特别是涉及一种账号登录异常检测方法、装置及电子设备。
背景技术
在互联网企业中,用户的账号是用户价值的核心体现,同时也是公司的核心资产。通常,用户的账号面临着两种风险:一是账号被撞库;二是账号被盗之后进行分享。其中,撞库是指黑产利用第三方网站泄露窃取的账号和密码来尝试登录目标网站的行为(互联网用户在不同网站通常使用相同的账号和密码),而黑产是利用病毒木马来获得利益的一个行业。当前有许多方法用于解决撞库问题或者盗号问题,例如,通过常用登录地判断账号是否异地登录,进而推测账号是否被盗;通过IP(Internet Protocol,互联网协议)地址的登录频次,推测是否有撞库行为。可见,现有的方法仅可以检测上述两种风险中的一种。
发明内容
本发明实施例的目的在于提供一种账号登录异常检测方法、装置及电子设备,以实现对撞库账号和被盗分享账号的同时检测。具体技术方案如下:
本发明实施例提供了一种账号登录异常检测方法,所述方法包括:
获取多个登录日志,将各登录日志中的关键字段中的账号和所述各登录日志中的关键字段中的登录请求参数构建为第一二分图;
对所述第一二分图中的各账号进行循环迭代,得到所述各账号的账号值;
将小于预设下限阈值的账号值对应的账号确定为撞库账号,将大于预设上限阈值的账号值对应的账号确定为被盗分享账号。
可选的,所述对所述第一二分图中的各账号进行循环迭代,得到所述各账号的账号值,包括:
通过Pagerank算法对所述第一二分图中的各账号进行循环迭代,得到所述各账号的账号值。
可选的,所述将各登录日志中的关键字段中的账号和所述各登录日志中的关键字段中的登录请求参数构建为第一二分图,包括:
将各登录日志中的关键字段中的账号构建为第一二分图中的第一子集,所述第一子集中的账号均不同;
将所述各登录日志中的关键字段中的登录请求参数构建为第一二分图的第二子集,所述第二子集中的登录请求参数均不同;
建立所述第一子集中的账号与所述第二子集中的登录请求参数的对应关系。
可选的,所述预设下限阈值的确定方式包括:
获取并将多个撞库账号以及所述多个撞库账号对应的登录请求参数构建为第二二分图;
对所述第二二分图中的每一个撞库账号进行循环迭代,得到所述每一个撞库账号的账号值;
将所述多个撞库账号的账号值的平均值作为预设下限阈值。
可选的,所述预设上限阈值的确定方式包括:
获取并将多个被盗分享账号以及所述多个被盗分享账号对应的登录请求参数构建为第三二分图;
对所述第三二分图中的每一个被盗分享账号进行循环迭代,得到所述每一个被盗分享账号的账号值;
将所述多个被盗分享账号的账号值的平均值作为预设上限阈值。
本发明实施例提供了一种账号登录异常检测装置,所述装置包括:
第一二分图构建模块,用于获取多个登录日志,将各登录日志中的关键字段中的账号和所述各登录日志中的关键字段中的登录请求参数构建为第一二分图;
迭代模块,用于对所述第一二分图中的各账号进行循环迭代,得到所述各账号的账号值;
检测模块,用于将小于预设下限阈值的账号值对应的账号确定为撞库账号,将大于预设上限阈值的账号值对应的账号确定为被盗分享账号。
可选的,所述迭代模块具体用于,通过Pagerank算法对所述第一二分图中的各账号进行循环迭代,得到所述各账号的账号值。
可选的,所述第一二分图构建模块具体用于,将各登录日志中的关键字段中的账号构建为第一二分图中的第一子集,所述第一子集中的账号均不同;将所述各登录日志中的关键字段中的登录请求参数构建为第一二分图的第二子集,所述第二子集中的登录请求参数均不同;建立所述第一子集中的账号与所述第二子集中的登录请求参数的对应关系。
可选的,本发明实施例的账号登录异常检测装置,还包括:
第二二分图构建模块,用于获取并将多个撞库账号以及所述多个撞库账号对应的登录请求参数构建为第二二分图;
撞库账号值计算模块,用于对所述第二二分图中的每一个撞库账号进行循环迭代,得到所述每一个撞库账号的账号值;
预设下限阈值确定模块,用于将所述多个撞库账号的账号值的平均值作为预设下限阈值。
可选的,本发明实施例的账号登录异常检测装置,还包括:
第三二分图构建模块,用于获取并将多个被盗分享账号以及所述多个被盗分享账号对应的登录请求参数构建为第三二分图;
被盗分享账号值计算模块,用于对所述第三二分图中的每一个被盗分享账号进行循环迭代,得到所述每一个被盗分享账号的账号值;
预设上限阈值确定模块,用于将所述多个被盗分享账号的账号值的平均值作为预设上限阈值。
本发明实施例提供了一种电子设备,包括:处理器、通信接口、存储器和通信总线,其中,所述处理器、所述通信接口、所述存储器通过所述通信总线完成相互间的通信;
所述存储器,用于存放计算机程序;
所述处理器,用于执行所述存储器上所存放的程序时,实现上述任一所述的账号登录异常检测方法的步骤。
在本发明实施的又一方面,还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述任一所述的账号登录异常检测方法的步骤。
在本发明实施的又一方面,本发明实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述任一所述的账号登录异常检测方法的步骤。
本发明实施例提供的账号登录异常检测方法、装置及电子设备,通过获取多个登录日志,将各登录日志中的关键字段中的账号和各登录日志中的关键字段中的登录请求参数构建为第一二分图;对第一二分图中的各账号进行循环迭代,得到各账号的账号值;将小于预设下限阈值的账号值对应的账号确定为撞库账号,将大于预设上限阈值的账号值对应的账号确定为被盗分享账号。本发明实施例通过对多个登录日志进行建模,即将非结构化的登录日志转化为第一二分图,从而可以通过循环迭代的方法得到第一二分图中各账号的账号值,进而通过账号值实现对撞库账号和被盗分享账号的同时检测。当然,实施本发明的任一产品或方法必不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。
图1为本发明实施例的账号登录异常检测方法的流程图;
图2为本发明实施例构建的二分图的一种示意图;
图3为本发明实施例的账号登录异常检测装置的结构图;
图4为本发明实施例的电子设备的结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行描述。
为了解决现有技术中不能对撞库账号和被盗分享账号同时检测的问题,本发明实施例提供了一种账号登录异常检测方法、装置及电子设备,以实现对撞库账号和被盗分享账号的同时检测。
下面首先对本发明实施例所提供的账号登录异常检测方法进行详细介绍。
参见图1,图1为本申请实施例的账号登录异常检测方法的流程图,包括以下步骤:
S101,获取多个登录日志,将各登录日志中的关键字段中的账号和各登录日志中的关键字段中的登录请求参数构建为第一二分图。
目前,各互联网公司需要用户登录账号才可以获取更多的网站资源,在用户通过账号登录时,各互联网公司的服务器中生成相应的登录日志。为了检测账号登录是否异常,需要获取多个登录日志,并提取多个登录日志中的关键字段。登录日志中的关键字段指用户在登录请求时的参数组合,其中,参数组合包括至少一组参数,每组参数可以包括一个或多个参数。例如,从登录日志中获取的关键字段包括:Username(用户名)、Ip(InternetProtocol,互联网协议)地址、User-agent(用户代理)、Api(Application ProgrammingInterface,应用程序编程接口)、Referer等,其中,Referer是HTTP(HyperText TransferProtocol,超文本传输协议)协议头的一部分,用于使服务器判断来源页面,即用户是从哪个页面来的,通常被网站用来统计用户来源,是从搜索页面来的,还是从其他网站链接过来,或是从书签等访问,以便网站合理定位。
其中,二分图又称为二部图,是图论中的一种特殊模型。也就是,顶点集可分割为两个互不相交的子集,并且图中每条边依附的两个顶点都分属于这两个互不相交的子集,两个子集内的顶点不相邻。本发明实施例中,多个登录日志中的关键字段构成顶点集,关键字段可以分为账号和登录请求参数,并且账号和登录请求参数是两个互不相交的子集。可以将登录日志中的账号和登录请求参数构建为第一二分图,第一二分图包括:账号和登录请求参数的对应关系,每组对应关系构成了第一二分图的边。如图2所示,可以看出,账号和登录请求参数分别对应两个不同的子集,并且图2中每条边依附的两个顶点都分属于账号和登录请求参数这两个互不相交的子集,两个子集内的顶点不相邻。
S102,对第一二分图中的各账号进行循环迭代,得到各账号的账号值。
本发明实施例中,在构建第一二分图之后,可以通过图算法对各账号进行循环迭代,得到各账号的账号值。图算法可以是现有技术中任何可以对第一二分图进行求解的算法,对第一二分图中的各账号进行循环迭代,也就是对各账号以及各账号对应的登录请求参数进行迭代,得到各账号的账号值。
S103,将小于预设下限阈值的账号值对应的账号确定为撞库账号,将大于预设上限阈值的账号值对应的账号确定为被盗分享账号。
本发明实施例中,可以通过账号相关性的高低表示账号值的大小,具体的,由于撞库账号被关联到登录请求参数组合较少,撞库成功或者失败只需要尝试一次即可,撞库账号的相关性较低,并且同一组登录请求参数将尝试登录许多不同的账号,因此撞库账号的账号值较低。而被盗分享账号由于被多人分享登录,将关联到多组登录请求参数,被盗分享账号的相关性较高,因此被盗分享账号的账号值较高。本发明实施例中,在得到各账号的账号值之后,可以分别根据预设下限阈值和预设上限阈值,检测撞库账号和被盗分享账号,即将小于预设下限阈值的账号值对应的账号确定为撞库账号,将大于预设上限阈值的账号值对应的账号确定为被盗分享账号,将在预设下限阈值和预设上限阈值之间(包括预设下限阈值和预设上限阈值)的账号值对应的账号确定为非异常登录账号。其中,预设下限阈值和预设上限阈值可以是根据经验设置的值,也可以是通过计算得到的值,当然,预设下限阈值和预设上限阈值是不同的值,且预设上限阈值大于预设下限阈值。下文将对预设下限阈值和预设上限阈值的计算方法进行详细介绍,在此不再赘述。
本发明实施例提供的账号登录异常检测方法,通过获取多个登录日志,将各登录日志中的关键字段中的账号和各登录日志中的关键字段中的登录请求参数构建为第一二分图;对第一二分图中的各账号进行循环迭代,得到各账号的账号值;将大于预设上限阈值的账号值对应的账号确定为被盗分享账号,将小于预设下限阈值的账号值对应的账号确定为撞库账号。本发明实施例通过对多个登录日志进行建模,即将非结构化的登录日志转化为第一二分图,从而可以通过循环迭代的方法得到第一二分图中各账号的账号值,进而通过账号值实现对撞库账号和被盗分享账号的同时检测。
本发明的一种实现方式中,图1实施例S102中,对第一二分图中的各账号进行循环迭代,得到各账号的账号值,包括:
通过Pagerank算法对第一二分图中的各账号进行循环迭代,得到各账号的账号值。
具体的,Pagerank(网页排名),又称网页级别、Google左侧排名或佩奇排名,是一种根据网页之间相互的超链接计算的技术,而作为网页排名的要素之一,通过Pagerank可以体现网页的相关性和重要性,在搜索引擎优化操作中是经常被用来评估网页优化的成效因素之一。Pagerank是Google专有的算法,用于衡量特定网页相对于搜索引擎索引中的其他网页而言的重要程度。Pagerank算法的核心思想包括:如果一个网页被很多其它网页链接到,表明这个网页很重要,它的Pagerank值也会相应较高;如果一个Pagerank值很高的网页链接到另外某个网页,那么,该另外某个网页的Pagerank值也会相应地提高。
本发明实施例中,第一二分图中表示了各账号与各登录请求参数的对应关系,该对应关系表明各登录请求参数的重要程度,那么,可以通过Pagerank算法对第一二分图中的各账号进行循环迭代,得到各账号的账号值。当然,对第一二分图中的各账号进行循环迭代的算法还可以包括:Hilltop算法、ExpertRank算法、HITS(Hyperlink-Induced TopicSearch,基于超链接分析的主题搜索)算法、TrustRank算法等。
可见,本发明实施例的账号登录异常检测方法,通过Pagerank算法对第一二分图中的各账号进行循环迭代,得到各账号的账号值,之后,可以通过各账号的账号值,检测各账号是否登录异常,从而实现对撞库账号和被盗分享账号的同时检测。
本发明的一种实现方式中,图1实施例S101中,将各登录日志中的关键字段中的账号和各登录日志中的关键字段中的登录请求参数构建为第一二分图,包括以下步骤:
第一步,将各登录日志中的关键字段中的账号构建为第一二分图中的第一子集,第一子集中的账号均不同。
第二步,将各登录日志中的关键字段中的登录请求参数构建为第一二分图的第二子集,第二子集中的登录请求参数均不同。
本发明实施例中,关键字段包括:账号和登录请求参数,由于账号和登录请求参数是对应的,并且是互不相交的,那么,可以将关键字段中的账号构建为第一子集,第一子集中的每个元素(账号)是不同的。将关键字段中的登录请求参数构建为第二子集,第二子集中的每个元素(登录请求参数)是不同的,第一子集和第二子集构成第一二分图中的两个互不相交的子集。
其中,第一子集中和第二子集中都不存在相同的两个元素。对于第一子集,如果存在相同的两个或多个账号,那么,只保留其中的一个账号即可。对于第二子集,如果第二子集中存在相同的两个或多个登录请求参数,那么,只需要保留其中的一个登录请求参数即可。例如,图2中的账号1和账号2所对应的登录请求参数相同,第二子集(登录请求参数集合)中只需要保留一个即可。另外,如果第一账号对应的第一登录请求参数包括第二账号对应的第二登录请求参数和第三账号对应的第三登录请求参数,第二子集中可以保留第二请求参数和第三请求参数,删除第一请求参数,例如,图2中的账号N对应的登录请求参数可以是两组登录请求参数的组合,即账号N可以与两组登录请求参数相对应。
第三步,建立第一子集中的账号与第二子集中的登录请求参数的对应关系。
具体的,在通过第一步和第二步得到第一子集和第二子集之后,根据每个登录日志中账号和登录请求参数的对应关系,建立第一子集中的账号和第二子集中的登录请求参数的对应关系,也就是,构建第一二分图的边,并且每组对应关系对应第一二分图中的至少一条边。
本发明实施例的账号登录异常检测方法,通过构建第一子集、第二子集以及第一子集和第二子集的对应关系,得到第一二分图,这样,可以通过各种图算法对第一二分图中的各账号进行循环迭代,得到各账号的账号值,进而根据账号值检测各账号是否登录异常,实现对撞库账号和被盗分享账号的同时检测。
本发明的一种实现方式中,预设下限阈值的确定方式包括以下步骤:
第一步,获取并将多个撞库账号以及多个撞库账号对应的登录请求参数构建为第二二分图。
本发明实施例中,如果要检测出准确的撞库账号,需要得到准确的预设下限阈值。为了得到准确的预设下限阈值,可以获取多个撞库账号以及该多个撞库账号对应的登录请求参数,并将多个撞库账号以及多个撞库账号对应的登录请求参数构建第二二分图,而构建第二二分图的方法与图1实施例类似,在此不再赘述。
第二步,对第二二分图中的每一个撞库账号进行循环迭代,得到每一个撞库账号的账号值。
本步骤中,在得到第二二分图之后,通过对第二二分图中的每一个撞库账号进行循环迭代,得到每一个撞库账号的账号值。循环迭代的方法包括:Pagerank算法等,当然,本步骤中的循环迭代算法可以与图1实施例中的循环迭代算法相同,这样,通过账号值以及预设下限阈值检测撞库账号才是准确的。
第三步,将多个撞库账号的账号值的平均值作为预设下限阈值。
可见,本发明实施例中,将多个撞库账号的账号值的平均值作为预设下限阈值可以得到准确的预设下限阈值,通过该预设下限阈值,可以准确地判断各账号是否为撞库账号。
本发明的一种实现方式中,预设上限阈值的确定方式包括以下步骤:
第一步,获取并将多个被盗分享账号以及多个被盗分享账号对应的登录请求参数构建为第三二分图。
本发明实施例中,同样地,为了得到准确的预设上限阈值,可以获取多个被盗分享账号以及该多个被盗分享账号对应的登录请求参数,并将多个被盗分享账号以及多个被盗分享账号对应的登录请求参数构建第三二分图,而构建第三二分图的方法与图1实施例类似,在此不再赘述。
第二步,对第三二分图中的每一个被盗分享账号进行循环迭代,得到每一个被盗分享账号的账号值。
具体的,在得到第三二分图之后,通过对第三二分图中的每一个被盗分享账号进行循环迭代,得到每一个被盗分享账号的账号值。循环迭代的方法包括:Pagerank算法等,当然,本步骤中的循环迭代算法可以与图1实施例中的循环迭代算法相同,这样,通过账号值以及预设上限阈值检测被盗分享账号才是准确的。
第三步,将多个被盗分享账号的账号值的平均值作为预设上限阈值。
可见,本发明实施例中,将多个被盗分享账号的账号值的平均值作为预设上限阈值可以得到准确的预设上限阈值,通过该预设上限阈值,可以准确地判断各账号是否为被盗分享账号。
相应于上述方法实施例,本发明实施例还提供了一种账号登录异常检测装置,参见图3,图3为本发明实施例的账号登录异常检测装置的结构图,包括:
第一二分图构建模块301,用于获取多个登录日志,将各登录日志中的关键字段中的账号和各登录日志中的关键字段中的登录请求参数构建为第一二分图;
迭代模块302,用于对第一二分图中的各账号进行循环迭代,得到各账号的账号值;
检测模块303,用于将小于预设下限阈值的账号值对应的账号确定为撞库账号,将大于预设上限阈值的账号值对应的账号确定为被盗分享账号。
本发明实施例提供的账号登录异常检测装置,通过获取多个登录日志,将各登录日志中的关键字段中的账号和各登录日志中的关键字段中的登录请求参数构建为第一二分图;对第一二分图中的各账号进行循环迭代,得到各账号的账号值;将大于预设上限阈值的账号值对应的账号确定为被盗分享账号,将小于预设下限阈值的账号值对应的账号确定为撞库账号。本发明实施例通过对多个登录日志进行建模,即将非结构化的登录日志转化为第一二分图,从而可以通过循环迭代的方法得到第一二分图中各账号的账号值,进而通过账号值实现对撞库账号和被盗分享账号的同时检测。
需要说明的是,本发明实施例的装置是应用上述账号登录异常检测方法的装置,则上述账号登录异常检测方法的所有实施例均适用于该装置,且均能达到相同或相似的有益效果。
本发明的一种实现方式中,迭代模块302具体用于,通过Pagerank算法对第一二分图中的各账号进行循环迭代,得到各账号的账号值。
本发明的一种实现方式中,第一二分图构建模块301具体用于,将各登录日志中的关键字段中的账号构建为第一二分图中的第一子集,第一子集中的账号均不同;将各登录日志中的关键字段中的登录请求参数构建为第一二分图的第二子集,第二子集中的登录请求参数均不同;建立第一子集中的账号与第二子集中的登录请求参数的对应关系。
本发明的一种实现方式中,账号登录异常检测装置还包括:
第二二分图构建模块,用于获取并将多个撞库账号以及多个撞库账号对应的登录请求参数构建为第二二分图;
撞库账号值计算模块,用于对第二二分图中的每一个撞库账号进行循环迭代,得到每一个撞库账号的账号值;
预设下限阈值确定模块,用于将多个撞库账号的账号值的平均值作为预设下限阈值。
本发明的一种实现方式中,账号登录异常检测装置还包括:
第三二分图构建模块,用于获取并将多个被盗分享账号以及多个被盗分享账号对应的登录请求参数构建为第三二分图;
被盗分享账号值计算模块,用于对第三二分图中的每一个被盗分享账号进行循环迭代,得到每一个被盗分享账号的账号值;
预设上限阈值确定模块,用于将多个被盗分享账号的账号值的平均值作为预设上限阈值。
本发明实施例还提供了一种电子设备,参见图4,图4为本发明实施例的电子设备的结构图,包括:处理器401、通信接口402、存储器403和通信总线404,其中,处理器401、通信接口402、存储器403通过通信总线404完成相互间的通信;
存储器403,用于存放计算机程序;
处理器401,用于执行存储器403上所存放的程序时,实现上述实施例中任一账号登录异常检测方法的步骤。
需要说明的是,上述电子设备提到的通信总线404可以是PCI(PeripheralComponent Interconnect,外设部件互连标准)总线或EISA(Extended Industry StandardArchitecture,扩展工业标准结构)总线等。该通信总线404可以分为地址总线、数据总线、控制总线等。为便于表示,图4中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口402用于上述电子设备与其他设备之间的通信。
存储器403可以包括RAM(Random Access Memory,随机存取存储器),也可以包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器401可以是通用处理器,包括:CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital SignalProcessing,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
由以上可见,本发明实施例的电子设备中,处理器通过执行存储器上所存放的程序,获取多个登录日志,将各登录日志中的关键字段中的账号和各登录日志中的关键字段中的登录请求参数构建为第一二分图;对第一二分图中的各账号进行循环迭代,得到各账号的账号值;将大于预设上限阈值的账号值对应的账号确定为被盗分享账号,将小于预设下限阈值的账号值对应的账号确定为撞库账号。本发明实施例通过对多个登录日志进行建模,即将非结构化的登录日志转化为第一二分图,从而可以通过循环迭代的方法得到第一二分图中各账号的账号值,进而通过账号值实现对撞库账号和被盗分享账号的同时检测。
在本发明提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述实施例中任一账号登录异常检测方法的步骤。
本发明实施例的计算机可读存储介质中存储的指令在计算机上运行时,通过获取多个登录日志,将各登录日志中的关键字段中的账号和各登录日志中的关键字段中的登录请求参数构建为第一二分图;对第一二分图中的各账号进行循环迭代,得到各账号的账号值;将大于预设上限阈值的账号值对应的账号确定为被盗分享账号,将小于预设下限阈值的账号值对应的账号确定为撞库账号。本发明实施例通过对多个登录日志进行建模,即将非结构化的登录日志转化为第一二分图,从而可以通过循环迭代的方法得到第一二分图中各账号的账号值,进而通过账号值实现对撞库账号和被盗分享账号的同时检测。
在本发明提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一账号登录异常检测方法的步骤。
可见,本发明实施例的计算机程序产品,当其在计算机上运行时,通过获取多个登录日志,将各登录日志中的关键字段中的账号和各登录日志中的关键字段中的登录请求参数构建为第一二分图;对第一二分图中的各账号进行循环迭代,得到各账号的账号值;将大于预设上限阈值的账号值对应的账号确定为被盗分享账号,将小于预设下限阈值的账号值对应的账号确定为撞库账号。本发明实施例通过对多个登录日志进行建模,即将非结构化的登录日志转化为第一二分图,从而可以通过循环迭代的方法得到第一二分图中各账号的账号值,进而通过账号值实现对撞库账号和被盗分享账号的同时检测。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如SSD(Solid State Disk,固态硬盘))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (11)
1.一种账号登录异常检测方法,其特征在于,所述方法包括:
获取多个登录日志,将各登录日志中的关键字段中的账号和所述各登录日志中的关键字段中的登录请求参数构建为第一二分图;
对所述第一二分图中的各账号进行循环迭代,得到所述各账号的账号值;
将小于预设下限阈值的账号值对应的账号确定为撞库账号,将大于预设上限阈值的账号值对应的账号确定为被盗分享账号。
2.根据权利要求1所述的账号登录异常检测方法,其特征在于,所述对所述第一二分图中的各账号进行循环迭代,得到所述各账号的账号值,包括:
通过Pagerank算法对所述第一二分图中的各账号进行循环迭代,得到所述各账号的账号值。
3.根据权利要求1所述的账号登录异常检测方法,其特征在于,所述将各登录日志中的关键字段中的账号和所述各登录日志中的关键字段中的登录请求参数构建为第一二分图,包括:
将各登录日志中的关键字段中的账号构建为第一二分图中的第一子集,所述第一子集中的账号均不同;
将所述各登录日志中的关键字段中的登录请求参数构建为第一二分图的第二子集,所述第二子集中的登录请求参数均不同;
建立所述第一子集中的账号与所述第二子集中的登录请求参数的对应关系。
4.根据权利要求1所述的账号登录异常检测方法,其特征在于,所述预设下限阈值的确定方式包括:
获取并将多个撞库账号以及所述多个撞库账号对应的登录请求参数构建为第二二分图;
对所述第二二分图中的每一个撞库账号进行循环迭代,得到所述每一个撞库账号的账号值;
将所述多个撞库账号的账号值的平均值作为预设下限阈值。
5.根据权利要求1所述的账号登录异常检测方法,其特征在于,所述预设上限阈值的确定方式包括:
获取并将多个被盗分享账号以及所述多个被盗分享账号对应的登录请求参数构建为第三二分图;
对所述第三二分图中的每一个被盗分享账号进行循环迭代,得到所述每一个被盗分享账号的账号值;
将所述多个被盗分享账号的账号值的平均值作为预设上限阈值。
6.一种账号登录异常检测装置,其特征在于,所述装置包括:
第一二分图构建模块,用于获取多个登录日志,将各登录日志中的关键字段中的账号和所述各登录日志中的关键字段中的登录请求参数构建为第一二分图;
迭代模块,用于对所述第一二分图中的各账号进行循环迭代,得到所述各账号的账号值;
检测模块,用于将小于预设下限阈值的账号值对应的账号确定为撞库账号,将大于预设上限阈值的账号值对应的账号确定为被盗分享账号。
7.根据权利要求6所述的账号登录异常检测装置,其特征在于,所述迭代模块具体用于,通过Pagerank算法对所述第一二分图中的各账号进行循环迭代,得到所述各账号的账号值。
8.根据权利要求6所述的账号登录异常检测装置,其特征在于,所述第一二分图构建模块具体用于,将各登录日志中的关键字段中的账号构建为第一二分图中的第一子集,所述第一子集中的账号均不同;将所述各登录日志中的关键字段中的登录请求参数构建为第一二分图的第二子集,所述第二子集中的登录请求参数均不同;建立所述第一子集中的账号与所述第二子集中的登录请求参数的对应关系。
9.根据权利要求6所述的账号登录异常检测装置,其特征在于,所述装置还包括:
第二二分图构建模块,用于获取并将多个撞库账号以及所述多个撞库账号对应的登录请求参数构建为第二二分图;
撞库账号值计算模块,用于对所述第二二分图中的每一个撞库账号进行循环迭代,得到所述每一个撞库账号的账号值;
预设下限阈值确定模块,用于将所述多个撞库账号的账号值的平均值作为预设下限阈值。
10.根据权利要求6所述的账号登录异常检测装置,其特征在于,所述装置还包括:
第三二分图构建模块,用于获取并将多个被盗分享账号以及所述多个被盗分享账号对应的登录请求参数构建为第三二分图;
被盗分享账号值计算模块,用于对所述第三二分图中的每一个被盗分享账号进行循环迭代,得到所述每一个被盗分享账号的账号值;
预设上限阈值确定模块,用于将所述多个被盗分享账号的账号值的平均值作为预设上限阈值。
11.一种电子设备,其特征在于,包括:处理器、通信接口、存储器和通信总线,其中,所述处理器、所述通信接口、所述存储器通过所述通信总线完成相互间的通信;
所述存储器,用于存放计算机程序;
所述处理器,用于执行所述存储器上所存放的程序时,实现权利要求1~5任一所述的账号登录异常检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711136347.9A CN107992738B (zh) | 2017-11-16 | 2017-11-16 | 一种账号登录异常检测方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711136347.9A CN107992738B (zh) | 2017-11-16 | 2017-11-16 | 一种账号登录异常检测方法、装置及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107992738A true CN107992738A (zh) | 2018-05-04 |
| CN107992738B CN107992738B (zh) | 2020-11-27 |
Family
ID=62031501
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711136347.9A Active CN107992738B (zh) | 2017-11-16 | 2017-11-16 | 一种账号登录异常检测方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107992738B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108833348A (zh) * | 2018-05-08 | 2018-11-16 | 北京奇艺世纪科技有限公司 | 一种基于日志图建模的异常检测方法和装置 |
| CN109815689A (zh) * | 2018-12-28 | 2019-05-28 | 北京奇安信科技有限公司 | 一种网站密码安全性保护方法及装置 |
| CN110457601A (zh) * | 2019-08-15 | 2019-11-15 | 腾讯科技(武汉)有限公司 | 社交账号的识别方法和装置、存储介质及电子装置 |
| CN110519208A (zh) * | 2018-05-22 | 2019-11-29 | 华为技术有限公司 | 异常检测方法、装置及计算机可读介质 |
| CN112861891A (zh) * | 2019-11-27 | 2021-05-28 | 中国电信股份有限公司 | 用户行为异常检测方法和装置 |
| CN112926048A (zh) * | 2021-05-11 | 2021-06-08 | 北京天空卫士网络安全技术有限公司 | 一种异常信息检测方法和装置 |
| CN113347021A (zh) * | 2021-04-29 | 2021-09-03 | 北京奇艺世纪科技有限公司 | 一种模型生成方法、撞库检测方法、装置、电子设备及计算机可读存储介质 |
| CN113810327A (zh) * | 2020-06-11 | 2021-12-17 | 中国科学院计算机网络信息中心 | 异常账户检测方法、装置及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7818303B2 (en) * | 2008-01-29 | 2010-10-19 | Microsoft Corporation | Web graph compression through scalable pattern mining |
| CN103927307A (zh) * | 2013-01-11 | 2014-07-16 | 阿里巴巴集团控股有限公司 | 一种识别网站用户的方法和装置 |
| US9189623B1 (en) * | 2013-07-31 | 2015-11-17 | Emc Corporation | Historical behavior baseline modeling and anomaly detection in machine generated end to end event log |
| US9195826B1 (en) * | 2013-05-30 | 2015-11-24 | Emc Corporation | Graph-based method to detect malware command-and-control infrastructure |
| CN105224528A (zh) * | 2014-05-27 | 2016-01-06 | 华为技术有限公司 | 基于图计算的大数据处理方法和装置 |
| CN107256465A (zh) * | 2017-06-28 | 2017-10-17 | 阿里巴巴集团控股有限公司 | 风险账户的识别方法及装置 |
-
2017
- 2017-11-16 CN CN201711136347.9A patent/CN107992738B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7818303B2 (en) * | 2008-01-29 | 2010-10-19 | Microsoft Corporation | Web graph compression through scalable pattern mining |
| CN103927307A (zh) * | 2013-01-11 | 2014-07-16 | 阿里巴巴集团控股有限公司 | 一种识别网站用户的方法和装置 |
| US9195826B1 (en) * | 2013-05-30 | 2015-11-24 | Emc Corporation | Graph-based method to detect malware command-and-control infrastructure |
| US9189623B1 (en) * | 2013-07-31 | 2015-11-17 | Emc Corporation | Historical behavior baseline modeling and anomaly detection in machine generated end to end event log |
| CN105224528A (zh) * | 2014-05-27 | 2016-01-06 | 华为技术有限公司 | 基于图计算的大数据处理方法和装置 |
| CN107256465A (zh) * | 2017-06-28 | 2017-10-17 | 阿里巴巴集团控股有限公司 | 风险账户的识别方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| GIANLUCA STRINGHINI: "EvilCohort:Detecting Communities of Malicious Accounts on Online Services", 《PROCEEDINGS OF THE 24TH USENIX SECURITY SYMPOSIUM》 * |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108833348A (zh) * | 2018-05-08 | 2018-11-16 | 北京奇艺世纪科技有限公司 | 一种基于日志图建模的异常检测方法和装置 |
| CN108833348B (zh) * | 2018-05-08 | 2021-01-05 | 北京奇艺世纪科技有限公司 | 一种基于日志图建模的异常检测方法和装置 |
| CN110519208A (zh) * | 2018-05-22 | 2019-11-29 | 华为技术有限公司 | 异常检测方法、装置及计算机可读介质 |
| CN109815689A (zh) * | 2018-12-28 | 2019-05-28 | 北京奇安信科技有限公司 | 一种网站密码安全性保护方法及装置 |
| CN110457601A (zh) * | 2019-08-15 | 2019-11-15 | 腾讯科技(武汉)有限公司 | 社交账号的识别方法和装置、存储介质及电子装置 |
| CN110457601B (zh) * | 2019-08-15 | 2023-10-24 | 腾讯科技(武汉)有限公司 | 社交账号的识别方法和装置、存储介质及电子装置 |
| CN112861891A (zh) * | 2019-11-27 | 2021-05-28 | 中国电信股份有限公司 | 用户行为异常检测方法和装置 |
| CN112861891B (zh) * | 2019-11-27 | 2023-11-28 | 中国电信股份有限公司 | 用户行为异常检测方法和装置 |
| CN113810327A (zh) * | 2020-06-11 | 2021-12-17 | 中国科学院计算机网络信息中心 | 异常账户检测方法、装置及存储介质 |
| CN113347021A (zh) * | 2021-04-29 | 2021-09-03 | 北京奇艺世纪科技有限公司 | 一种模型生成方法、撞库检测方法、装置、电子设备及计算机可读存储介质 |
| CN112926048A (zh) * | 2021-05-11 | 2021-06-08 | 北京天空卫士网络安全技术有限公司 | 一种异常信息检测方法和装置 |
| CN112926048B (zh) * | 2021-05-11 | 2021-08-20 | 北京天空卫士网络安全技术有限公司 | 一种异常信息检测方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107992738B (zh) | 2020-11-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107992738A (zh) | 一种账号登录异常检测方法、装置及电子设备 | |
| US11025674B2 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
| US11601475B2 (en) | Rating organization cybersecurity using active and passive external reconnaissance | |
| Altaher | Phishing websites classification using hybrid SVM and KNN approach | |
| US20200358819A1 (en) | Systems and methods using computer vision and machine learning for detection of malicious actions | |
| ES2866723T3 (es) | Métodos y sistemas de agregación de puntuaciones dinámicas de detección de fraude en línea | |
| KR101781450B1 (ko) | 사이버 공격에 대한 위험도 산출 방법 및 장치 | |
| CN107659570A (zh) | 基于机器学习与动静态分析的Webshell检测方法及系统 | |
| CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| CN109474640B (zh) | 恶意爬虫检测方法、装置、电子设备及存储介质 | |
| US20210281609A1 (en) | Rating organization cybersecurity using probe-based network reconnaissance techniques | |
| CN105917632A (zh) | 用于电信中的可扩缩分布式网络业务分析的方法 | |
| CN108763274B (zh) | 访问请求的识别方法、装置、电子设备及存储介质 | |
| Doran et al. | An integrated method for real time and offline web robot detection | |
| CN108573146A (zh) | 一种恶意url检测方法及装置 | |
| CN104933056A (zh) | 统一资源定位符去重方法及装置 | |
| CN107508809B (zh) | 识别网址类型的方法及装置 | |
| EP3703329A1 (en) | Webpage request identification | |
| CN109905396A (zh) | 一种WebShell文件检测方法、装置及电子设备 | |
| US20240231909A1 (en) | System and method for universal computer asset normalization and configuration management | |
| US20230283641A1 (en) | Dynamic cybersecurity scoring using traffic fingerprinting and risk score improvement | |
| CN108390856A (zh) | 一种DDoS攻击检测方法、装置及电子设备 | |
| CN107231383B (zh) | Cc攻击的检测方法及装置 | |
| CN110213255A (zh) | 一种对主机进行木马检测的方法、装置及电子设备 | |
| US20240236133A1 (en) | Detecting Data Exfiltration and Compromised User Accounts in a Computing Network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |