CN108092975B - 异常登录的识别方法、系统、存储介质和电子设备 - Google Patents
异常登录的识别方法、系统、存储介质和电子设备 Download PDFInfo
- Publication number
- CN108092975B CN108092975B CN201711343714.2A CN201711343714A CN108092975B CN 108092975 B CN108092975 B CN 108092975B CN 201711343714 A CN201711343714 A CN 201711343714A CN 108092975 B CN108092975 B CN 108092975B
- Authority
- CN
- China
- Prior art keywords
- real
- risk
- login request
- time
- login
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供异常登录的识别方法、系统、存储介质和电子设备,方法包括:接收并提取实时登录请求携带的特征属性;判断预设时间内该实时登录请求的账户是否在多个第三方网站尝试登录并失败预设次数以上,若是则识别为异常;根据提取的特征属性遍历黑名单库,基于遍历结果赋予第一风险值;根据实时登录请求的IP地址与其用户UID的常用IP归属地的匹配度,赋予第二风险值;比较各特征属性在预设时间内的登录失败次数与预设次数,根据比较结果赋予第三风险值;对第一、第二和第三风险值进行加权计算,得出该实时登录请求的风险参考值,在风险参考值超出风险阈值时识别为异常。本发明通过外部防扫号识别和内部多维度识别结合,最大限度拦截异常登录行为。
Description
技术领域
本发明涉及互联网技术领域,尤其涉及一种异常登录的识别方法、系统、存储介质和电子设备。
背景技术
随着互联网行业的不断发展,黑色攻击事件不断发生,撞库(或称为扫号)是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的账户密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B、C、D等其他网站,这就可以理解为撞库攻击。
目前一般针对撞库行为的防御方法,包括限制IP登录次数,验证码防御等,均属于“被动性”防御,即等待撞库扫号行为攻击到本网站的时候,才进行防御,有效性不足,且会影响本网站大量正常使用的客户,给正常用户登录网站带来了不便。
同时,单维度的防御规则很容易被攻击者破解绕过,不能达到防御的目的,被破解后人工干预的消耗也比较高。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
针对现有技术中的缺陷,本发明要解决的问题在于,如何多维度有效防御扫号攻击行为,在尽可能少影响正常用户体验的情况下,使用业务数据进行自动识别。
根据本发明的一个方面,提供一种异常登录的识别方法,所述识别方法包括:接收实时登录请求,提取该实时登录请求携带的特征属性,包括账户、用户UID、IP地址、登录设备识别码;判断第一预设时间内,该实时登录请求的账户是否在多个第三方网站尝试登录并失败第一预设次数以上,若是则识别该实时登录请求异常,若否则执行:根据该实时登录请求的特征属性遍历本网站黑名单特征属性库,基于遍历结果赋予该实时登录请求第一风险值;识别该实时登录请求的IP地址与该实时登录请求的用户UID的常用IP归属地的匹配度,根据匹配结果赋予该实时登录请求第二风险值;统计该实时登录请求携带的各特征属性在第二预设时间内的登录失败次数,比较各特征属性的登录失败次数与第二预设次数,根据比较结果赋予该实时登录请求第三风险值;对第一风险值、第二风险值、第三风险值进行加权计算,得出该实时登录请求的风险参考值,判断所述风险参考值是否超出风险阈值,在所述风险参考值超出风险阈值时识别该实时登录请求异常。
优选地,识别该实时登录请求异常后,还包括:对于异常的实时登录请求,判断其风险参考值是否超出拦截阈值;若超出拦截阈值则拦截该实时登录请求,若未超出拦截阈值则向该实时登录请求发送登录验证码。
优选地,所述登录验证码包括:滑块验证码、图形验证码、选字验证码。
优选地,所述赋予实时登录请求第一风险值的步骤包括:根据实时登录请求所携带的特征属性遍历本网站黑名单特征属性库,判断所述实时登录请求所携带的特征属性是否与所述本网站黑名单特征属性库中的特征属性匹配;若是,赋予该实时登录请求大于风险阈值的第一风险值;若否,赋予该实时登录请求小于风险阈值的第一风险值。
优选地,所述赋予实时登录请求第二风险值的步骤包括:获取实时登录请求的用户UID,筛选与该用户UID的历史登录行为关联的总登陆天次大于预设天数的IP地址,获取筛选出的IP地址的归属地,作为该用户UID的常用IP归属地;判断实时登录请求的IP地址与该用户UID的常用IP归属地是否匹配;若是,赋予该实时登录请求小于风险阈值的第二风险值;若否,赋予该实时登录请求大于风险阈值的第二风险值。
优选地,所述赋予实时登录请求第三风险值的步骤包括:统计该实时登录请求携带的各特征属性在第二预设时间内的登录失败次数,判断是否存在有特征属性的登录失败次数超出该第二预设次数;若是,赋予该实时登录请求大于风险阈值的第三风险值;若否,赋予该实时登录请求小于风险阈值的第三风险值。
优选地,所述计算风险参考值的步骤包括:分别计算第一风险值与第一系数的第一乘积,第二风险值与第二系数的第二乘积,以及第三风险值与第三系数的第三乘积;将第一乘积、第二乘积和第三乘积相加得出该实时登录请求的风险参考值;其中,所述第一系数、所述第二系数和所述第三系数之和等于1。
优选地,在获取实时登录请求之前,还包括建立本网站黑名单特征属性库的步骤:获取网站的业务日志,从所述业务日志中提取与登录行为关联的特征属性,包括账户、用户UID、IP地址、登录设备识别码;分别统计各个特征属性在历史预设时间段内的登录失败比例,筛选出登录失败比例超出预设比例的特征属性,建立本网站黑名单特征属性库。
优选地,上述的异常登录的识别方法还包括:通过异步SQL,判断各特征属性的辅助风险选项是否超出辅助阈值,将辅助风险选项超出辅助阈值的特征属性加入本网站黑名单特征属性库;其中,所述辅助风险选项包括:预设时段内相同用户代理登录的账户次数、预设时段内相同用户代理登陆的失败率、预设时段内相同用户代理登陆成功账户中异地登录的比例中的任意一个或多个。
优选地,所述与登录行为关联的特征属性还包括设备信息和浏览器信息,所述设备信息对应移动端,所述浏览器信息对应PC端。
根据本发明的另一个方面,提供一种异常登录的识别系统,所述识别系统包括:特征提取模块,接收实时登录请求,提取该实时登录请求携带的特征属性,包括账户、用户UID、IP地址、登录设备识别码;第一判断模块,判断第一预设时间内,该实时登录请求的账户是否在多个第三方网站尝试登录并失败第一预设次数以上,若是则识别该实时登录请求异常,若否则触发:第一赋值模块,根据该实时登录请求的特征属性遍历本网站黑名单特征属性库,基于遍历结果赋予该实时登录请求第一风险值;第二赋值模块,识别该实时登录请求的IP地址与该实时登录请求的用户UID的常用IP归属地的匹配度,根据匹配结果赋予该实时登录请求第二风险值;第三赋值模块,统计该实时登录请求携带的各特征属性在第二预设时间内的登录失败次数,比较各特征属性的登录失败次数与第二预设次数,根据比较结果赋予该实时登录请求第三风险值;第二判断模块,对第一风险值、第二风险值、第三风险值进行加权计算,得出该实时登录请求的风险参考值,判断所述风险参考值是否超出风险阈值,在所述风险参考值超出风险阈值时识别该实时登录请求异常。
根据本发明的另一个方面,提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述的异常登录的识别方法的步骤。
根据本发明的另一个方面,提供一种电子设备,包括:处理器;以及存储器,用于存储所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行上述的异常登录的识别方法的步骤。
有鉴于此,本发明与现有技术相比的有益效果在于:本发明根据实时接收的登录请求,主动识别该登录请求的账户是否在其他多个网站存在疑似扫号行为,从而从外部实现主动防御;同时,对于未在其他网站发现可疑行为的登录请求,在本网站内通过多维度识别,在可能少影响正常用户体验的情况下,实现精准有效的识别防御,保障账号安全。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出本发明示例性实施例中一种异常登录的识别方法的步骤示意图;
图2示出本发明实施例中赋予实时登录请求第一风险值的步骤示意图;
图3示出本发明实施例中赋予实时登录请求第二风险值的步骤示意图;
图4示出本发明实施例中赋予实时登录请求第三风险值的步骤示意图;
图5示出本发明示例性实施例中一种异常登录的识别系统的模块示意图;
图6示出本发明示例性实施例中一种计算机可读存储介质的示意图;
图7示出本发明示例性实施例中一种电子设备的示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本发明将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。
此外,附图仅为本发明的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
图1示出实施例中异常登录的识别方法的步骤示意图。参照图1所示,本实施例的识别方法包括:
步骤S101、接收实时登录请求,提取该实时登录请求携带的特征属性,包括账户、用户UID、IP地址、登录设备识别码。其中,登录设备识别码为网站为登录请求的发起设备分配的可以唯一识别的机器识别码,也可称作设备指纹。
步骤S102、判断第一预设时间内,该实时登录请求的账户是否在多个第三方网站尝试登录并失败第一预设次数以上,若是则跳转步骤S107,即识别该实时登录请求异常,若否则继续执行后续步骤。若在第一预设时间内,该实时登录请求的账户在多个第三方网站尝试登录并失败第一预设次数以上,则表明该实时登录请求的账户存在很大可能的扫号攻击行为,因此识别该实时登录请求异常,后续可以启动防御机制对该实时登录请求进行进一步的处理。此处第一预设时间和第一预设次数可以根据实际情况设定,例如第一预设时间设为5分钟,第一预设次数设为10次。当某个账户存在扫号攻击行为时,其势必会在多个网站采用相同的账户密码尝试登录,则在短时间内会出现多次登录失败。本步骤通过获取该实时登录请求的账户在其他网站的登录情况,可以第一时间识别其异常行为,从而及时启动防御。
步骤S103、根据该实时登录请求的特征属性遍历本网站黑名单特征属性库,基于遍历结果赋予该实时登录请求第一风险值。参照图2所示,赋予实时登录请求第一风险值的步骤包括:步骤S1031、根据实时登录请求所携带的特征属性遍历本网站黑名单特征属性库,步骤S1032、判断实时登录请求所携带的特征属性是否与本网站黑名单特征属性库中的特征属性匹配;步骤S1033、若是,赋予该实时登录请求大于风险阈值的第一风险值;步骤S1034、若否,赋予该实时登录请求小于风险阈值的第一风险值。其中,建立本网站黑名单特征属性库的步骤包括:获取网站的业务日志(包含登录,注册,业务操作等行为),从业务日志中提取与登录行为关联的特征属性,包括账户、用户UID、IP地址、登录设备识别码;分别统计各个特征属性在历史预设时间段内的登录失败比例,筛选出登录失败比例超出预设比例的特征属性,建立本网站黑名单特征属性库。
例如统计各个特征属性前90天的登录总量和失败比例,建立各个特征属性的基准线监控,当某个特征属性的登录失败比例超过其基准线,则将该特征属性加入黑名单。与登录行为关联的特征属性还包括设备信息和浏览器信息,设备信息对应移动端,例如手机IMEI(International Mobile Equipment Identity,国际移动设备辨识码,与每台移动设备一一对应),浏览器信息对应PC端。
步骤S104、识别该实时登录请求的IP地址与该实时登录请求的用户UID的常用IP归属地的匹配度,根据匹配结果赋予该实时登录请求第二风险值。参照图3所示,赋予该实时登录请求第二风险值的步骤包括:步骤S1041、获取实时登录请求的用户UID,筛选与该用户UID的历史登录行为关联的总登陆天次大于预设天数的IP地址,获取筛选出的IP地址的归属地,作为该用户UID的常用IP归属地;步骤S1042、判断实时登录请求的IP地址与该用户UID的常用IP归属地是否匹配;步骤S1043、若是,赋予该实时登录请求小于风险阈值的第二风险值;步骤S1044、若否,赋予该实时登录请求大于风险阈值的第二风险值。
举例来说,如统计每个用户UID 90天内包含的业务数据中常用的IP归属地,以省为基准来判断该用户UID此次登录是否为异地登录,若为异地登录则提升风险值。
步骤S105、统计该实时登录请求携带的各特征属性在第二预设时间内的登录失败次数,比较各特征属性的登录失败次数与第二预设次数,根据比较结果赋予该实时登录请求第三风险值。参照图4所示,赋予该实时登录请求第三风险值的步骤包括:步骤S1051、统计该实时登录请求携带的各特征属性在第二预设时间内的登录失败次数;步骤S1052、判断是否存在有特征属性的登录失败次数超出该第二预设次数;步骤S1053、若是,赋予该实时登录请求大于风险阈值的第三风险值;步骤S1054、若否,赋予该实时登录请求小于风险阈值的第三风险值。
例如,同一账户1分钟内登录失败5次后提升风险值;相同设备信息、IP地址、浏览器信息等,5分钟内登录失败10次后提升风险值。
步骤S106、对第一风险值、第二风险值、第三风险值进行加权计算,得出该实时登录请求的风险参考值,判断该风险参考值是否超出风险阈值,在风险参考值超出风险阈值时执行步骤S107,即识别该实时登录请求异常。具体的,计算风险参考值的步骤包括:分别计算第一风险值与第一系数的第一乘积,第二风险值与第二系数的第二乘积,以及第三风险值与第三系数的第三乘积;将第一乘积、第二乘积和第三乘积相加得出该实时登录请求的风险参考值;其中,第一系数、第二系数和第三系数之和等于1。
识别该实时登录请求异常后,即在步骤S107之后还可包括:对于异常的实时登录请求,判断其风险参考值是否超出拦截阈值;若超出拦截阈值则拦截该实时登录请求,若未超出拦截阈值则向该实时登录请求发送登录验证码。登录验证码包括:滑块验证码、图形验证码、选字验证码。把实时的风险判断和异步的行为定位统一后计算各维度的最终风险值给到前端进行对应的拦截措施,通过弹出滑块验证码,图形验证码,选字验证码,禁止登录等阻止异常登录行为。
识别之后,还将前端的拦截措施通过率回传至风控系统,统计失败率以判断对方的破解程度,根据规则自动升级拦截措施。
进一步的,除实时的识别步骤外,还通过异步SQL,判断各特征属性的辅助风险选项是否超出辅助阈值,将辅助风险选项超出辅助阈值的特征属性加入本网站黑名单特征属性库。其中辅助风险选项包括:预设时段内相同用户代理登录的账户次数、预设时段内相同用户代理登陆的失败率、预设时段内相同用户代理登陆成功账户中异地登录的比例中的任意一个或多个。通过异步SQL计算较复杂的数据筛选,以定位一些规避规则的撞库行为,例如:10分钟内登录数据中同User Agent(用户代理)登录账户大于100,及该User Agent 10分钟内登录异常升高报警,及失败率>60%,及该User Agent登录成功账户中异地登录账号>=70%,则对应数据中IP地址,账户,设备号,User Agent高风险。
例如,撞库攻击者使用了大量代理ip进行攻击,在扫号攻击开始后,虽然对方有大量代理ip支持,但登录异常升高报警,异常登录业务数据被规则自动识别,实时计算发现对方使用的浏览器信息有一致性,该浏览器信息请求返回高风险,对方的登录立即弹出了大量验证码。由于该验证码攻击者无法破解,短时间内异常登录量大幅下降,拦截数据回传拦截率较高,无需升级拦截措施,最终攻击者放弃尝试。
本实施例运用大数据基准线统计来确定撞库攻击时间区域,从而增加后续规则判断条件并且发出报警警示人工干预,通过实时规则和异步SQL双重判断,同时保证了实时性和覆盖率。在规则判断使用了例如失败率,异地登录,基准线对比之类的撞库攻击者难以规避的条件,这使我们在与黑客的规则对抗中始终占领高地。一般业界普遍的做法是通过简单的登录维度统计进行判断,非常容易被黑客规避。实时风控引擎支持了实时计算以及规则配置,灵活可变动,对于应急情况的人工干预也能很快支持,一条实时规则从配置到上线到起作用耗时在秒级。同时,只有识别为异常的登录请求才会做出对应风险拦截操作,所以对正常用户,基本没有感知,有效保护了正常用户的体验。通过多重拦截措施,且拦截措施通过率数据回传风控统计,自动升级拦截措施以应对OCR技术较高的攻击者,降低人工干预成本。
本发明还提供一种异常登录的识别系统,参照图5所示,异常登录的识别系统包括:
特征提取模块601,接收实时登录请求,提取该实时登录请求携带的特征属性,包括账户、用户UID、IP地址、登录设备识别码;
第一判断模块602,判断第一预设时间内,该实时登录请求的账户是否在多个第三方网站尝试登录并失败第一预设次数以上,若是则识别该实时登录请求异常,若否则触发:
第一赋值模块603,根据该实时登录请求的特征属性遍历本网站黑名单特征属性库,基于遍历结果赋予该实时登录请求第一风险值;
第二赋值模块604,识别该实时登录请求的IP地址与该实时登录请求的用户UID的常用IP归属地的匹配度,根据匹配结果赋予该实时登录请求第二风险值;
第三赋值模块605,统计该实时登录请求携带的各特征属性在第二预设时间内的登录失败次数,比较各特征属性的登录失败次数与第二预设次数,根据比较结果赋予该实时登录请求第三风险值;
第二判断模块606,对第一风险值、第二风险值、第三风险值进行加权计算,得出该实时登录请求的风险参考值,判断该风险参考值是否超出风险阈值,在风险参考值超出风险阈值时识别该实时登录请求异常。
其中,各个模块的功能原理以及操作步骤与上述方法实施例一致,因此不再赘述。
在本发明的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时可以实现上述任意一个实施例中所述异常登录的识别方法的步骤。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述异常登录的识别方法描述的根据本发明各种示例性实施方式的步骤。
参考图6所示,描述了根据本发明的实施方式的用于实现上述方法的程序产品700,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
所述程序产品700可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
所述计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
在本发明的示例性实施例中,还提供一种电子设备,该电子设备可以包括处理器,以及用于存储所述处理器的可执行指令的存储器。其中,所述处理器配置为经由执行所述可执行指令来执行上述任意一个实施例中所述异常登录的识别方法的步骤。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
下面参照图7来描述根据本发明的这种实施方式的电子设备800。图7显示的电子设备800仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图7所示,电子设备800以通用计算设备的形式表现。电子设备800的组件可以包括但不限于:至少一个处理单元810、至少一个存储单元820、连接不同系统组件(包括存储单元820和处理单元810)的总线830、显示单元840等。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元810执行,使得所述处理单元810执行本说明书上述异常登录的识别方法部分中描述的根据本发明各种示例性实施方式的步骤。例如,所述处理单元810可以执行如图1中所示的步骤。
所述存储单元820可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)8201和/或高速缓存存储单元8202,还可以进一步包括只读存储单元(ROM)8203。
所述存储单元820还可以包括具有一组(至少一个)程序模块8205的程序/实用工具8204,这样的程序模块8205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线830可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备800也可以与一个或多个外部设备900(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备800交互的设备通信,和/或与使得该电子设备800能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口850进行。并且,电子设备800还可以通过网络适配器860与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器860可以通过总线830与电子设备800的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备800使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本发明实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、或者网络设备等)执行根据本发明实施方式的上述异常登录的识别方法。
综上,本发明根据实时接收的登录请求,主动识别该登录请求的账户是否在其他多个网站存在疑似扫号行为,从而从外部实现主动防御,避免明显异常登录行为进入本网站而紧急启动内部防御机制影响其余正常用户的登录。对于未在其他网站发现可疑行为的登录请求,在本网站内通过多维度识别,在可能少影响正常用户体验的情况下,实现精准有效的识别防御,保障账号安全。多维度的防御不仅可以提高异常登录行为的识别准确性,避免漏检或误检,避免影响本网站正常使用的用户,而且不易被攻击者破解绕过,达到有效防御的目的。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由所附的权利要求指出。
Claims (10)
1.一种异常登录的识别方法,其特征在于,所述识别方法包括:
接收实时登录请求,提取该实时登录请求携带的特征属性,包括账户、用户UID、IP地址、登录设备识别码;
判断第一预设时间内,该实时登录请求的账户是否在多个第三方网站尝试登录并失败第一预设次数以上,若是则识别该实时登录请求异常,若否则执行:
根据该实时登录请求的特征属性遍历本网站黑名单特征属性库,基于遍历结果赋予该实时登录请求第一风险值;
识别该实时登录请求的IP地址与该实时登录请求的用户UID的常用IP归属地的匹配度,根据匹配结果赋予该实时登录请求第二风险值;
统计该实时登录请求携带的各特征属性在第二预设时间内的登录失败次数,比较各特征属性的登录失败次数与第二预设次数,根据比较结果赋予该实时登录请求第三风险值;
对第一风险值、第二风险值、第三风险值进行加权计算,得出该实时登录请求的风险参考值,判断所述风险参考值是否超出风险阈值,在所述风险参考值超出风险阈值时识别该实时登录请求异常;
对于异常的实时登录请求,通过拦截措施阻止异常登录行为,包括:判断异常的实时登录请求的风险参考值是否超出拦截阈值,若是则拦截该异常的实时登录请求,若否则弹出滑块验证码、图形验证码或选字验证码;以及,回传所述拦截措施的通过率数据,以获得指示所述拦截措施的破解程度的失败率数据;
所述识别方法还包括:
通过异步SQL,判断各特征属性的辅助风险选项是否超出辅助阈值,将辅助风险选项超出辅助阈值的特征属性加入本网站黑名单特征属性库;其中,所述辅助风险选项包括:预设时段内相同用户代理登录的账户次数、预设时段内相同用户代理登陆的失败率、预设时段内相同用户代理登陆成功账户中异地登录的比例中的任意一个或多个。
2.如权利要求1所述的异常登录的识别方法,其特征在于,所述赋予实时登录请求第一风险值的步骤包括:
根据实时登录请求所携带的特征属性遍历本网站黑名单特征属性库,判断所述实时登录请求所携带的特征属性是否与所述本网站黑名单特征属性库中的特征属性匹配;
若是,赋予该实时登录请求大于风险阈值的第一风险值;
若否,赋予该实时登录请求小于风险阈值的第一风险值。
3.如权利要求1所述的异常登录的识别方法,其特征在于,所述赋予实时登录请求第二风险值的步骤包括:
获取实时登录请求的用户UID,筛选与该用户UID的历史登录行为关联的总登陆天次大于预设天数的IP地址,获取筛选出的IP地址的归属地,作为该用户UID的常用IP归属地;
判断实时登录请求的IP地址与该用户UID的常用IP归属地是否匹配;
若是,赋予该实时登录请求小于风险阈值的第二风险值;
若否,赋予该实时登录请求大于风险阈值的第二风险值。
4.如权利要求1所述的异常登录的识别方法,其特征在于,所述赋予实时登录请求第三风险值的步骤包括:
统计该实时登录请求携带的各特征属性在第二预设时间内的登录失败次数,判断是否存在有特征属性的登录失败次数超出该第二预设次数;
若是,赋予该实时登录请求大于风险阈值的第三风险值;
若否,赋予该实时登录请求小于风险阈值的第三风险值。
5.如权利要求1所述的异常登录的识别方法,其特征在于,所述计算风险参考值的步骤包括:
分别计算第一风险值与第一系数的第一乘积,第二风险值与第二系数的第二乘积,以及第三风险值与第三系数的第三乘积;
将第一乘积、第二乘积和第三乘积相加得出该实时登录请求的风险参考值;
其中,所述第一系数、所述第二系数和所述第三系数之和等于1。
6.如权利要求1所述的异常登录的识别方法,其特征在于,在获取实时登录请求之前,还包括建立本网站黑名单特征属性库的步骤:
获取网站的业务日志,从所述业务日志中提取与登录行为关联的特征属性,包括账户、用户UID、IP地址、登录设备识别码;
分别统计各个特征属性在历史预设时间段内的登录失败比例,筛选出登录失败比例超出预设比例的特征属性,建立本网站黑名单特征属性库。
7.如权利要求6所述的异常登录的识别方法,其特征在于,所述与登录行为关联的特征属性还包括设备信息和浏览器信息,所述设备信息对应移动端,所述浏览器信息对应PC端。
8.一种异常登录的识别系统,其特征在于,所述识别系统包括:
特征提取模块,接收实时登录请求,提取该实时登录请求携带的特征属性,包括账户、用户UID、IP地址、登录设备识别码;
第一判断模块,判断第一预设时间内,该实时登录请求的账户是否在多个第三方网站尝试登录并失败第一预设次数以上,若是则识别该实时登录请求异常,若否则触发:
第一赋值模块,根据该实时登录请求的特征属性遍历本网站黑名单特征属性库,基于遍历结果赋予该实时登录请求第一风险值;
第二赋值模块,识别该实时登录请求的IP地址与该实时登录请求的用户UID的常用IP归属地的匹配度,根据匹配结果赋予该实时登录请求第二风险值;
第三赋值模块,统计该实时登录请求携带的各特征属性在第二预设时间内的登录失败次数,比较各特征属性的登录失败次数与第二预设次数,根据比较结果赋予该实时登录请求第三风险值;
第二判断模块,对第一风险值、第二风险值、第三风险值进行加权计算,得出该实时登录请求的风险参考值,判断所述风险参考值是否超出风险阈值,在所述风险参考值超出风险阈值时识别该实时登录请求异常;
异常拦截模块,对于异常的实时登录请求,通过拦截措施阻止异常登录行为,包括:判断异常的实时登录请求的风险参考值是否超出拦截阈值,若是则拦截该异常的实时登录请求,若否则弹出滑块验证码、图形验证码或选字验证码;以及,回传所述拦截措施的通过率数据,以获得指示所述拦截措施的破解程度的失败率数据;
异步SQL模块,通过异步SQL,判断各特征属性的辅助风险选项是否超出辅助阈值,将辅助风险选项超出辅助阈值的特征属性加入本网站黑名单特征属性库;其中,所述辅助风险选项包括:预设时段内相同用户代理登录的账户次数、预设时段内相同用户代理登陆的失败率、预设时段内相同用户代理登陆成功账户中异地登录的比例中的任意一个或多个。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1~7任一项所述的异常登录的识别方法的步骤。
10.一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1~7任一项所述的异常登录的识别方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711343714.2A CN108092975B (zh) | 2017-12-07 | 2017-12-07 | 异常登录的识别方法、系统、存储介质和电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711343714.2A CN108092975B (zh) | 2017-12-07 | 2017-12-07 | 异常登录的识别方法、系统、存储介质和电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108092975A CN108092975A (zh) | 2018-05-29 |
| CN108092975B true CN108092975B (zh) | 2020-09-22 |
Family
ID=62176198
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711343714.2A Active CN108092975B (zh) | 2017-12-07 | 2017-12-07 | 异常登录的识别方法、系统、存储介质和电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108092975B (zh) |
Families Citing this family (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108875388A (zh) * | 2018-05-31 | 2018-11-23 | 康键信息技术(深圳)有限公司 | 实时风险控制方法、装置及计算机可读存储介质 |
| CN108965294A (zh) * | 2018-07-16 | 2018-12-07 | 安徽信尔联信息科技有限公司 | 一种用户名及密码保护系统 |
| CN108965316B (zh) * | 2018-08-01 | 2021-06-18 | 杭州安恒信息技术股份有限公司 | 基于驱动层报文检测技术的防爆破方法和系统 |
| CN109460653B (zh) * | 2018-10-22 | 2021-06-25 | 武汉极意网络科技有限公司 | 基于规则引擎的验证方法、验证设备、存储介质及装置 |
| CN109376138B (zh) * | 2018-11-29 | 2021-03-23 | 北京奇艺世纪科技有限公司 | 一种多维数据的异常组合检测方法及装置 |
| CN109905369B (zh) * | 2019-01-24 | 2022-11-04 | 平安科技(深圳)有限公司 | 员工账号被盗的预警方法、装置及计算机可读存储介质 |
| CN109862029A (zh) * | 2019-03-01 | 2019-06-07 | 论客科技(广州)有限公司 | 一种使用大数据分析的应对暴力破解行为的方法及系统 |
| CN110011992B (zh) * | 2019-03-25 | 2022-07-26 | 联想(北京)有限公司 | 系统登录方法及电子设备 |
| CN110083575A (zh) * | 2019-04-11 | 2019-08-02 | 中国移动通信集团内蒙古有限公司 | 履职监控方法、装置、设备及计算机可读存储介质 |
| CN110363540A (zh) * | 2019-06-27 | 2019-10-22 | 上海淇馥信息技术有限公司 | 一种基于用户行为检测的羊毛党识别方法、装置和电子设备 |
| CN110427971A (zh) * | 2019-07-05 | 2019-11-08 | 五八有限公司 | 用户及ip的识别方法、装置、服务器和存储介质 |
| CN111224932B (zh) * | 2019-10-15 | 2022-01-04 | 平安科技(深圳)有限公司 | 服务器带外管理系统的用户管理方法及装置 |
| CN110866210A (zh) * | 2019-10-23 | 2020-03-06 | 云深互联(北京)科技有限公司 | 浏览器用户的日志管控方法、装置和设备 |
| CN111031000B (zh) * | 2019-11-18 | 2021-06-01 | 腾讯科技(深圳)有限公司 | 一种业务风控系统的处理方法、装置、系统及存储介质 |
| CN112825519B (zh) * | 2019-11-21 | 2024-04-09 | 北京沃东天骏信息技术有限公司 | 一种识别异常登录的方法和装置 |
| CN112861120A (zh) * | 2019-11-27 | 2021-05-28 | 深信服科技股份有限公司 | 识别方法、设备及存储介质 |
| CN111010402B (zh) * | 2019-12-24 | 2022-09-30 | 深信服科技股份有限公司 | 账号登陆方法、装置、设备及计算机可读存储介质 |
| CN111400357A (zh) * | 2020-02-21 | 2020-07-10 | 中国建设银行股份有限公司 | 一种识别异常登录的方法和装置 |
| CN111429260B (zh) * | 2020-03-19 | 2023-06-06 | 重庆富民银行股份有限公司 | 用于风控系统的用户体验提升方法及系统 |
| CN111506486B (zh) * | 2020-04-17 | 2022-04-19 | 支付宝(杭州)信息技术有限公司 | 数据处理方法及系统 |
| CN111787050B (zh) * | 2020-05-15 | 2023-04-11 | 华南师范大学 | 一种登录异常行为的分析方法、系统和装置 |
| CN113810327B (zh) * | 2020-06-11 | 2023-08-22 | 中国科学院计算机网络信息中心 | 异常账户检测方法、装置及存储介质 |
| CN113810329B (zh) * | 2020-06-11 | 2023-09-29 | 中国科学院计算机网络信息中心 | 一种邮箱账号异常的检测方法及检测系统 |
| CN113810328A (zh) * | 2020-06-11 | 2021-12-17 | 中国科学院计算机网络信息中心 | 异常账户确定方法、装置及存储介质 |
| CN112039861B (zh) * | 2020-08-20 | 2023-04-18 | 咪咕文化科技有限公司 | 风险识别方法、装置、电子设备和计算机可读存储介质 |
| CN112738030B (zh) * | 2020-12-16 | 2021-09-14 | 重庆扬成大数据科技有限公司 | 通过大数据分析农业技术人员的数据采集分享工作方法 |
| CN113014566B (zh) * | 2021-02-19 | 2022-03-25 | 腾讯科技(深圳)有限公司 | 恶意注册的检测方法、装置、计算机可读介质及电子设备 |
| CN113162936B (zh) * | 2021-04-25 | 2023-04-07 | 亿次网联(杭州)科技有限公司 | 一种防止异常动态分析的方法和系统 |
| CN113329010B (zh) * | 2021-05-27 | 2022-11-08 | 北京沃东天骏信息技术有限公司 | 一种用户访问管理的方法和系统 |
| CN113487225A (zh) * | 2021-07-23 | 2021-10-08 | 北京云从科技有限公司 | 一种风险控制方法、系统、设备及介质 |
| CN113591076A (zh) * | 2021-07-26 | 2021-11-02 | 招商银行股份有限公司 | 撞库行为检测方法、系统、设备及计算机程序产品 |
| CN113591110A (zh) * | 2021-07-26 | 2021-11-02 | 招商银行股份有限公司 | 涉密请求甄别方法、系统、设备及计算机程序产品 |
| CN113627208B (zh) * | 2021-08-17 | 2024-04-05 | 上海源慧信息科技股份有限公司 | 一种扫码登陆预警方法、装置、计算机设备和存储介质 |
| CN114285664A (zh) * | 2021-12-29 | 2022-04-05 | 赛尔网络有限公司 | 异常用户识别方法、系统、设备及介质 |
| CN115001802B (zh) * | 2022-05-30 | 2023-05-30 | 平安科技(深圳)有限公司 | 基于共享屏幕的账号异常登录检测方法及相关设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106529288A (zh) * | 2016-11-16 | 2017-03-22 | 智者四海(北京)技术有限公司 | 一种帐号风险识别方法及装置 |
| CN106952096A (zh) * | 2017-03-03 | 2017-07-14 | 中国工商银行股份有限公司 | 客户端设备的安全认证系统、方法及客户端可信识别装置 |
| CN107277036A (zh) * | 2017-07-05 | 2017-10-20 | 云南撇捺势信息技术有限公司 | 基于多站点数据的登录验证方法、验证设备及存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101873214A (zh) * | 2009-04-24 | 2010-10-27 | 索尼株式会社 | 广播加密中用于密钥生成、加密和解密的方法、设备 |
-
2017
- 2017-12-07 CN CN201711343714.2A patent/CN108092975B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106529288A (zh) * | 2016-11-16 | 2017-03-22 | 智者四海(北京)技术有限公司 | 一种帐号风险识别方法及装置 |
| CN106952096A (zh) * | 2017-03-03 | 2017-07-14 | 中国工商银行股份有限公司 | 客户端设备的安全认证系统、方法及客户端可信识别装置 |
| CN107277036A (zh) * | 2017-07-05 | 2017-10-20 | 云南撇捺势信息技术有限公司 | 基于多站点数据的登录验证方法、验证设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108092975A (zh) | 2018-05-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108092975B (zh) | 异常登录的识别方法、系统、存储介质和电子设备 | |
| CN109831465B (zh) | 一种基于大数据日志分析的网站入侵检测方法 | |
| US11025674B2 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
| US9369479B2 (en) | Detection of malware beaconing activities | |
| CN108932426B (zh) | 越权漏洞检测方法和装置 | |
| US10721245B2 (en) | Method and device for automatically verifying security event | |
| CN112073389B (zh) | 云主机安全态势感知系统、方法、设备及存储介质 | |
| CN110417778B (zh) | 访问请求的处理方法和装置 | |
| US20160019388A1 (en) | Event correlation based on confidence factor | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| CN108924118B (zh) | 一种撞库行为检测方法及系统 | |
| CN106685899B (zh) | 用于识别恶意访问的方法和设备 | |
| US20210360032A1 (en) | Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance | |
| US20180302430A1 (en) | SYSTEM AND METHOD FOR DETECTING CREATION OF MALICIOUS new USER ACCOUNTS BY AN ATTACKER | |
| US10505986B1 (en) | Sensor based rules for responding to malicious activity | |
| CN111786966A (zh) | 浏览网页的方法和装置 | |
| CN107612924A (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
| CN111400357A (zh) | 一种识别异常登录的方法和装置 | |
| CN111586005B (zh) | 扫描器扫描行为识别方法及装置 | |
| CN111835737B (zh) | 基于自动学习的web攻击防护方法、及其相关设备 | |
| CN112000719A (zh) | 数据安全态势感知系统、方法、设备及存储介质 | |
| CN112668005A (zh) | webshell文件的检测方法及装置 | |
| CN110955890B (zh) | 恶意批量访问行为的检测方法、装置和计算机存储介质 | |
| CN113535823B (zh) | 异常访问行为检测方法、装置及电子设备 | |
| US11836247B2 (en) | Detecting malicious behavior in a network using security analytics by analyzing process interaction ratios |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |