CN110493166A - 一种账号异常检测方法和装置 - Google Patents
一种账号异常检测方法和装置 Download PDFInfo
- Publication number
- CN110493166A CN110493166A CN201810718608.6A CN201810718608A CN110493166A CN 110493166 A CN110493166 A CN 110493166A CN 201810718608 A CN201810718608 A CN 201810718608A CN 110493166 A CN110493166 A CN 110493166A
- Authority
- CN
- China
- Prior art keywords
- account
- address
- login
- thresholding
- logs
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5053—Lease time; Renewal aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种账号异常检测方法和装置。涉及云计算技术,解决了现有漂移账号检测方式容易发生误判的问题。该方法包括:根据实时的账号登录所使用的IP地址情况,动态更新标准登录IP地址数量门限;在账号对应的登录IP地址数量超过所述标准登录IP地址数量门限时,判定所述账号存在异常。本发明提供的技术方案适用于账号安全管理,实现了准确灵活的漂移账号发现。
Description
技术领域
本发明涉及云计算技术,尤其涉及一种账号异常检测方法和装置。
背景技术
在个人信息越来越重要的时代,互联网产品账户变得非常重要,一旦账号被盗用或者被滥用就会带来严重威胁,轻则损害账号真实用户的利益,重则可能发生经济损失甚至造成社会影响。
现有的账号漂移实现较为简单,基本算法原理是:
假设:N=一个时间段内同一账号X对应的IP数量,如果N>一个固定数值(如5),则判断这个账号X存在账号漂移现象。
目前算法的缺点主要有两个:
A:存在一个固定数值,而数值一旦设定不合理,将会导致误判。比如某些企业服务账号(企业的招聘账号),本身平时就是多人在使用,一旦这个固定数值设置的比较小,则很容易造成误判。
B:当用户在快速移动时,比如乘坐高铁时,用户的终端设备会在多个移动基站之间快速切换,造成的现象也是IP快速变化,很容易导致N>固定值,这样按照现有算法,也会造成误判。
发明内容
本发明旨在解决上面描述的问题。
根据本发明的第一方面,提供了一种账号异常检测方法,包括:
根据实时的账号登录所使用的IP地址情况,动态更新标准登录IP地址数量门限;
在账号对应的登录IP地址数量超过所述标准登录IP地址数量门限时,判定所述账号存在异常。
优选的,所述根据实时的账号登录所使用的IP地址情况,动态更新标准登录IP地址数量门限的步骤包括:
收集多个账号的登录IP地址,每个账号具有至少一个登录IP地址;
分析所述多个账号的登录IP地址,得到标准登录IP地址数量门限。
优选的,所述分析所述多个账号的登录IP地址,得到标准登录IP地址数量门限的步骤包括:
在预置的统计周期内,分别统计各个账号的有效登录IP地址数量;
取所述多个账号的有效登录IP地址数量的平均值乘以应用系数,作为所述标准登录IP地址数量门限。
优选的,通过以下方式统计任一账号的有效登录IP地址数量:
收集所述预置的统计周期内一账号登录所使用的全部IP地址;
对收集得到的IP地址中具有相同特征的多个IP地址进行融合,作为一个有效登录IP地址;
在所述融合完成后,统计所述账号的有效登录IP地址数量。
优选的,具有相同特征的多个IP地址具体为在同一C段内的多个IP地址。
优选的,该方法还包括:
生成被判定存在异常的账号的集合。
根据本发明的另一方面,还提供了一种账号异常检测装置,包括:
标准数量门限更新模块,用于根据实时的账号登录所使用的IP地址情况,动态更新标准登录IP地址数量门限;
异常判定模块,用于在账号对应的登录IP地址数量超过所述标准登录IP地址数量门限时,判定所述账号存在异常。
优选的,所述标准数量门限更新模块包括:
数据收集子模块,用于收集多个账号的登录IP地址,每个账号具有至少一个登录IP地址;
门限生成子模块,用于分析所述多个账号的登录IP地址,得到标准登录IP地址数量门限。
优选的,所述门限生成子模块包括:
数量统计单元,用于在预置的统计周期内,分别统计各个账号的有效登录IP地址数量;
门限计算单元,用于取所述多个账号的有效登录IP地址数量的平均值乘以应用系数,作为所述标准登录IP地址数量门限。
优选的,所述数量统计单元包括:
IP地址收集子单元,用于收集所述预置的统计周期内一账号登录所使用的全部IP地址;
地址融合子单元,用于对收集得到的IP地址中具有相同特征的多个IP地址进行融合,作为一个有效登录IP地址;
数量计算子单元,用于在所述融合完成后,统计所述账号的有效登录IP地址数量。
优选的,该装置还包括:
异常账号收集模块,用于生成被判定存在异常的账号的集合。
本发明提供了一种账号异常检测方法和装置,根据实时的账号登录所使用的IP地址情况,动态更新标准登录IP地址数量门限,在账号对应的登录IP地址数量超过所述标准登录IP地址数量门限时,判定所述账号存在异常。使用动态更新的标准登录IP地址数量门限作为判定存在异常的标准,摆脱了使用固定数值的模式,实现了准确灵活的漂移账号发现,解决了现有漂移账号检测方式容易发生误判的问题。
参照附图来阅读对于示例性实施例的以下描述,本发明的其他特性特征和优点将变得清晰。
附图说明
并入到说明书中并且构成说明书的一部分的附图示出了本发明的实施例,并且与描述一起用于解释本发明的原理。在这些附图中,类似的附图标记用于表示类似的要素。下面描述中的附图是本发明的一些实施例,而不是全部实施例。对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,可以根据这些附图获得其他的附图。
图1示例性地示出了本发明的一实施例提供的一种账号异常检测方法的流程;
图2示例性地示出了图1中步骤101的具体流程;
图3示例性地示出了本发明的一实施例提供的一种账号异常检测装置的结构;
图4示例性地示出了图3中标准数量门限更新模块301的结构;
图5示例性地示出了图4中门限生成子模块402的结构;
图6示例性地示出了图5中数量统计单元501的结构。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
目前算法的缺点主要有两个:
A:存在一个固定数值,而数值一旦设定不合理,将会导致误判。比如某些企业服务账号(如企业的招聘账号),本身平时就是多人在使用,一旦这个固定数值设置的比较小,则很容易造成误判,而且,某些服务账号在特定时段的使用者数量高于(如招聘旺季)或低于(如招聘淡季)平时,而依照平时设定的固定数值也会导致特定时段的误判。
B:当用户在快速移动时,比如乘坐高铁时,用户的终端设备会在多个移动基站之间快速切换,造成的现象也是IP快速变化,很容易导致N>固定值,这样按照现有算法,也会造成误判。
为了解决上述问题,本发明的实施例提供了一种账号异常检测方法和装置,可以不依靠固定值,自动的适应多种场景,并且可以避免类似当用户乘坐高铁IP快速变化时导致的误判。
本发明的一实施例提供了一种账号异常检测方法,使用该方法发现账号异常的流程如图1所示,包括:
步骤101、根据实时的账号登录所使用的IP地址情况,动态更新标准登录IP地址数量门限。
本步骤中,首先收集多个账号的登录IP地址,每个账号具有至少一个登录IP地址;然后分析所述多个账号的登录IP地址,得到标准登录IP地址数量门限。
分析多个账号的登录IP地址得到标准登录IP地址数量门限的具体流程如图2所示,包括:
步骤201、在预置的统计周期内,分别统计各个账号的有效登录IP地址数量。
本步骤中,收集所述预置的统计周期内一账号登录所使用的全部IP地址。
取消设定一个假设的一段时间内的一个账号对应的合理的IP固定数量,取而代之是实时比较统计周期内大部分或全部账号对应的IP数量。所述统计周期一般是当前时刻前的一段特定长度的时间,通过统计周期的滑动时间窗选定分析涉及的时间范围。
然后,对收集得到的IP地址中具有相同特征的多个IP地址进行融合,作为一个有效登录IP地址。
IP地址具有多种属性信息及相关信息,从中可选择一个或多个信息作为特征,将具有相同特征的多个IP地址合并。例如具有相同特征的多个IP地址具体为在同一C段内的多个IP地址。
本步骤中,不是单纯的比较IP数量,而是比较IP间的距离,只有在IP距离较“远”的情况下,才判断为账号漂移行为。
具体的,定义C段IP数量,即一个IP集合中,将IP转换为C段IP,然后计算排重后的个数,计为CIP。
如,以下4个IP地址:
202.189.2.45,202,189.2.89,208.172.2.1,176.3.7.90
CIP=排重个数(202.189.2.*,202.189.2.*,208.172.2.*,176.3.7.*)=个数(202.189.2.*,208.172.2.*,176.3.7.*)=3
在所述融合完成后,统计所述账号的有效登录IP地址数量。
步骤202、取所述多个账号的有效登录IP地址数量的平均值乘以应用系数,作为所述标准登录IP地址数量门限。
本步骤中,首先计算所有账号对应的IP的CIP的平均数,假设账号数量为N,根据以下表达式计算CIP的平均值E:
然后,以E乘以应用系数得到标准登录IP地址数量门限。应用系数可根据实际需要设置,提高应用系数的值以降低识别精度,降低应用系统以提高识别精度。优选的,可将应用系数设置为2。
步骤102、在账号对应的登录IP地址数量超过所述标准登录IP地址数量门限时,判定所述账号存在异常。
例如,计算所有账号中,账号对应的CIP>2*E的账号的集合X。账号为用于标记用户的信息。
步骤103、生成被判定存在异常的账号的集合。
本步骤中,生成异常的账号集合,得到发生账号漂移的账号。在确定发生账号漂移的账号后,可根据检测结果进行相应处理。例如,如果企业对于这类行为认为危害很大,则可以直接将账号封禁或者直接断开服务,如果企业对于这类行为认为危害不大,也可以逐步降低该账号的信用得分进行一些适度的惩罚措施。
本发明的一实施例还提供了一种账号异常检测装置,其结构如图3所示,包括:
标准数量门限更新模块301,用于根据实时的账号登录所使用的IP地址情况,动态更新标准登录IP地址数量门限;
异常判定模块302,用于在账号对应的登录IP地址数量超过所述标准登录IP地址数量门限时,判定所述账号存在异常。
优选的,所述标准数量门限更新模块301的结构如图4所示,包括:
数据收集子模块401,用于收集多个账号的登录IP地址,每个账号具有至少一个登录IP地址;
门限生成子模块402,用于分析所述多个账号的登录IP地址,得到标准登录IP地址数量门限。
优选的,所述门限生成子模块402的结构如图5所示,包括:
数量统计单元501,用于在预置的统计周期内,分别统计各个账号的有效登录IP地址数量;
门限计算单元502,用于取所述多个账号的有效登录IP地址数量的平均值乘以应用系数,作为所述标准登录IP地址数量门限。
优选的,所述数量统计单元501的结构如图6所示,包括:
IP地址收集子单元601,用于收集所述预置的统计周期内一账号登录所使用的全部IP地址;
地址融合子单元602,用于对收集得到的IP地址中具有相同特征的多个IP地址进行融合,作为一个有效登录IP地址;
数量计算子单元603,用于在所述融合完成后,统计所述账号的有效登录IP地址数量。
优选的,该装置还包括:
异常账号收集模块303,用于生成被判定存在异常的账号的集合。
本发明的实施例提供了一种账号异常检测方法和装置,根据实时的账号登录所使用的IP地址情况,动态更新标准登录IP地址数量门限,在账号对应的登录IP地址数量超过所述标准登录IP地址数量门限时,判定所述账号存在异常。使用动态更新的标准登录IP地址数量门限作为判定存在异常的标准,摆脱了使用固定数值的模式,实现了准确灵活的漂移账号发现,解决了现有漂移账号检测方式容易发生误判的问题。
以C段作为特征,对于高铁上上网的情况,用户终端会在1个C段IP或者几个C段IP间切换。现有算法没有进行C段IP的合并,就会导致算法误以为IP过多,从而判断为账号漂移。本发明的实施例针对当合法用户快速移动时,往往移动基站的IP分配是有规律,会在1个C段或者几个C段之间切换,通过比较C段IP排重后的数量就可以避免这种情况的误判。
本发明的实施例采用相对值比较的方式,将账号对应的C段IP数量和所有账号对应的C段IP数量平均值比较,这样当某些个别账号被盗用时,它所对应的IP就比大部分正常账号对应的IP多,从而可以准确识别账号漂移行为。而当某些企业业务就是把账号授权给多个实体使用时,大部分的账号对应的IP数量就是比较大,这样即使有的账号被较多人使用,也不会触发算法规则,从而避免了误判。
上面描述的内容可以单独地或者以各种方式组合起来实施,而这些变型方式都在本发明的保护范围之内。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制。尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (11)
1.一种账号异常检测方法,其特征在于,包括:
根据实时的账号登录所使用的IP地址情况,动态更新标准登录IP地址数量门限;
在账号对应的登录IP地址数量超过所述标准登录IP地址数量门限时,判定所述账号存在异常。
2.根据权利要求1所述的账号异常检测方法,其特征在于,所述根据实时的账号登录所使用的IP地址情况,动态更新标准登录IP地址数量门限的步骤包括:
收集多个账号的登录IP地址,每个账号具有至少一个登录IP地址;
分析所述多个账号的登录IP地址,得到标准登录IP地址数量门限。
3.根据权利要求2所述的账号异常检测方法,其特征在于,所述分析所述多个账号的登录IP地址,得到标准登录IP地址数量门限的步骤包括:
在预置的统计周期内,分别统计各个账号的有效登录IP地址数量;
取所述多个账号的有效登录IP地址数量的平均值乘以应用系数,作为所述标准登录IP地址数量门限。
4.根据权利要求3所述的账号异常检测方法,其特征在于,通过以下方式统计任一账号的有效登录IP地址数量:
收集所述预置的统计周期内一账号登录所使用的全部IP地址;
对收集得到的IP地址中具有相同特征的多个IP地址进行融合,作为一个有效登录IP地址;
在所述融合完成后,统计所述账号的有效登录IP地址数量。
5.根据权利要求4所述的账号异常检测方法,其特征在于,具有相同特征的多个IP地址具体为在同一C段内的多个IP地址。
6.根据权利要求5所述的账号异常检测方法,其特征在于,该方法还包括:
生成被判定存在异常的账号的集合。
7.一种账号异常检测装置,其特征在于,包括:
标准数量门限更新模块,用于根据实时的账号登录所使用的IP地址情况,动态更新标准登录IP地址数量门限;
异常判定模块,用于在账号对应的登录IP地址数量超过所述标准登录IP地址数量门限时,判定所述账号存在异常。
8.根据权利要求7所述的账号异常检测装置,其特征在于,所述标准数量门限更新模块包括:
数据收集子模块,用于收集多个账号的登录IP地址,每个账号具有至少一个登录IP地址;
门限生成子模块,用于分析所述多个账号的登录IP地址,得到标准登录IP地址数量门限。
9.根据权利要求8所述的账号异常检测装置,其特征在于,所述门限生成子模块包括:
数量统计单元,用于在预置的统计周期内,分别统计各个账号的有效登录IP地址数量;
门限计算单元,用于取所述多个账号的有效登录IP地址数量的平均值乘以应用系数,作为所述标准登录IP地址数量门限。
10.根据权利要求9所述的账号异常检测装置,其特征在于,所述数量统计单元包括:
IP地址收集子单元,用于收集所述预置的统计周期内一账号登录所使用的全部IP地址;
地址融合子单元,用于对收集得到的IP地址中具有相同特征的多个IP地址进行融合,作为一个有效登录IP地址;
数量计算子单元,用于在所述融合完成后,统计所述账号的有效登录IP地址数量。
11.根据权利要求10所述的账号异常检测装置,其特征在于,该装置还包括:
异常账号收集模块,用于生成被判定存在异常的账号的集合。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810718608.6A CN110493166A (zh) | 2018-07-03 | 2018-07-03 | 一种账号异常检测方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810718608.6A CN110493166A (zh) | 2018-07-03 | 2018-07-03 | 一种账号异常检测方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110493166A true CN110493166A (zh) | 2019-11-22 |
Family
ID=68545587
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810718608.6A Pending CN110493166A (zh) | 2018-07-03 | 2018-07-03 | 一种账号异常检测方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110493166A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111506895A (zh) * | 2020-04-17 | 2020-08-07 | 支付宝(杭州)信息技术有限公司 | 一种应用登录图的构建方法及装置 |
CN114884671A (zh) * | 2022-04-21 | 2022-08-09 | 微位(深圳)网络科技有限公司 | 服务器的入侵防御方法、装置、设备及介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106228388A (zh) * | 2016-07-14 | 2016-12-14 | 乐视控股(北京)有限公司 | 一种会员用户行为监控方法、装置及电子设备 |
US9699203B1 (en) * | 2015-03-13 | 2017-07-04 | Snap Inc. | Systems and methods for IP-based intrusion detection |
CN107426022A (zh) * | 2017-07-21 | 2017-12-01 | 上海携程商务有限公司 | 安全事件监测方法及装置、电子设备、存储介质 |
CN107666473A (zh) * | 2016-07-29 | 2018-02-06 | 深圳市信锐网科技术有限公司 | 一种攻击检测的方法及控制器 |
-
2018
- 2018-07-03 CN CN201810718608.6A patent/CN110493166A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9699203B1 (en) * | 2015-03-13 | 2017-07-04 | Snap Inc. | Systems and methods for IP-based intrusion detection |
CN106228388A (zh) * | 2016-07-14 | 2016-12-14 | 乐视控股(北京)有限公司 | 一种会员用户行为监控方法、装置及电子设备 |
CN107666473A (zh) * | 2016-07-29 | 2018-02-06 | 深圳市信锐网科技术有限公司 | 一种攻击检测的方法及控制器 |
CN107426022A (zh) * | 2017-07-21 | 2017-12-01 | 上海携程商务有限公司 | 安全事件监测方法及装置、电子设备、存储介质 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111506895A (zh) * | 2020-04-17 | 2020-08-07 | 支付宝(杭州)信息技术有限公司 | 一种应用登录图的构建方法及装置 |
CN114884671A (zh) * | 2022-04-21 | 2022-08-09 | 微位(深圳)网络科技有限公司 | 服务器的入侵防御方法、装置、设备及介质 |
CN114884671B (zh) * | 2022-04-21 | 2024-04-26 | 微位(深圳)网络科技有限公司 | 服务器的入侵防御方法、装置、设备及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102138965B1 (ko) | 계정 도난 위험 식별 방법, 식별 장치, 예방 및 통제 시스템 | |
CN109697214B (zh) | 一种旅游数据分析系统及方法 | |
US20180130074A1 (en) | Method and device for calculating customer traffic volume | |
CN102637258B (zh) | 一种建立在线表面质量检测系统缺陷库的方法 | |
CN109640312B (zh) | “黑卡”识别方法、电子设备及计算机可读取存储介质 | |
CN101639922A (zh) | 来宾路径分析系统和方法 | |
CN109462830B (zh) | 基于终端信令的客流统计方法、装置及设备 | |
CN106657057A (zh) | 反爬虫系统及方法 | |
CN104408923B (zh) | 交通状态评估方法和装置 | |
CN110493166A (zh) | 一种账号异常检测方法和装置 | |
US10104428B2 (en) | Video playing detection method and apparatus | |
CN107491715A (zh) | 一种基于视频分析的地铁车厢客流统计方法、装置及系统 | |
KR102550964B1 (ko) | 개인화 모델을 이용한 집중도 측정 장치 및 방법 | |
CN114141370A (zh) | 一种疫情防控的信息管理方法、装置及计算机存储介质 | |
CN111369136A (zh) | 业务数据集质量评估方法及装置及计算机可读介质 | |
CN111291596A (zh) | 一种基于人脸识别的预警方法及装置 | |
CN108900339B (zh) | 一种度量业务质量的方法、装置及电子设备 | |
CN109963292A (zh) | 投诉预测的方法、装置、电子设备和存储介质 | |
CN109426592A (zh) | 一种磁盘检测方法 | |
Masic et al. | On the applicability of low-cost sensors for measurements of aerosol concentrations | |
CN110958600B (zh) | 基于轨迹相似性的区域人口中一机多卡用户数量判定方法 | |
CN110503057A (zh) | 一种信息处理方法、装置、检测节点设备及存储介质 | |
JPWO2017149703A1 (ja) | 交通状況推定システム及び交通状況推定方法 | |
CN108446739A (zh) | 一种数据录入监测方法及装置 | |
CN110401959B (zh) | 检测蹭网终端的方法、装置、电子设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191122 |