CN108076012A - 异常登录判断方法及装置 - Google Patents
异常登录判断方法及装置 Download PDFInfo
- Publication number
- CN108076012A CN108076012A CN201610999792.7A CN201610999792A CN108076012A CN 108076012 A CN108076012 A CN 108076012A CN 201610999792 A CN201610999792 A CN 201610999792A CN 108076012 A CN108076012 A CN 108076012A
- Authority
- CN
- China
- Prior art keywords
- login
- cluster
- place
- abnormal
- clusters
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 157
- 238000000034 method Methods 0.000 title claims abstract description 62
- 238000012795 verification Methods 0.000 claims description 16
- 238000012545 processing Methods 0.000 claims description 7
- 230000008569 process Effects 0.000 claims description 5
- 238000012552 review Methods 0.000 claims description 3
- 238000004364 calculation method Methods 0.000 claims description 2
- 230000007246 mechanism Effects 0.000 abstract description 15
- 238000010586 diagram Methods 0.000 description 12
- 230000000694 effects Effects 0.000 description 7
- 238000003064 k means clustering Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 241000276420 Lophius piscatorius Species 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 230000008260 defense mechanism Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Alarm Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供一种异常登录判断方法及装置,该方法包括:获取用户的当前登录地点以及历史登录地点的地理位置信息;按照预设聚类规则对各登录地点进行聚类得到若干登录地点聚类,登录地点聚类包括常用登录地点聚类和/或异常登录地点聚类;计算各登录地点聚类之间的聚类距离;基于当前登录地点所位于的登录地点聚类的聚类类别以及该登录地点聚类与其它各登录地点聚类之间的聚类距离,确定当前登录是否为异常登录。本发明提出一种判断偏离常用登录地点的盗号行为的判断机制,具有误报率低、适用范围广的优点。
Description
技术领域
本申请涉及网络安全技术领域,具体涉及一种异常登录判断方法及装置。
背景技术
当前的账号安全防御机制通常采用短信二次验证机制,盗号者针对该机制伪造了可以进一步钓到用户短信验证码的页面。即用户在钓鱼网站的登录框中完成登录之后,会跳转至一个与官方二次验证页面相同的伪造页面,同样要求用户输入手机号码并发送短信。而用户在伪造的页面上输入手机号码并点击发送后,钓鱼者可以在官网页面上执行发送短信验证码的操作。这样,用户依然可以收到官方发来的验证码短信,此时一旦将验证码填入到伪造页面上,盗号者即得到了用户本次登录的验证码,完成盗号。
盗号者完成登录之后,可以进一步诱导用户以修改用户的密保手机。具体地,盗号者可以以验证失败、绑定账号为由,在登录成功后继续诱骗用户输入验证码,而盗号者在官方页面上进行修改密码的操作,让系统发送修改密码的验证码给用户,用户再将验证码填到伪造页面上,盗号者即获取到该验证码,完成密保手机的修改。一旦密保手机发生修改,即宣告用户帐号的所有控制权均转移给了盗号者。
此外,盗号者还可以通过保持ip或者cookie不变的情况下再次登录系统,此时可避开短信二次验证而登录成功。
经过分析发现,用户在账号被钓鱼的时候,其登录ip显示其登录地点往往会偏移出其常用登录地点。在发生账户被盗的用户中,曾发现95%以上的用户发生过登录地点的异常偏移。
对于上述钓鱼盗号的网络安全隐患,目前有以下几类解决方案:
由用户设置一个或多个常用登录地点,系统一旦发现ip对应的地点与常用登录地点不符,则产生异常登录预警,通知客户账号登录存在风险。该方案的缺陷在于:需要用户进行设置,如果用户安全意识淡薄未进行设置,则此方案形同虚设;同时,在该方案中,一旦盗号者登录成功,盗号者也可以设置自身地点;此外,该方式存在着较高的误报率,一旦用户在设置地点以外处登录,就会造成误报。
将本次登录地点与上次登录地点进行比较,若偏移量超过某个阈值时,产生异常登录预警。该方案的缺陷在于:对于多地共用的账号会造成较多的误报,适用范围较小。
发明内容
鉴于现有技术中的上述缺陷或不足,期望提供一种能有效判断偏离常用登录地点的盗号行为、误报率低、适用范围广的异常登录判断方法及装置。
第一方面,本发明提供一种异常登录判断方法,该方法包括:
获取用户的当前登录地点以及历史登录地点的地理位置信息;
按照预设聚类规则对各登录地点进行聚类得到若干登录地点聚类,所述登录地点聚类包括常用登录地点聚类和/或异常登录地点聚类;
计算各所述登录地点聚类之间的聚类距离;
基于所述当前登录地点所位于的登录地点聚类的聚类类别以及该登录地点聚类与其它各登录地点聚类之间的聚类距离,确定当前登录是否为异常登录。
第二方面,本发明提供一种异常登录判断装置,该装置包括:
地理位置信息获取单元,配置用于获取用户的当前登录地点以及历史登录地点的地理位置信息;
聚类单元,配置用于按照预设聚类规则对各登录地点进行聚类得到若干登录地点聚类,所述登录地点聚类包括常用登录地点聚类和/或异常登录地点聚类;
聚类距离计算单元,配置用于计算各所述登录地点聚类之间的聚类距离;
异常登录确定单元,配置用于基于所述当前登录地点所位于的登录地点聚类的聚类类别以及该登录地点聚类与其它各登录地点聚类之间的聚类距离,确定当前登录是否为异常登录。
第三方面,本发明还提供一种设备,包括一个或多个处理器和存储器,其中存储器包含可由所述一个或多个处理器执行的指令以使得所述一个或多个处理器执行根据本发明各实施例提供的异常登录判断方法。
第四方面,本发明还提供一种存储有计算机程序的计算机可读存储介质,该计算机程序使计算机执行根据本发明各实施例提供的异常登录判断方法。
本发明诸多实施例提供的异常登录判断方法及装置提出了一种判断机制:利用登录的地理位置信息对用户的当前登录地点和历史登录地点共同进行聚类,再根据聚类的类别和距离判断当前登录是否为异常登录;上述判断机制能有效判断出偏离常用登录地点的盗号行为,同时对于多地共同使用的账号的误报率极低,对于常用登录地点附近的登录通常不会造成误报,因此具有误报率低、适用范围广的优点;
本发明一些实施例提供的异常登录判断方法及装置进一步提供了适用于历史登录地点较少或较为分散的情况的判断机制,进一步提高了判断的准确性,并降低了误报率;
本发明一些实施例提供的异常登录判断方法及装置进一步通过设置对登录地点聚类范围的判断机制,避免将部分异常登录地点误判为正常登录地点,进一步提高了判断的准确性;
本发明一些实施例提供的异常登录判断方法及装置进一步通过设置若干登录异常安全处理手段,以避免盗号者完全掌控账号的所有权或规避后续的登录异常判断,保障被盗号账号的安全。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1为本发明一实施例提供的异常登录判断方法的流程图。
图2为图1所示方法的一种优选实施方式中步骤S70的流程图。
图3为图1所示方法的另一种优选实施方式中步骤S70的流程图。
图4为图1所示方法中对各登录地点进行聚类和判断的示例图。
图5为图1所示方法的一种优选实施方式的流程图。
图6为图5所示方法中对聚类半径进行判断后重新对各登录地点进行聚类的示例图。
图7为图1所示方法的一种优选实施方式的流程图。
图8为本发明一实施例提供的异常登录判断装置的结构示意图。
图9为图8所示装置的一种优选实施方式的结构示意图。
图10为图8所示装置的另一种优选实施方式的结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
图1为本发明一实施例提供的异常登录判断方法的流程图。
如图1所示,在本实施例中,本发明提供的异常登录判断方法包括:
S10:获取用户的当前登录地点以及历史登录地点的地理位置信息。
具体地,在本实施例中,地理位置信息为GPS信息或IP地址信息,当两者同时可获取时,优选选用地理位置精度较高的GPS信息。在更多实施例中,还可选用其它可用于标识登录地理位置的不同信息作为地理位置信息,可实现相同的技术效果。
当获取到当前账号本次登录的GPS信息后,将GPS信息转换为经纬度坐标,再转换为以米为单位的直角坐标系坐标——墨卡托坐标;当无法获取GPS信息而获取IP地址信息时,将IP地址信息转换为对应的市/县的经纬度坐标,再转换为墨卡托坐标。在更多实施例中,也可将经纬度坐标转换为其它同一度量的坐标,可实现相同的技术效果。
在本实施例中,进一步还将每次登录的地理位置信息转换得到的坐标进行存储,以便获取历史登录地点的地理位置信息时可直接获取若干坐标,而无需获取GPS信息或IP地址信息再进行转换;
在另一实施例中,也可将每次登录的地理位置信息直接进行存储,并在每次获取历史登录地点的地理位置信息时转换为坐标,以便每次可灵活转换为所需的不同数据格式。
S30:按照预设聚类规则对各登录地点进行聚类得到若干登录地点聚类。其中,登录地点聚类包括常用登录地点聚类和/或异常登录地点聚类。
具体地,在本实施例中,聚类规则为K均值(K-means)聚类法。对于K-means聚类模型,输入为各登录地点的坐标,以及预定的登录地点聚类数量K,输出为K个登录地点聚类。优选地,可进一步根据输出的各登录地点聚类进行分析以对登录地点聚类数量K进行动态调节。
在另一些实施例中,聚类规则为地理位置聚类法,各登录地点聚类通过以同级地理位置为单位对各登录地点的坐标进行分组获得。对于地理位置聚类模型,输入为各登录地点的坐标,输出为以同级地理位置为单位的若干个登录地点聚类。例如,以市级行政区域为单位进行分组,获得北京、上海、苏州、广州、三亚等登录地点聚类。
在更多实施例中,还可以其它不同的聚类规则进行聚类,只要所划分得到的登录地点聚类由若干地理位置相互较为接近的登录地点组成,即可实现相同的技术效果。
得到若干登录地点聚类后,根据预设的分类标记规则在各登录地点聚类中标记常用登录地点聚类和异常登录地点聚类。
具体地,在本实施例中,分类标记规则具体包括:
若登录地点聚类中的登录地点数量大于则登录地点聚类为常用登录地点聚类。其中,N为登录地点的数量,K为登录地点聚类的数量。
若登录地点聚类中的登录地点数量小于第一预设值,该第一预设值可以是预设的异常登录地点聚类判断阈值,则登录地点聚类为异常登录地点聚类。
在本实施例中,常用登录地点聚类的判断阈值设置为异常登录地点聚类判断阈值设置为3,在更多实施例中,还可根据实际需求分别设置为不同的取值,可实现相同的技术效果。
S60:计算各登录地点聚类之间的聚类距离。
具体地,分别计算各登录地点聚类的核心位置的坐标,然后计算出两者之间的距离,即为聚类距离。其中,登录地点聚类的核心位置为能以最小半径覆盖该登录地点聚类中所有登录地点的位置。
分别计算待考察登录地点所在的异常登录地点聚类与常用登录地点聚类的核心位置的坐标,计算出两者之间的距离,即为聚类距离。
S70:基于当前登录地点所位于的登录地点聚类的聚类类别以及该登录地点聚类与其它各登录地点聚类之间的聚类距离,确定当前登录是否为异常登录。
若当前登录地点所位于的登录地点聚类不是异常登录地点聚类,则当前登录为正常登录;
若当前登录地点所位于的登录地点聚类是异常登录地点聚类,则根据基于所计算出的聚类距离来判断当前登录是否为异常登录。图2和图3为上述方法的一些优选实施方式中步骤S70的流程图。具体地,如图2所述,在一优选实施例中,在登录地点聚类同时包括常用登录地点聚类和异常登录地点聚类时,步骤S70包括:
S72:判断当前登录地点所位于的登录地点聚类的聚类类别是否异常登录地点聚类:
否,则当前登录为正常登录;
是,则进入步骤S74:
S74:判断该登录地点聚类与各常用登录地点聚类之间的任一聚类距离是否大于第一预定距离:
否,则当前登录为正常登录;
是,则当前登录为异常登录。
如图3所示,在一优选实施例中,在登录地点聚类包括异常登录地点聚类且不包括常用登录地点聚类时,步骤S70包括:
S76:判断当前登录地点所位于的登录地点聚类与其它登录地点聚类之间的各聚类距离中的最小值是否大于第一预定距离:
是,则当前登录为异常登录;
否,则当前登录为正常登录。
图4为图1所示方法中对各登录地点进行聚类和判断的示例图。
具体地,如图4所示,在步骤S10中,获取本次登录的地理位置信息并转化为坐标,标记为待考察登录地点(图2所示实心点)。
并获取当前账号的历史登录地点坐标(图2所示9个空心点),利用K-means聚类法对待考察登录地点和9个历史登录地点的坐标进行分组,在本实施例中K的取值为2,得到一个包括8个登录地点的第一登录地点聚类和一个包括2个登录地点的第二登录地点聚类。
在步骤S30中,登录地点的数量N=10,登录地点聚类的数量K=2,则当任一登录地点聚类中的登录地点数量大于5时,该登录地点聚类为常用登录地点聚类。即,将由8个登录地点组成的第一登录地点聚类标记为常用登录地点聚类。
异常登录地点聚类判断阈值n在本实施例中设置为3,则当任一登录地点聚类中的登录地点数量小于3时,该登录地点聚类为异常登录地点聚类。即,将由2个登录地点组成的第二登录地点聚类标记为异常登录地点聚类。
在步骤S60中,分别计算两个聚类的核心位置坐标,并计算出两个坐标的直线距离,即这两个聚类之间的聚类距离。
更进一步地,优选地,当登录地点聚类同时包括常用登录地点聚类和异常登录地点聚类时,在步骤S60中无需计算各登录地点聚类两两之间的聚类距离,而只需计算出当前登录地点所在的异常登录地点聚类与常用登录地点聚类之间的聚类距离,即可供步骤S70完成判断。
需要说明的是,上述只计算异常登录地点聚类与常用登录地点聚类之间的聚类距离的方法是为了在通常情况下提高效率、节省资源,而并不构成对于本发明提供的方法在特殊情况下的限定,例如极端情况下,当登录地点聚类被同时误判为常用登录地点聚类和异常登录地点聚类时,仍需计算异常登录地点聚类与其它登录地点聚类之间的聚类距离。
在步骤S70中,判断得知当前登录的待考察登录地点所在的第二登录地点聚类为异常登录地点聚类,并判断该直线距离大于第一预定距离400km,则确定当前登录为异常登录。
在本实施例中,第一预定距离设定为400km,在更多实施例中,可根据实际需求将第一预定距离设置为不同的距离,可实现相同的技术效果。
对于多地共用的账号,例如N=100,其中有50个登录地点在北京、有40个登录地点在上海,有10个登录地点在广州,K=3,异常登录地点聚类判断阈值n=3,第一预定距离D=400km,则,位于北京和上海的两个登录地点聚类为常用登录地点聚类,位于广州的登录地点聚类既不是常用登录地点聚类也不是异常登录地点聚类。当盗号者在三亚登录时,形成了异常登录地点聚类,并且与各常用登录地点聚类(北京、上海)的核心距离大于400km,可以判断出当前登录为异常登录。
如果该账号的用户在重庆开设新的办公点并使用该账号,则前两次登录会形成误报,但从第三次起即不会再发生误报。
上述实施例提出了一种判断机制:利用登录的地理位置信息转换的坐标,将当前账号所有登录地点的坐标共同进行聚类分组,再按照合理设置的判断规则将包括较多/较少登录地点的聚类分别设置为常用登录地点聚类/异常登录地点聚类,从而判断待考察登录地点是否同时满足属于异常登录地点聚类以及与常用登录地点聚类的核心距离较远,若同时满足则判定为异常登录。上述判断机制能有效判断出偏离常用登录地点的盗号行为,同时对于多地共同使用的账号的误报率极低,对于常用登录地点附近的登录通常不会造成误报,因此具有误报率低、适用范围广的优点。
在一优选实施例中,步骤S70之前还包括:判断异常登录地点聚类判断阈值大于
否,则进入步骤S70;
是,则比较待考察登录地点所在的登录地点聚类与其它任一登录地点聚类的核心距离是否均大于第一预定距离:
否,则本次登录为正常登录;
是,则本次登录为异常登录。
具体地,当前账号的历史登录地点较少时,或者各登录地点的地理位置较为分散时,可能会导致难以区分常用登录地点聚类和异常登录地点聚类,此时通过采用上述判断机制,可以大概率避免误判,从而提高判断的准确率。该判断机制可适用于K-means聚类法、地理位置分组法等任一分组规则。
上述实施例进一步提供了适用于历史登录地点较少或较为分散的情况的判断机制,从而进一步提高了判断的准确性,并降低了误报率。
图5为图1所示方法的一种优选实施方式的流程图。
如图5所示,在一优选实施例中,步骤S30之前还包括:
S40:判断是否存在登录地点聚类的半径大于第二预定距离:
若存在,将增加登录地点聚类的数量K,进入步骤S50:基于增加后的登录地点聚类数量,按照预设聚类规则对登录地点进行聚类,返回步骤S40;
若不存在,则进入步骤S60。
图6为图5所示方法中对登录地点聚类半径进行判断后重新对各登录地点进行聚类的示例图。
如图5所示,在K-means聚类法中,当K的取值较小时,可能会导致生成的登录地点聚类半径过大,不具有地域代表性,导致误判。
在本实施例中,K的初始值为2,当步骤S30生成两个登录地点聚类后,分别计算两个登录地点聚类的半径。其中,半径为登录地点聚类的核心位置与登录地点聚类中任一登录地点的距离的最大值。
当存在登录地点聚类的半径大于第二预定距离200km时,将K的值加一,并再次对各登录地点的坐标进行K-means聚类,得到3个登录地点聚类。
循环上述步骤,直至所有登录地点聚类的半径都不大于200km,则进入步骤S60。
在本实施例中,第二预定距离设定为200km,在更多实施例中,可根据实际需求将第二预定距离设置为不同的距离,可实现相同的技术效果。
上述实施例进一步通过设置对登录地点聚类范围的判断机制,避免将部分异常登录地点误判为正常登录地点,进一步提高了判断的准确性。
图7为图1所示方法的一种优选实施方式的流程图。
如图7所示,在一优选实施例中,步骤S70之后还包括:
S90:在确定用户的当前登录为异常登录后,执行登录异常安全处理。
具体地,登录异常安全处理可以包括以下至少一项:
预定时间内禁止修改用户密保手机;
强制设定当前账号在下次登录时必须进行短信二次验证;
向预定接收端发送消息以提醒用户当前发生了异常登录;
强制对当前账号的消费操作进行人工审核。
上述实施例进一步通过设置若干登录异常安全处理手段,以避免盗号者完全掌控账号的所有权或规避后续的登录异常判断,保障被盗号账号的安全。
图8为本发明一实施例提供的异常登录判断装置的结构示意图。图8所示的异常登录判断装置可对应应用于执行上述任一实施例提供的异常登录判断方法。
如图8所示,在本实施例中,本发明提供的异常登录判断装置包括地理位置信息获取单元10、聚类单元30、聚类距离计算单元50和异常登录确定单元70。
在本实施例中,异常登录判断装置与登录服务器通信连接,各单元均配置为专用于进行登录异常判断的硬件装置。
在更多实施例中,还可根据实际需求将异常登录判断装置的部分单元配置为软件程序、部分单元配置为硬件装置,可实现相同的技术效果。
地理位置信息获取单元10配置用于获取用户的当前登录地点以及历史登录地点的地理位置信息。
聚类单元30,配置用于按照预设聚类规则对各登录地点进行聚类得到若干登录地点聚类。
其中,登录地点聚类包括常用登录地点聚类和/或异常登录地点聚类。
聚类距离计算单元50,配置用于计算各登录地点聚类之间的聚类距离。
异常登录确定单元70,配置用于基于当前登录地点所位于的登录地点聚类的聚类类别以及该登录地点聚类与其它各登录地点聚类之间的聚类距离,确定当前登录是否为异常登录。
在一优选实施例中,异常登录确定单元70进一步配置用于在登录地点聚类包括常用登录地点聚类和异常登录地点聚类,当前登录地点所位于的登录地点聚类的聚类类别是异常登录地点聚类,并且该登录地点聚类与各常用登录地点聚类之间的任一聚类距离大于第一预定距离时,确定当前登录为异常登录。
在一优选实施例中,异常登录确定单元70进一步配置用于在登录地点聚类包括常用登录地点聚类和异常登录地点聚类,并且当前登录地点所位于的登录地点聚类的聚类类别是常用登录地点聚类时,确定当前登录为正常登录;或者,
在登录地点聚类包括常用登录地点聚类和异常登录地点聚类,当前登录地点所位于的登录地点聚类的聚类类别是异常登录地点聚类,并且该登录地点聚类与各常用登录地点聚类之间的各聚类距离都不大于第一预定距离时,确定当前登录为正常登录。
在一优选实施例中,异常登录确定单元70进一步配置用于在登录地点聚类包括异常登录地点聚类且不包括常用登录地点聚类,并且当前登录地点所位于的登录地点聚类与其它登录地点聚类之间的各聚类距离中的最小值大于第一预定距离时,确定当前登录为异常登录。
在一优选实施例中,聚类单元30进一步配置用于判断所包含的登录地点数量大于的登录地点聚类为常用登录地点聚类;以及,判断所包含的登录地点数量小于第一预设值的登录地点聚类为异常登录地点聚类。其中,N为各登录地点的总体数量,K为登录地点聚类数量。
图9为图8所示装置的一种优选实施方式的结构示意图。
如图9所示,在一优选实施例中,本发明提供的装置进一步还包括:
聚类数量增加单元40,配置用于在聚类后的登录地点聚类中存在半径大于第二预设值的登录地点聚类时,增加登录地点聚类数量。
相对应地,聚类单元30进一步配置用于基于增加后的登录地点聚类数量,按照所述预设聚类规则对所述登录地点进行聚类,直到所有登录地点聚类的半径不大于所述第二预设值为止。
图10为图8所示装置的另一种优选实施方式的结构示意图。如图10所示,在一优选实施例中,上述任一实施例提供的装置进一步还包括:
登录异常安全处理单元90,配置用于在异常登录确定单元70确定用户的当前登录为异常登录后,执行上述任一项或多项登录异常安全处理。
附图中的流程图和框图,图示了按照本发明各种实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这根据所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以通过执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以通过专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的单元或模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元或模块也可以设置在处理器中,例如,地理位置信息获取单元10可以是设置在登录服务器中的软件程序,也可以是与登录服务器通信连接、单独用于获取用户当前或历史登录的地理位置信息的硬件装置。其中,这些单元或模块的名称在某种情况下并不构成对该单元或模块本身的限定。
作为另一方面,本申请还提供了一种计算机系统,包括处理器和存储器,并可进一步包括本领域技术人员可以理解的其它计算机系统组件,例如显示器、各类输入输出设备等。其中存储器包含可由处理器执行的指令以使得处理器执行根据本发明各实施例提供的异常登录判断方法。
作为又一方面,本申请还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中所述装置中所包含的计算机可读存储介质;也可以是单独存在,未装配入设备中的计算机可读存储介质。计算机可读存储介质存储有一个或者一个以上程序,所述程序被一个或者一个以上的处理器用来执行描述于本申请的异常登录判断方法。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离所述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (21)
1.一种异常登录判断方法,其特征在于,所述方法包括:
获取用户的当前登录地点以及历史登录地点的地理位置信息;
按照预设聚类规则对各登录地点进行聚类得到若干登录地点聚类,所述登录地点聚类包括常用登录地点聚类和/或异常登录地点聚类;
计算各所述登录地点聚类之间的聚类距离;
基于所述当前登录地点所位于的登录地点聚类的聚类类别以及该登录地点聚类与其它各登录地点聚类之间的聚类距离,确定当前登录是否为异常登录。
2.根据权利要求1所述的异常登录判断方法,其特征在于,在所述登录地点聚类包括常用登录地点聚类和异常登录地点聚类时,基于所述当前登录地点所位于的登录地点聚类的聚类类别以及该登录地点聚类与其它各登录地点聚类之间的聚类距离,确定当前登录是否为异常登录包括:
在所述当前登录地点所位于的登录地点聚类的聚类类别是异常登录地点聚类,并且该登录地点聚类与各常用登录地点聚类之间的任一聚类距离大于第一预定距离时,确定当前登录为异常登录。
3.根据权利要求1所述的异常登录判断方法,其特征在于,在所述登录地点聚类包括常用登录地点聚类和异常登录地点聚类时,基于所述当前登录地点所位于的登录地点聚类的聚类类别以及该登录地点聚类与其它各登录地点聚类之间的聚类距离,确定当前登录是否为异常登录包括:
在所述当前登录地点所位于的登录地点聚类的聚类类别是常用登录地点聚类时,确定当前登录为正常登录;或者
在所述当前登录地点所位于的登录地点聚类的聚类类别是异常登录地点聚类,并且该登录地点聚类与各常用登录地点聚类之间的各聚类距离都不大于第一预定距离时,确定当前登录为正常登录。
4.根据权利要求1所述的异常登录判断方法,其特征在于,在所述登录地点聚类包括异常登录地点聚类且不包括常用登录地点聚类时,基于所述当前登录地点所位于的登录地点聚类的聚类类别以及该登录地点聚类与其它各登录地点聚类之间的聚类距离,确定当前登录是否为异常登录包括:
在所述当前登录地点所位于的登录地点聚类与其它登录地点聚类之间的各聚类距离中的最小值大于第一预定距离时,确定当前登录为异常登录。
5.根据权利要求1-4中任一所述的异常登录判断方法,其特征在于,所述常用登录地点聚类是所包含的登录地点数量大于的登录地点聚类,以及所述异常登录地点聚类是所包含的登录地点数量小于第一预设值的登录地点聚类,其中,N为各所述登录地点的总体数量,K为登录地点聚类数量。
6.根据权利要求1所述的异常登录判断方法,其特征在于,在按照预设的聚类规则对各登录地点进行聚类之后,所述方法还包括:
当在聚类后的登录地点聚类中存在半径大于第二预设值的登录地点聚类时,增加登录地点聚类数量;
基于增加后的登录地点聚类数量,按照所述预设聚类规则对所述登录地点进行聚类,直到所有登录地点聚类的半径不大于所述第二预设值为止。
7.根据权利要求1所述的异常登录判断方法,其特征在于,所述地理位置信息为GPS信息或IP地址信息。
8.根据权利要求1所述的异常登录判断方法,其特征在于,所述聚类规则为K均值(K-means)聚类法或地理位置聚类法。
9.根据权利要求1-8中任一所述的异常登录判断方法,其特征在于,所述方法还包括:
在确定用户的当前登录为异常登录后,执行登录异常安全处理。
10.根据权利要求9所述的异常登录判断方法,其特征在于,所述登录异常安全处理包括以下至少一项:
预定时间内禁止修改用户密保手机;
强制设定当前账号在下次登录时必须进行短信二次验证;
向预定接收端发送消息以提醒用户当前发生了异常登录;
强制对当前账号的消费操作进行人工审核。
11.一种异常登录判断装置,其特征在于,所述装置包括:
地理位置信息获取单元,配置用于获取用户的当前登录地点以及历史登录地点的地理位置信息;
聚类单元,配置用于按照预设聚类规则对各登录地点进行聚类得到若干登录地点聚类,所述登录地点聚类包括常用登录地点聚类和/或异常登录地点聚类;
聚类距离计算单元,配置用于计算各所述登录地点聚类之间的聚类距离;
异常登录确定单元,配置用于基于所述当前登录地点所位于的登录地点聚类的聚类类别以及该登录地点聚类与其它各登录地点聚类之间的聚类距离,确定当前登录是否为异常登录。
12.根据权利要求11所述的异常登录判断装置,其特征在于,所述异常登录确定单元进一步配置用于:
在所述登录地点聚类包括常用登录地点聚类和异常登录地点聚类,所述当前登录地点所位于的登录地点聚类的聚类类别是异常登录地点聚类,并且该登录地点聚类与各常用登录地点聚类之间的任一聚类距离大于第一预定距离时,确定当前登录为异常登录。
13.根据权利要求11所述的异常登录判断装置,其特征在于,所述异常登录确定单元进一步配置用于:
在所述登录地点聚类包括常用登录地点聚类和异常登录地点聚类,并且所述当前登录地点所位于的登录地点聚类的聚类类别是常用登录地点聚类时,确定当前登录为正常登录;或者,
在所述登录地点聚类包括常用登录地点聚类和异常登录地点聚类,所述当前登录地点所位于的登录地点聚类的聚类类别是异常登录地点聚类,并且该登录地点聚类与各常用登录地点聚类之间的各聚类距离都不大于第一预定距离时,确定当前登录为正常登录。
14.根据权利要求11所述的异常登录判断装置,其特征在于,所述异常登录确定单元进一步配置用于:
在所述登录地点聚类包括异常登录地点聚类且不包括常用登录地点聚类,并且所述当前登录地点所位于的登录地点聚类与其它登录地点聚类之间的各聚类距离中的最小值大于第一预定距离时,确定当前登录为异常登录。
15.根据权利要求11-14中任一项所述的异常登录判断装置,其特征在于,所述聚类单元进一步配置用于:
将所包含的登录地点数量大于的登录地点聚类确定为常用登录地点聚类;
将所包含的登录地点数量小于第一预设值的登录地点聚类确定为异常登录地点聚类;
其中,N为各所述登录地点的总体数量,K为登录地点聚类数量。
16.根据权利要求11所述的异常登录判断装置,其特征在于,所述装置还包括:
聚类数量增加单元,配置用于在聚类后的登录地点聚类中存在半径大于第二预设值的登录地点聚类时,增加登录地点聚类数量,以及
所述聚类单元进一步配置用于基于增加后的登录地点聚类数量,按照所述预设聚类规则对所述登录地点进行聚类,直到所有登录地点聚类的半径不大于所述第二预设值为止。
17.根据权利要求11所述的异常登录判断装置,其特征在于,所述地理位置信息为GPS信息或IP地址信息。
18.根据权利要求11所述的异常登录判断装置,其特征在于,所述聚类规则为K均值(K-means)聚类法或地理位置聚类法。
19.根据权利要求11-18中任一项所述的异常登录判断装置,其特征在于,还包括:
登录异常安全处理单元,配置用于在所述异常登录确定单元确定用户的当前登录为异常登录后,执行登录异常安全处理。
20.根据权利要求19所述的异常登录判断装置,其特征在于,所述登录异常安全处理包括以下至少一项:
预定时间内禁止修改用户密保手机;
强制设定当前账号在下次登录时必须进行短信二次验证;
向预定接收端发送消息以提醒用户当前发生了异常登录;
强制对当前账号的消费操作进行人工审核。
21.一种设备,其特征在于,所述设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行如权利要求1-10任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610999792.7A CN108076012B (zh) | 2016-11-14 | 2016-11-14 | 异常登录判断方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610999792.7A CN108076012B (zh) | 2016-11-14 | 2016-11-14 | 异常登录判断方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108076012A true CN108076012A (zh) | 2018-05-25 |
CN108076012B CN108076012B (zh) | 2021-08-20 |
Family
ID=62162043
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610999792.7A Active CN108076012B (zh) | 2016-11-14 | 2016-11-14 | 异常登录判断方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108076012B (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109951449A (zh) * | 2019-02-01 | 2019-06-28 | 国美网安科技有限公司 | 一种异常登录检测方法、装置、电子设备及存储介质 |
CN110300027A (zh) * | 2019-06-29 | 2019-10-01 | 西安交通大学 | 一种异常登录检测方法 |
CN110544132A (zh) * | 2019-09-06 | 2019-12-06 | 上海喜马拉雅科技有限公司 | 用户常活动位置的确定方法、装置、设备和存储介质 |
CN111553383A (zh) * | 2020-03-30 | 2020-08-18 | 平安医疗健康管理股份有限公司 | 一种数据风险检测方法、装置及设备 |
WO2020199035A1 (zh) * | 2019-03-29 | 2020-10-08 | 华为技术有限公司 | 一种减少嗅探攻击的方法、装置及集成电路 |
CN113572757A (zh) * | 2021-07-21 | 2021-10-29 | 中国工商银行股份有限公司 | 服务器访问风险监测方法及装置 |
CN117390708A (zh) * | 2023-12-11 | 2024-01-12 | 南京向日葵大数据有限公司 | 一种隐私数据安全保护方法及系统 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7698424B1 (en) * | 2004-09-28 | 2010-04-13 | Emc Corporation | Techniques for presenting multiple data storage arrays to iSCSI clients as a single aggregated network array |
CN103023718A (zh) * | 2012-11-29 | 2013-04-03 | 北京奇虎科技有限公司 | 一种用户登录监测设备和方法 |
CN103338188A (zh) * | 2013-06-08 | 2013-10-02 | 北京大学 | 一种适用于移动云的客户端动态认证方法 |
CN103532797A (zh) * | 2013-11-06 | 2014-01-22 | 网之易信息技术(北京)有限公司 | 一种用户登录异常监测方法和装置 |
CN104601547A (zh) * | 2014-12-22 | 2015-05-06 | 新浪网技术(中国)有限公司 | 一种非法操作的识别方法及装置 |
WO2016032491A1 (en) * | 2014-08-28 | 2016-03-03 | Hewlett Packard Enterprise Development Lp | Distributed detection of malicious cloud actors |
US20160275136A1 (en) * | 2010-03-31 | 2016-09-22 | Cloudera, Inc. | Collecting and aggregating log data with fault tolerance |
-
2016
- 2016-11-14 CN CN201610999792.7A patent/CN108076012B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7698424B1 (en) * | 2004-09-28 | 2010-04-13 | Emc Corporation | Techniques for presenting multiple data storage arrays to iSCSI clients as a single aggregated network array |
US20160275136A1 (en) * | 2010-03-31 | 2016-09-22 | Cloudera, Inc. | Collecting and aggregating log data with fault tolerance |
CN103023718A (zh) * | 2012-11-29 | 2013-04-03 | 北京奇虎科技有限公司 | 一种用户登录监测设备和方法 |
CN103338188A (zh) * | 2013-06-08 | 2013-10-02 | 北京大学 | 一种适用于移动云的客户端动态认证方法 |
CN103532797A (zh) * | 2013-11-06 | 2014-01-22 | 网之易信息技术(北京)有限公司 | 一种用户登录异常监测方法和装置 |
WO2016032491A1 (en) * | 2014-08-28 | 2016-03-03 | Hewlett Packard Enterprise Development Lp | Distributed detection of malicious cloud actors |
CN104601547A (zh) * | 2014-12-22 | 2015-05-06 | 新浪网技术(中国)有限公司 | 一种非法操作的识别方法及装置 |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109951449A (zh) * | 2019-02-01 | 2019-06-28 | 国美网安科技有限公司 | 一种异常登录检测方法、装置、电子设备及存储介质 |
WO2020199035A1 (zh) * | 2019-03-29 | 2020-10-08 | 华为技术有限公司 | 一种减少嗅探攻击的方法、装置及集成电路 |
CN110300027A (zh) * | 2019-06-29 | 2019-10-01 | 西安交通大学 | 一种异常登录检测方法 |
CN110544132A (zh) * | 2019-09-06 | 2019-12-06 | 上海喜马拉雅科技有限公司 | 用户常活动位置的确定方法、装置、设备和存储介质 |
CN110544132B (zh) * | 2019-09-06 | 2023-04-07 | 上海喜马拉雅科技有限公司 | 用户常活动位置的确定方法、装置、设备和存储介质 |
CN111553383A (zh) * | 2020-03-30 | 2020-08-18 | 平安医疗健康管理股份有限公司 | 一种数据风险检测方法、装置及设备 |
CN113572757A (zh) * | 2021-07-21 | 2021-10-29 | 中国工商银行股份有限公司 | 服务器访问风险监测方法及装置 |
CN113572757B (zh) * | 2021-07-21 | 2022-10-11 | 中国工商银行股份有限公司 | 服务器访问风险监测方法及装置 |
CN117390708A (zh) * | 2023-12-11 | 2024-01-12 | 南京向日葵大数据有限公司 | 一种隐私数据安全保护方法及系统 |
CN117390708B (zh) * | 2023-12-11 | 2024-02-23 | 南京向日葵大数据有限公司 | 一种隐私数据安全保护方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN108076012B (zh) | 2021-08-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108076012B (zh) | 异常登录判断方法及装置 | |
CN108768943B (zh) | 一种检测异常账号的方法、装置及服务器 | |
CN109729131B (zh) | 一种应用请求的处理方法、装置和路由器 | |
US20210036907A1 (en) | Methods and apparatuses for pushing a message | |
CN105991590B (zh) | 一种验证用户身份的方法、系统、客户端及服务器 | |
CN112100545A (zh) | 网络资产的可视化方法、装置、设备和可读存储介质 | |
EP3751871A1 (en) | Method for a disaster notification service not requiring collecting of location information, and disaster notification server and application system therefor | |
US20140206399A1 (en) | Location-based group generation method, apparatus and system | |
CN108718298B (zh) | 一种恶意外连流量检测方法及装置 | |
CN108377201A (zh) | 网络异常感知方法、装置、设备及计算机可读存储介质 | |
RU2669687C1 (ru) | Способ и устройство проверки | |
CN111274340A (zh) | 人流密度的监控处理方法、设备及存储介质 | |
CN109428857B (zh) | 一种恶意探测行为的检测方法和装置 | |
US20200004785A1 (en) | Automatic grouping based on user behavior | |
CN114465741B (zh) | 一种异常检测方法、装置、计算机设备及存储介质 | |
CN105790948A (zh) | 一种身份认证方法及装置 | |
CN109462818A (zh) | 一种识别用户出行轨迹的方法、装置及终端 | |
CN113836509B (zh) | 信息采集方法、装置、电子设备和存储介质 | |
CN110853293A (zh) | 一种地图围栏的安防预警方法及装置 | |
CN111652284A (zh) | 扫描器识别方法及装置、电子设备、存储介质 | |
CN107665403A (zh) | 掌上报警和智慧出警调度系统及其使用方法 | |
CN109492149B (zh) | 爬虫任务处理方法及装置 | |
CN114221988A (zh) | 一种内容分发网络热点分析方法和系统 | |
CN111385272A (zh) | 弱口令的检测方法及装置 | |
CN107547221B (zh) | 一种用于提供日志信息的方法与设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |