CN110519208A - 异常检测方法、装置及计算机可读介质 - Google Patents

异常检测方法、装置及计算机可读介质 Download PDF

Info

Publication number
CN110519208A
CN110519208A CN201810493938.XA CN201810493938A CN110519208A CN 110519208 A CN110519208 A CN 110519208A CN 201810493938 A CN201810493938 A CN 201810493938A CN 110519208 A CN110519208 A CN 110519208A
Authority
CN
China
Prior art keywords
account
login
thresholding
log
mentioned
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810493938.XA
Other languages
English (en)
Other versions
CN110519208B (zh
Inventor
肖军
李昀
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201810493938.XA priority Critical patent/CN110519208B/zh
Publication of CN110519208A publication Critical patent/CN110519208A/zh
Application granted granted Critical
Publication of CN110519208B publication Critical patent/CN110519208B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Debugging And Monitoring (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例涉及计算机技术领域,公开了一种异常检测方法、装置及计算机可读介质,该方法包括:从历史登录日志中筛选出未出现异常行为的参考账号;根据所述参考账号的登录参数,确定参考参数;所述参考参数用于确定登录日志包含的异常情况;获取待检测登录日志;根据所述参考参数确定所述待检测登录日志包含的异常情况。本申请中,根据历史登录日志中未出现异常行为的参考账号的登录参数确定的参考参数,确定待检测登录日志包含的异常情况;可以检测多种账号异常行为,检测精度高。

Description

异常检测方法、装置及计算机可读介质
技术领域
本发明涉及计算机技术领域,尤其涉及一种异常检测方法、装置及计算机可读介质。
背景技术
随着互联网的不断发展,网络安全所带来的挑战越来越严峻,保护用户的隐私及其账户安全亟待解决的问题。一旦攻击者通过钓鱼、诈骗等手段,或者通过撞库攻击暴力破解的方式,盗取到用户的账号和密码,用户的个人信息甚至财产就受到了严重的威胁。因此,及时发现异常的登录行为,对于保护用户的隐私和财产安全具有重大的意义。
目前,针对攻击者发起的盗号行为,常采用的一种账号异常检测方式如下:服务器统计预设周期内同一源IP地址针对待防护的目标IP地址的登录次数与登录成功率;判断登录次数是否大于预设的登录阈值;以及,判断登录成功率是否小于预设的成功率阈值;当登录次数大于预设的登录阈值,并且登录成功率小于预设的成功率阈值时,判定源IP地址存在撞库攻击行为,并根据预设的防护规则中指定的防护动作进行防护处理。这种方式的检测精度依赖预设的登录阈值以及预设的成功率阈值的精确设置。在实际应用中,预设的登录阈值以及成功率阈值,难以保证对于任意账号均达到较高的检测精度。
然而,这种方式只能检测撞库攻击,能检测出的攻击模式少,精度低。
发明内容
本申请提供一种异常检测方法、装置及计算机可读介质,可以检测多种账号异常行为,检测精度高。
第一方面本申请提供了一种异常检测方法,包括:
从历史登录日志中筛选出未出现异常行为的参考账号;
根据所述参考账号的登录参数,确定参考参数;所述参考参数用于确定登录日志包含的异常情况;
获取待检测登录日志;
根据所述参考参数确定所述待检测登录日志包含的异常情况。
本申请的执行主体可以是服务器、手机、平板电脑、台式电脑等。所述登录参数可以包括:IP上承载的账号数量,IP上对应的登录次数,IP上对应的注册次数,IP上的登录成功率,设备对应的最大账号数量,账号对应的最大登录IP数量,账号对应的最大登录次数等。IP上承载的账号数量是指IP在一个特定时长内登录的账号的个数。IP上对应的登录次数是指IP在一个特定时长登录账号的次数。IP上对应的注册次数是指IP在一个特定时长内注册账号的次数。设备对应的最大账号数量是指一个设备在一个特定时长内登录的最大账号数量。账号对应的最大登录IP数量是指一个账号在一个特定时长内登录IP的最大数量。账号对应的最大登录次数是指一个账号在特定时长内登录的最大次数。所述参考参数包含确定登录日志包含的异常情况所需的各门限。所述待检测登录日志可以包括用户账号(除了常见的字符串ID,还可以是邮箱和手机号)、账号操作类型(例如修改密码、登录、注册等)、登录IP、登录时间、登录设备号、日志记录对应的ID等。所述待检测登录日志包含的异常情况可以是异常账号、异常设备、异常IP、异常发生时间以及发生的异常行为等。所述参考账号可以是从所述历史登录日志中筛选出的合法账号,即与异常账号相对的正常账号。
可选的,将确定的所述待检测登录日志包含的异常情况发送至目标设备;所述目标设备为出现异常情况的目标账号对应的授权设备。所述目标账号对应的授权设备为所述目标账号绑定的设备。这样可以及时通知出现异常情况的账号的拥有者,检测到的账号异常情况。
本申请中,根据历史登录日志中未出现异常行为的参考账号的登录参数确定的参考参数,确定待检测登录日志包含的异常情况;可以检测多种账号异常行为,检测精度高。
在一个可选的实现方式中,所述从历史登录日志中筛选出未出现异常行为的参考账号包括:
从所述历史登录日志中筛选出在账号层面、IP层面以及设备层面均未出现异常行为的所述参考账号;所述参考账号在账号层面未出现以下任一种:所述参考账号的登录频率大于第一阈值、所述参考账号的登录间隔小于第二阈值以及所述参考账号对应的IP的数量大于第三阈值;所述参考账号在IP层面未出现以下任一种:登录所述参考账号的参考IP注册的账号数量大于第四阈值、所述参考IP登录账号的成功率小于第五阈值、所述参考IP登录的账号数量大于第六阈值以及所述参考IP登录账号的频率大于第七阈值;所述参考账号在设备层面,登录所述参考账号的设备对应的账号的数量小于第八阈值。
所述第一阈值到所述第八阈值可以是预先设置的。
本申请中,从三个层面筛选合法账号,可以保证筛选出的账号是合法的账号。
在一个可选的实现方式中,所述根据所述参考参数确定所述待检测登录日志包含的异常情况包括:
确定第一IP在第一时间周期内登录账号的第一次数、登录账号的第一成功率以及登录账号的第一个数;
在所述第一次数大于第一门限或者所述第一个数大于第二门限,且所述第一成功率小于第三门限的情况下,确定所述第一IP发生撞库攻击;所述第一门限、所述第二门限以及所述第三门限均包含于所述参考参数;
在所述第一IP登录的第一账号的历史IP未包含所述第一IP的情况下,确定所述第一账号被撞库;所述待检测登录日志包含所述第一账号的登录日志以及所述第一IP的登录日志;
或者,
确定第二IP在第二时间周期内登录账号的第二次数以及登录账号的第二成功率;
在所述第二次数大于第四门限小于第五门限,且所述第二成功率小于第六门限的情况下,确定所述第二IP发生撞库攻击;所述第四门限、第五门限以及所述第六门限均包含于所述参考参数;
在所述第二IP登录的第二账号的历史IP未包含所述第二IP的情况下,确定所述第二账号被撞库;所述待检测登录日志包含所述第二账号的登录日志以及所述第二IP的登录日志。
所述第一时间周期可以是10分钟、20分钟、30分钟等。所述第二时间周期可以是12小时、24小时、48小时等。若一个IP登录过某个账号,则该IP为该账号的历史IP。所述第一门限可以是所述登录参数包含的第一IP平均登录次数的N1倍,该N1可以是1.1、1.2、1.3等。第一IP平均登录次数是指IP在第一时间周期内登录账号的平均次数,即正常IP在第一时间周期内登录账号的平均次数。所述第二门限可以是所述登录参数包含的第一平均登录账号数的N2倍,该N2可以是1.1、1.2、1.3等。第一平均登录账号数是指IP在第一时间周期内登录账号的平均个数。所述第三门限可以是所述登录参数包含的第一IP登录成功率的N3倍,该N3可以是0.4、0.5、0.6、0.67等。第一IP登录成功率是指IP在第一时间周期内登录账号的成功率。所述第四门限可以是所述登录参数包含的第二IP平均登录次数的N4倍,该N4可以是1.0、1.1、1.2、1.3等。第二IP平均登录次数是指IP在第二时间周期内登录账号的平均次数。所述第五门限可以是所述登录参数包含的第二IP平均登录次数的N5倍,该N5可以是1.5、1.6、1.8、2.0等。所述第六门限可以是所述登录参数包含的第二IP登录成功率的N6倍,该N6可以是0.4、0.5、0.6、0.7等。第二IP登录成功率是指IP在第二时间周期内登录账号的成功率。
在该实现方式中,可以检测两类撞库攻击,一类是高频撞库,另一类为隐蔽撞库。隐蔽撞库是指攻击者为了逃避检测,采取了慢速的撞库方式,如每个5分钟撞库一次;或者采取了短期撞库方式,同时保持相对慢速的特点,如每个IP每天只撞库5分钟,在这5分钟内有5-10次账号登录。与普通的高频撞库相比,这种撞库攻击在一个短时间片内看不出异常(登录次数较少),需要扩大检测时间的长度(推荐时间片设置为一天),才能发现问题。因此,这种检测应该关注登录次数相对较低的IP上。
在该实现方式中,可以检测出不同类型的撞库攻击,实现简单。
在一个可选的实现方式中,所述根据所述参考参数确定所述待检测登录日志包含的异常情况包括:
在第三账号在第三时间周期内的登录IP的个数大于第七门限的情况下,确定所述第三账号被暴力破解;所述待检测登录日志包含所述第三账号的登录日志;所述第七门限包含于所述参考参数;
或者,在所述第三账号在第四时间周期内的登录次数大于或等于第八门限的情况下,确定所述第三账号被暴力破解;所述第八门限包含于所述参考参数;
或者,在所述第三账号N次的平均登录间隔小于或等于第九门限的情况下,确定所述第三账号被暴力破解;所述第九门限包含于所述参考参数。
所述第三时间周期可以是10分钟、20分钟、30分钟等。所述第四时间周期可以是10分钟、20分钟、30分钟等。所述第三时间周期和所述第四时间周期相同或不同。所述第三账号在第三时间周期内的登录IP是指在所述第三时间周期内登录过所述第三账号的IP。所述第七门限可以是所述登录参数包含的第三IP平均登录次数的N7倍,该N7可以是1.2、1.5、3以及4等。第三IP平均登录次数是指账号在第三时间周期存在的登录IP的个数。所述第八门限可以是所述登录参数包含的第四IP平均登录次数的N8倍,该N8可以是1.5、2.0、3.0等。第四IP平均登录次数是指IP在第四时间周期内登录账号的平均次数。所述第九门限可以是所述登录参数包含的IP平均登录间隔的N9倍,该N9可以是0.6、0.7、0.8等。可选的,所述N大于或等于3。
在该实现方式中,可以准确、快速地检测出暴力破解账号密码的行为。
在一个可选的实现方式中,所述根据所述参考参数确定所述待检测登录日志包含的异常情况包括:
在第三IP在第五时间周期内注册的账号的次数超过第十门限情况下,确定所述第三IP发生恶意批量注册;所述第十门限包含于所述参考参数;所述待检测登录日志包含所述第三IP的登录日志;
或者,
确定所述第三IP注册的账号中相似度超过相似度阈值的账号个数;
在所述账号个数大于或等于第十一门限的情况下,确定所述第三IP发生恶意批量注册;所述第十一门限包含于所述参考参数。
所述第五时间周期可以是12小时、24小时以及24小时等。所述第十门限可以是所述登录参数包含的账号最大注册次数的N10倍,该N10可以是1.5、2.0、3.0等。账号最大注册次数是指IP在第五时间周期内注册账号的最大次数。举例来说,登录参数包含的最大注册数量为M(以一天统计),则设置检测第十门限T=(1+α)M,当一个IP在一天内的注册数量超过T时,则认为其进行了恶意批量账号注册,α为0.5、1.0、2.0等。所述第十一门限可以是4、5、6等。
可选的,对所述第三IP注册的各个账号进行聚类分析,确定所述第三IP注册的账号中相似度超过相似度阈值的账号个数。对注册账号进行聚类,主要检测xxxxx1@mailsite.com,xxxxx2@mailsite.com,以及1234567890x和1234567890y这种账号高度相似的行为。可选的,采取编辑距离来衡量账号之间的相似度。给定相似度阈值(如1),如果有两个账号的编辑距离等于相似度阈值,则认为这两个账号高度相似。通过对IP上所有账号两两之间的编辑距离进行计算,得到相似的账号的数量,如果数量大于等于一个数量阈值(第十一门限,推荐设置为3或4),则判别该IP上进行了批量注册。该实现方式中,提出了两种判别恶意批量注册账号的策略。第一条策略是IP在一定时间段注册的账号的数量大于一定阈值,第二条策略是IP注册的账号中相似度超过相似度阈值的账号个数大于一定阈值。实际使用时,如果第一条策略判别是恶意注册,该IP下所有注册账号被认为是非法;否则,继续进行第二条策略检测,如果该IP被判别存在批量注册,则该时间片内所有注册账号被识别为非法注册账号。
在该实现方式中,可以准确、快速地检测出恶意批量注册账号的异常行为。
在一个可选的实现方式中,所述根据所述参考参数确定所述待检测登录日志包含的异常情况包括:
在登录第四账号的IP在第六时间周期内登录的账号个数大于第十二门限或者登录所述第四账号的设备在第七时间周期内登录的账号个数大于第十三门限,且所述第四账号的登录成功率大于或等于第十四门限的情况下,确定所述第四账号为僵尸账号;所述第十二门限、所述第十三门限以及所述第十四门限包含于所述参考参数;所述待检测登录日志包含所述第四账号的登录日志。
所述第六时间周期可以是15分钟、30分钟、60分钟、24小时等。所述第七时间周期可以是15分钟、30分钟、60分钟、24小时、48小时等。所述第十二门限可以是所述登录参数包含的第二平均登录账号数的N12倍,该N12可以是4、5、6、7以及8等。第二平均登录账号数是指IP在第六时间周期内登录账号的平均个数。所述第十三门限可以是所述登录参数包含的最大登录账号数的N13倍,该N13可以是3、4、5以及6等。最大登录账号数是指设备在第七时间周期内登录账号的最大个数。所述第十四门限可以是所述登录参数包含的第三IP登录成功率的N14倍,该N14可以是1.1、1.2、1.3等。第三IP登录成功率是指IP在第六时间周期或第七时间周期内登录账号的成功率。
在该实现方式中,可以快速、准确地检测出僵尸账号。
在一个可选的实现方式中,所述根据所述参考参数确定所述待检测登录日志包含的异常情况包括:
在第四IP满足目标条件的情况下,确定所述第四IP在撞库成功后验密;所述目标条件包括:所述第四IP在第八时间周期登录的账号个数大于第十五门限、所述第四IP在所述第八时间周期登录账号的成功率大于或等于第十六门限以及所述第四IP是所述第四IP登录的账号的历史IP的比率小于第十七门限;所述第十五门限、所述第十六门限以及所述第十七门限包含于所述参考参数;所述待检测登录日志包含所述第四IP的登录日志。
所述第十五门限可以是所述登录参数包含的第三平均登录账号数的N15倍,该N15可以是2、3、4以及5等。第三平均登录账号数是指IP在第八时间周期内登录账号的平均个数。所述第十六门限可以是所述登录参数包含的第四IP登录成功率的N16倍,该N16可以是1.1、1.2、1.3等。第四IP登录成功率是指IP在第八时间周期内登录账号的成功率。举例来说,某个IP在某个时间段登录了100个账号,该IP是这100个账号中8个账号的历史IP,则该IP是其登录的账号的历史IP的比率为8%。所述第十七门限可以是0.1、0.2以及0.3等。可以理解,所述第四IP登录的账号被撞库成功后进行了密码验证。
在该实现方式中,可以检测出IP在撞库成功后验密的操作。
在一个可选的实现方式中,所述方法还包括:
确定第五账号在目标时间点撞库成功或撞库成功后验密;
所述第五账号在所述目标时间点之后的目标时间段内进行密码修改或用户信息修改的情况下,确定所述第五账号的密码或用户信息被篡改;所述待检测登录日志包含所述第五账号的登录日志。
所述目标时间段的时间长度可以是3分钟、4分钟、5分钟等。
在该实现方式中,可以检测出账号的密码和用户信息被篡改的行为。
第二方面,本申请提供了一种异常检测装置,该异常检测装置包括:
筛选单元,用于从历史登录日志中筛选出未出现异常行为的参考账号;
第一确定单元,用于根据所述参考账号的登录参数,确定参考参数;所述参考参数用于确定登录日志包含的异常情况;
获取单元,用于获取待检测登录日志;
第二确定单元,用于根据所述参考参数确定所述待检测登录日志包含的异常情况。
在一种可选的实现方式中,所述筛选单元,具体用于从所述历史登录日志中筛选出在账号层面、IP层面以及设备层面均未出现异常行为的所述参考账号;所述参考账号在账号层面未出现以下任一种:所述参考账号的登录频率大于第一阈值、所述参考账号的登录间隔小于第二阈值以及所述参考账号对应的IP的数量大于第三阈值;所述参考账号在IP层面未出现以下任一种:登录所述参考账号的参考IP注册的账号数量大于第四阈值、所述参考IP登录账号的成功率小于第五阈值、所述参考IP登录的账号数量大于第六阈值以及所述参考IP登录账号的频率大于第七阈值;所述参考账号在设备层面,登录所述参考账号的设备对应的账号的数量小于第八阈值。
在一种可选的实现方式中,所述第二确定单元,具体用于确定第一IP在第一时间周期内登录账号的第一次数、登录账号的第一成功率以及登录账号的第一个数;在所述第一次数大于第一门限或者所述第一个数大于第二门限,且所述第一成功率小于第三门限的情况下,确定所述第一IP发生撞库攻击;所述第一门限、所述第二门限以及所述第三门限均包含于所述参考参数;在所述第一IP登录的第一账号的历史IP未包含所述第一IP的情况下,确定所述第一账号被撞库;所述待检测登录日志包含所述第一账号的登录日志以及所述第一IP的登录日志;
或者,
所述第二确定单元,具体用于确定第二IP在第二时间周期内登录账号的第二次数以及登录账号的第二成功率;在所述第二次数大于第四门限小于第五门限,且所述第二成功率小于第六门限的情况下,确定所述第二IP发生撞库攻击;所述第四门限、第五门限以及所述第六门限均包含于所述参考参数;在所述第二IP登录的第二账号的历史IP未包含所述第二IP的情况下,确定所述第二账号被撞库;所述待检测登录日志包含所述第二账号的登录日志以及所述第二IP的登录日志。
在一种可选的实现方式中,所述第二确定单元,具体用于在第三账号在第三时间周期内的登录IP的个数大于第七门限的情况下,确定所述第三账号被暴力破解;所述待检测登录日志包含所述第三账号的登录日志;所述第七门限包含于所述参考参数;
或者,所述第二确定单元,具体用于在所述第三账号在第四时间周期内的登录次数大于或等于第八门限的情况下,确定所述第三账号被暴力破解;所述第八门限包含于所述参考参数;
或者,所述第二确定单元,具体用于在所述第三账号N次的平均登录间隔小于或等于第九门限的情况下,确定所述第三账号被暴力破解;所述第九门限包含于所述参考参数。
在一种可选的实现方式中,所述第二确定单元,具体用于在第三IP在第五时间周期内注册的账号的次数超过第十门限情况下,确定所述第三IP发生恶意批量注册;所述第十门限包含于所述参考参数;所述待检测登录日志包含所述第三IP的登录日志;
或者,所述第二确定单元,具体用于确定所述第三IP注册的账号中相似度超过相似度阈值的账号个数;在所述账号个数大于或等于第十一门限的情况下,确定所述第三IP发生恶意批量注册;所述第十一门限包含于所述参考参数。
在一种可选的实现方式中,所述第二确定单元,具体用于在登录第四账号的IP在第六时间周期内登录的账号个数大于第十二门限或者登录所述第四账号的设备在第七时间周期内登录的账号个数大于第十三门限,且所述第四账号的登录成功率大于或等于第十四门限的情况下,确定所述第四账号为僵尸账号;所述第十二门限、所述第十三门限以及所述第十四门限包含于所述参考参数;所述待检测登录日志包含所述第四账号的登录日志。
在一种可选的实现方式中,所述第二确定单元,具体用于在第四IP满足目标条件的情况下,确定所述第四IP在撞库成功后验密;所述目标条件包括:所述第四IP在第八时间周期登录的账号个数大于第十五门限、所述第四IP在所述第八时间周期登录账号的成功率大于或等于第十六门限以及所述第四IP是所述第四IP登录的账号的历史IP的比率小于第十七门限;所述第十五门限、所述第十六门限以及所述第十七门限包含于所述参考参数;所述待检测登录日志包含所述第四IP的登录日志。
在一种可选的实现方式中,所述第二确定单元,还用于确定第五账号在目标时间点撞库成功或撞库成功后验密;所述第五账号在所述目标时间点之后的目标时间段内进行密码修改或用户信息修改的情况下,确定所述第五账号的密码或用户信息被篡改;所述待检测登录日志包含所述第五账号的登录日志。
第三方面,本申请提供了另一种异常检测装置,包括处理器和存储器,所述处理器和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行上述第一方面的方法。
第四方面,本申请提供了一种计算机可读存储介质,所述计算机存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时使所述处理器执行上述第一方面的方法。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对本发明实施例或背景技术中所需要使用的附图进行说明。
图1为本申请提供的一种异常检测系统的应用场景的示意图;
图2为本申请提供的一种异常检测方法的流程示意图;
图3为本申请提供的一种异常检测装置的结构示意图;
图4为本申请提供的筛选单元的结构示意图;
图5为本申请提供的另一种异常检测装置的结构示意图;
图6为本申请提供的另一种异常检测装置的结构示意图。
具体实施方式
图1为本申请提供的一种异常检测系统的应用场景的示意图,如图1所示,101表示输入的待检测日志,102表示异常检测装置,103表示异常检测装置输出的异常检测结果。具体的,输入的待检测日志可以包括用户账号(除了常见的字符串ID,还可以是邮箱和手机号)、账号操作类型(如修改密码、登录、注册等)、源IP、异常发生时间、登录设备号、日志记录对应的ID等。异常检测结果可以是各条日志记录的ID、异常账号、异常IP、异常设备号、异常发生时间(某一次异常行为时间,或者异常时间区间、或者单个异常账号的活跃时间,或者单个异常IP活跃时间等)以及异常行为等。具体的,异常检测装置运行的异常检测软件,即账号风控系统,读取待检测日志,经过分析检测后,输出异常检测结果。本申请中的异常检测装置102至少可以有效检测如下八种账号异常情况,异常情况和外在表现如表1所示。每种账号异常情况的具体的检测方式,在后续实施例中再进行详述。
表1
图2为本申请提供的一种异常检测方法的流程示意图,如图2所示,该方法包括:
201、获取历史登录日志。
上述历史登录日志可以是至少两周或者一个月的日志。
202、从上述历史登录日志中筛选出未出现异常行为的参考账号。
上述参考账号可以理解为上述历史登录日志中包含的合法账号(正常账号),与异常账号相对应。可以理解,账号分为异常账号和正常账号(合法账号)。这一步骤的目的就是从历史登录日志出筛选出正常账号。
上述从上述历史登录日志中筛选出未出现异常行为的参考账号可以是从上述历史登录日志中筛选出在账号层面、IP层面以及设备层面均未出现异常行为的上述参考账号;上述参考账号在账号层面未出现以下任一种:上述参考账号的登录频率大于第一阈值、上述参考账号的登录间隔小于第二阈值以及上述参考账号对应的IP的数量大于第三阈值;上述参考账号在IP层面未出现以下任一种:登录上述参考账号的参考IP注册的账号数量大于第四阈值、上述参考IP登录账号的成功率小于第五阈值、上述参考IP登录的账号数量大于第六阈值以及上述参考IP登录账号的频率大于第七阈值;上述参考账号在设备层面,登录上述参考账号的设备对应的账号的数量小于第八阈值。
本申请中,从多个层面筛选合法账号,可以保证筛选出的参考账号不包含异常账号。在实际应用中,可以采用其他的从历史登录日志中筛选合法账号的方式,本申请不作限定。上述第一阈值到上述第八阈值可以是预先设置的,以便于准确地筛选出合法账号。
举例来说,统计每个IP在一天内(也可以两小时)登陆的账号数量,通常是两极分布,一部分IP(合法IP)登录的账号数量小于50,另外一部分IP(撞库IP)登录的账号数量大于1000,可以设置一个阈值来区分合法IP和撞库IP,如100或者80。除了登录账号个数,也可以通过登录成功率来区分。例如,统计每个IP在一天(或者两小时,或者半小时内的)的登录成功率,通常是两极分布,一部分IP的登录成功率超过0.8,另外一部分IP的登录成功率小于0.1;可以设置一个阈值,如0.5,来区分正常IP,正常IP上的账号认为是正常账号。又举例来说,通过账号在一天内登录对应的IP个数来判断一个账号是否是正常账号。通常情况下,一部分账号在一天内一般不超过5个登录IP,另外一部分账号每天登录超过20个登录IP,设置一个阈值来区分正常IP和非法IP,例如10。又举例来说,通过设备对应的账号数量判别设备是否是用来承载僵尸账号。设备承载的账号的数量通常呈两级分布,一部分设备一般仅对应一个账号,另外一部分设备对应的账号在100以上(通过一个硬件设备来登录多个僵尸账号),设置一个阈值来区分正常设备和用于僵尸账号登录的设备,例如5。
203、确定上述参考账号的登录参数。
上述参考账号的登陆参数可以理解为合法账号的登陆参数。上述登录参数可以包括:IP上承载的账号数量,IP上对应的登录次数,IP上对应的注册次数,IP上的登录成功率,设备对应的最大账号数量,每个账号对应的最大登录IP数量,每个账号对应的最大登录次数,每个正常账号的登录IP地址等。
204、根据上述登录参数,确定参考参数。
上述参考参数用于确定登录日志包含的异常情况。可以理解,异常账号的登录参数不同于合法账号的登录参数,且存在一定的联系。因此,可以根据上述登录参数,确定参考参数,即判断异常账号所需的参数。上述参考参数包含确定登陆日志包含的异常情况所需的各个门限。举例来说,登录参数包括IP上对应的登录次数,参考参数包括的第一门限为该登录次数的2或3倍,IP的登录次数大于该第一门限为判断该IP异常的一个条件。又举例来说,登录参数包括IP上承载的账号数量,参考参数包括的第二门限为该账号数据的1.2或1.3倍,IP上承载的账号数量大于该第二门限为判断该IP异常的一个条件。
205、获取待检测日志。
上述待检测登录日志可以包括用户账号(除了常见的字符串ID,还可以是邮箱和手机号)、账号操作类型(例如修改密码、登录、注册等)、登录IP、登录时间、登录设备号、日志记录对应的ID等。
206、根据参考参数确定,上述待检测登录日志包含的异常情况。
实施例一
本发明实施例提供了一种检测普通撞库的方法,该方法可包括如下步骤:
步骤一、确定第一IP在第一时间周期内登录账号的第一次数、登录账号的第一成功率以及登录账号的第一个数。
上述待检测登录日志包含上述第一账号的登录日志以及上述第一IP的登录日志。上述第一时间周期可以是10分钟、20分钟、30分钟等。
步骤二、在上述第一次数大于第一门限或者上述第一个数大于第二门限,且上述第一成功率小于第三门限的情况下,确定上述第一IP发生撞库攻击。
上述第一门限可以是上述登录参数包含的第一IP平均登录次数的N1倍,该N1可以是1.1、1.2、1.3等。第一IP平均登录次数是指IP在第一时间周期内登录账号的平均次数,即正常IP在第一时间周期内登录账号的平均次数。上述第二门限可以是上述登录参数包含的第一平均登录账号数的N2倍,该N2可以是1.1、1.2、1.3等。第一平均登录账号数是指IP在第一时间周期内登录账号的平均个数。上述第三门限可以是上述登录参数包含的第一IP登录成功率的N3倍,该N3可以是0.4、0.5、0.6、0.67等。第一IP登录成功率是指IP在第一时间周期内登录账号的成功率。
步骤三、在上述第一IP登录的第一账号的历史IP未包含上述第一IP的情况下,确定上述第一账号被撞库。
若一个IP成功登录过某个账号,则该IP为该账号的历史IP。
在该实现方式中,可以准确地检测到发生撞库攻击的IP以及被撞库的账号。
实施例二
本发明实施例提供了一种检测隐蔽撞库的方法,该方法可包括如下步骤:
步骤一、确定第二IP在第二时间周期内登录账号的第二次数以及登录账号的第二成功率。
上述待检测登录日志包含上述第二账号的登录日志以及上述第二IP的登录日志。上述第二时间周期可以是12小时、24小时、48小时等。
步骤二、在上述第二次数大于第四门限小于第五门限,且上述第二成功率小于第六门限的情况下,确定上述第二IP发生撞库攻击。
上述第四门限可以是上述登录参数包含的第二IP平均登录次数的N4倍,该N4可以是1.0、1.1、1.2、1.3等。第二IP平均登录次数是指IP在第二时间周期内登录账号的平均次数。上述第五门限可以是上述登录参数包含的第二IP平均登录次数的N5倍,该N5可以是1.5、1.6、1.8、2.0等。上述第六门限可以是上述登录参数包含的第二IP登录成功率的N6倍,该N6可以是0.4、0.5、0.6、0.7等。第二IP登录成功率是指IP在第二时间周期内登录账号的成功率。
步骤三、在上述第二IP登录的第二账号的历史IP未包含上述第二IP的情况下,确定上述第二账号被撞库。
上述待检测登录日志包含上述第二账号的登录日志以及上述第二IP的登录日志。
在该实现方式中,可以检测出有效地检测出隐蔽撞库攻击,实现简单。
实施例三
本发明实施例提供了一种检测暴力破解的方法,若检测到以下任一情况,则确定账号被暴力破解,具体包含的情况如下:
(1)、第三账号在第三时间周期内的登录IP的个数大于第七门限的情况。
(2)、上述第三账号在第四时间周期内的登录次数大于或等于第八门限的情况。
(3)、上述第三账号N次的平均登录间隔小于或等于第九门限的情况。
上述待检测登录日志包含上述第三账号的登录日志。上述第三时间周期可以是10分钟、20分钟、30分钟等。上述第三账号在第三时间周期内的登录IP是指在上述第三时间周期内登录过上述第三账号的IP。上述第七门限可以是上述登录参数包含的第三IP平均登录次数的N7倍,该N7可以是1.2、1.5、3以及4等。第三IP平均登录次数是指账号在第三时间周期存在的登录IP的个数。上述第四时间周期可以是10分钟、20分钟、30分钟等。上述第三时间周期和上述第四时间周期相同或不同。上述第八门限可以是上述登录参数包含的第四IP平均登录次数的N8倍,该N8可以是1.5、2.0、3.0等。第四IP平均登录次数是指IP在第四时间周期内登录账号的平均次数。上述第九门限可以是上述登录参数包含的IP平均登录间隔的N9倍,该N9可以是0.6、0.7、0.8等。可选的,上述N大于或等于3。
在该实现方式中,可以准确、快速地检测出暴力破解账号密码的行为。
实施例四
本发明实施例提供了一种检测恶意批量注册的方法,若检测到以下任一情况,则确定发生IP恶意批量注册账号,具体包含的情况如下:
(1)第三IP在第五时间周期内注册的账号的次数超过第十门限情况。
(2)上述第三IP注册的账号中相似度超过相似度阈值的账号个数大于或等于第十一门限的情况。
上述待检测登录日志包含上述第三IP的登录日志。上述第五时间周期可以是12小时、24小时以及24小时等。上述第十门限可以是上述登录参数包含的账号最大注册次数的N10倍,该N10可以是1.5、2.0、3.0等。账号最大注册次数是指IP在第五时间周期内注册账号的最大次数。举例来说,登录参数包含的最大注册数量为M(以一天统计),则设置检测第十门限T=(1+α)M,当一个IP在一天内的注册数量超过T时,则认为该IP进行了恶意批量账号注册,α为0.5、1.0、2.0等。上述第十一门限可以是4、5、6等。
可选的,对上述第三IP注册的各个账号进行聚类分析,确定上述第三IP注册的账号中相似度超过相似度阈值的账号个数。对注册账号进行聚类,主要检测xxxxx1@mailsite.com,xxxxx2@mailsite.com,以及1234567890x和1234567890y这种账号高度相似的行为。可选的,采取编辑距离来衡量账号之间的相似度。给定相似度阈值(如1),如果有两个账号的编辑距离等于相似度阈值,则认为这两个账号高度相似。通过对IP上所有账号两两之间的编辑距离进行计算,得到相似的账号的数量,如果数量大于等于一个数量阈值(第十一门限,推荐设置为3或4),则判别该IP上进行了批量注册。该实现方式中,提出了两种判别恶意批量注册账号的策略。第一条策略是IP在一定时间段注册的账号的数量大于一定阈值,第二条策略是IP注册的账号中相似度超过相似度阈值的账号个数大于一定阈值。实际使用时,如果第一条策略判别是恶意注册,该IP下所有注册账号被认为是非法;否则,继续进行第二条策略检测,如果该IP被判别存在批量注册,则该时间片内所有注册账号被识别为非法注册账号。
在该实现方式中,可以准确、快速地检测出恶意批量注册账号的异常行为。
实施例五
本发明实施例提供了一种检测僵尸账号的方法,若检测到一个账号同时满足以下条件,则确定该账号为僵尸账号,所需满足的条件如下:
(1)登录第四账号的IP在第六时间周期内登录的账号个数大于第十二门限或者登录上述第四账号的设备在第七时间周期内登录的账号个数大于第十三门限。
(2)上述第四账号的登录成功率大于或等于第十四门限。
上述待检测登录日志包含上述第四账号的登录日志。上述第六时间周期可以是15分钟、30分钟、60分钟、24小时等。上述第七时间周期可以是15分钟、30分钟、60分钟、24小时、48小时等。上述第十二门限可以是上述登录参数包含的第二平均登录账号数的N12倍,该N12可以是4、5、6、7以及8等。第二平均登录账号数是指IP在第六时间周期内登录账号的平均个数。上述第十三门限可以是上述登录参数包含的最大登录账号数的N13倍,该N13可以是3、4、5以及6等。最大登录账号数是指设备在第七时间周期内登录账号的最大个数。上述第十四门限可以是上述登录参数包含的第三IP登录成功率的N14倍,该N14可以是1.1、1.2、1.3等。第三IP登录成功率是指IP在第六时间周期或第七时间周期内登录账号的成功率。
在该实现方式中,可以快速、准确地检测出僵尸账号。
实施例六
本发明实施例提供了一种检测撞库成功后验密的方法,若检测到一个IP同时满足以下条件,则确定该IP在撞库成功后进行密码验证,所需满足的条件如下:
(1)第四IP在第八时间周期登录的账号个数大于第十五门限。
(2)上述第四IP在上述第八时间周期登录账号的成功率大于或等于第十六门限。
(3)上述第四IP是上述第四IP登录的账号的历史IP的比率小于第十七门限。
上述待检测登录日志包含上述第四IP的登录日志。上述第十五门限可以是上述登录参数包含的第三平均登录账号数的N15倍,该N15可以是2、3、4以及5等。第三平均登录账号数是指IP在第八时间周期内登录账号的平均个数。上述第十六门限可以是上述登录参数包含的第四IP登录成功率的N16倍,该N16可以是1.1、1.2、1.3等。第四IP登录成功率是指IP在第八时间周期内登录账号的成功率。举例来说,某个IP在某个时间段登录了100个账号,该IP是这100个账号中8个账号的历史IP,则该IP是其登录的账号的历史IP的比率为8%。上述第十七门限可以是0.1、0.2以及0.3等。可以理解,上述第四IP登录的账号被撞库成功后进行了密码验证。
在该实现方式中,可以检测出IP在撞库成功后验密的操作。
实施例七
本发明实施例提供了一种检测篡改密码的方法,该方法可包括如下步骤:
步骤一、确定第五账号在目标时间点撞库成功或撞库成功后验密。
上述待检测登录日志包含上述第五账号的登录日志。
步骤二、检测到上述第五账号在上述目标时间点之后的目标时间段内进行密码修改。
步骤三、确定上述第五账号的密码被篡改。
上述目标时间段的时间长度可以是3分钟、4分钟、5分钟等。
在该实现方式中,可以检测出账号的密码被篡改的行为。
实施例八
本发明实施例提供了一种检测篡改用户信息的方法,该方法可包括如下步骤:
步骤一、确定第五账号在目标时间点撞库成功或撞库成功后验密。
上述待检测登录日志包含上述第五账号的登录日志。
步骤二、检测到上述第五账号在上述目标时间点之后的目标时间段内进行用户信息修改。
步骤三、确定上述第五账号的用户信息被篡改。
上述目标时间段的时间长度可以是3分钟、4分钟、5分钟等。
在该实现方式中,可以检测出账号的用户信息被篡改的行为。
207、输出异常检测结果。
上述异常检测结果可以是异常账号、异常设备、异常IP、异常发生时间以及发生的异常行为等。
可选的,将上述异常检测结果发送至目标设备;上述目标设备为出现异常情况的目标账号对应的授权设备。上述目标账号对应的授权设备为上述目标账号绑定的设备,也可以是上述目标账号授权过的设备。这样可以及时通知出现异常情况的账号的拥有者,检测到的账号异常情况。可选的,存储上述异常检测结果。
本申请中,根据历史登录日志中未出现异常行为的参考账号的登录参数确定的参考参数,确定待检测登录日志包含的异常情况;可以检测多种账号异常行为,检测精度高。
图3为本申请提供的一种异常检测装置的结构示意图,如图3所示,该异常检测装置30可包括:
筛选单元310,用于从历史登录日志中筛选出未出现异常行为的参考账号;
第一确定单元320,用于根据上述参考账号的登录参数,确定参考参数;上述参考参数用于确定登录日志包含的异常情况;
获取单元330,用于获取待检测登录日志;
第二确定单元340,用于根据上述参考参数确定上述待检测登录日志包含的异常情况。上述获取单元330,还用于获取上述历史登录日志。可选的,上述异常检测装置30还包括存储单元350,该存储单元350用于存储异常检测结果。可选的,上述异常检测装置30还包括输出单元360,该输出单元360用于输出异常检测结果。可选的,上述异常检测装置30还包括发送单元370,该发送单元370用于将异常检测结果发送至目标设备;上述目标设备为出现异常情况的目标账号对应的授权设备。上述目标账号对应的授权设备为上述目标账号绑定的设备,也可以是上述目标账号授权过的设备。在实际应用中,异常检测装置可以是服务器、手机、计算机设备等。
异常检测装置30包含的各单元可实现如下操作:
301、获取单元330获取历史登录日志,并输出至筛选单元310。
302、筛选单元310从上述历史登录日志中筛选出未出现异常行为的参考账号,并将上述参考账号的登录参数输出至第一确定单元320。
图4为本发明实施例提供的筛选单元的结构示意图,如图4所示,筛选单元310可包括:
第一判别子单元401,用于判别账号在IP层面是否出现异常行为;
第二判别子单元402,用于判别账号在账号层面是否出现异常行为;
第三判别子单元403,用于判别账号在设备层面是否出现异常行为;
第一统计子单元404,用于统计参考账号在IP层面的登录参数;
第二统计子单元405,用于统计参考账号在账号层面的登录参数;
第三统计子单元406,用于统计参考账号在设备层面的登录参数。
具体的,各判别子单元分别在IP层面、账号层面以及设备层面判别账号是否出现异常行为的实现方式与图1中的方式相同,这里不再详述。IP层面的登录参数可以包括:IP上对应的登录次数,IP上对应的注册次数,IP上的登录成功率等。账号层面的登录参数可以包括:账号对应的最大登录IP数量,账号对应的最大登录次数等。设备层面的登录参考可以包括设备对应的最大账号数量等。筛选单元310可以筛选出在IP层面、账号层面以及设备层面均为出现异常行为的参考账号,并统计参考账号的登录参数。
303、第一确定单元320根据上述参考账号的登录参数确定参考参数,并输出至第二确定单元340;上述参考参数用于确定登录日志包含的异常情况。
304、获取单元330获取待检测日志,并输出至第二确定单元340。
305、第二确定单元340根据上述参考参数确定上述待检测登录日志包含的异常情况,并输出至存储单元350。
可选的,第一确定单元320和第二确定单元340不是同一个单元,第二确定单元340从第一确定单元320获取上述参考参数。可选的,第一确定单元320和第二确定单元340是同一个单元。第二确定单元340可以实现前述实施例一至实施例八中的异常检测方法,即可以实现撞库攻击检测、暴力破解检测、隐蔽撞库检测、恶意批量注册检测、撞库成功后验密检测、僵尸账号检测、用户密码篡改检测以及用户信息篡改检测。
本申请中,根据历史登录日志中未出现异常行为的参考账号的登录参数确定的参考参数,确定待检测登录日志包含的异常情况;可以检测多种账号异常行为,检测精度高。
上述筛选单元,具体用于从上述历史登录日志中筛选出在账号层面、IP层面以及设备层面均未出现异常行为的上述参考账号;上述参考账号在账号层面未出现以下任一种:上述参考账号的登录频率大于第一阈值、上述参考账号的登录间隔小于第二阈值以及上述参考账号对应的IP的数量大于第三阈值;上述参考账号在IP层面未出现以下任一种:登录上述参考账号的参考IP注册的账号数量大于第四阈值、上述参考IP登录账号的成功率小于第五阈值、上述参考IP登录的账号数量大于第六阈值以及上述参考IP登录账号的频率大于第七阈值;上述参考账号在设备层面,登录上述参考账号的设备对应的账号的数量小于第八阈值。
在一个可选的实现方式中,上述第二确定单元340,具体用于确定第一IP在第一时间周期内登录账号的第一次数、登录账号的第一成功率以及登录账号的第一个数;在上述第一次数大于第一门限或者上述第一个数大于第二门限,且上述第一成功率小于第三门限的情况下,确定上述第一IP发生撞库攻击;上述第一门限、上述第二门限以及上述第三门限均包含于上述参考参数;在上述第一IP登录的第一账号的历史IP未包含上述第一IP的情况下,确定上述第一账号被撞库;上述待检测登录日志包含上述第一账号的登录日志以及上述第一IP的登录日志;
或者,
上述第二确定单元340,具体用于确定第二IP在第二时间周期内登录账号的第二次数以及登录账号的第二成功率;在上述第二次数大于第四门限小于第五门限,且上述第二成功率小于第六门限的情况下,确定上述第二IP发生撞库攻击;上述第四门限、第五门限以及上述第六门限均包含于上述参考参数;在上述第二IP登录的第二账号的历史IP未包含上述第二IP的情况下,确定上述第二账号被撞库;上述待检测登录日志包含上述第二账号的登录日志以及上述第二IP的登录日志。
在一个可选的实现方式中,上述第二确定单元340,具体用于在第三账号在第三时间周期内的登录IP的个数大于第七门限的情况下,确定上述第三账号被暴力破解;上述待检测登录日志包含上述第三账号的登录日志;上述第七门限包含于上述参考参数;
或者,上述第二确定单元340,具体用于在上述第三账号在第四时间周期内的登录次数大于或等于第八门限的情况下,确定上述第三账号被暴力破解;上述第八门限包含于上述参考参数;
或者,上述第二确定单元340,具体用于在上述第三账号N次的平均登录间隔小于或等于第九门限的情况下,确定上述第三账号被暴力破解;上述第九门限包含于上述参考参数。
在一个可选的实现方式中,上述第二确定单元340,具体用于在第三IP在第五时间周期内注册的账号的次数超过第十门限情况下,确定上述第三IP发生恶意批量注册;上述第十门限包含于上述参考参数;上述待检测登录日志包含上述第三IP的登录日志;
或者,上述第二确定单元340,具体用于确定上述第三IP注册的账号中相似度超过相似度阈值的账号个数;在上述账号个数大于或等于第十一门限的情况下,确定上述第三IP发生恶意批量注册;上述第十一门限包含于上述参考参数。
在一个可选的实现方式中,上述第二确定单元340,具体用于在登录第四账号的IP在第六时间周期内登录的账号个数大于第十二门限或者登录上述第四账号的设备在第七时间周期内登录的账号个数大于第十三门限,且上述第四账号的登录成功率大于或等于第十四门限的情况下,确定上述第四账号为僵尸账号;上述第十二门限、上述第十三门限以及上述第十四门限包含于上述参考参数;上述待检测登录日志包含上述第四账号的登录日志。
在一个可选的实现方式中,上述第二确定单元340,具体用于在第四IP满足目标条件的情况下,确定上述第四IP在撞库成功后验密;上述目标条件包括:上述第四IP在第八时间周期登录的账号个数大于第十五门限、上述第四IP在上述第八时间周期登录账号的成功率大于或等于第十六门限以及上述第四IP是上述第四IP登录的账号的历史IP的比率小于第十七门限;上述第十五门限、上述第十六门限以及上述第十七门限包含于上述参考参数;上述待检测登录日志包含上述第四IP的登录日志。
在一个可选的实现方式中,上述第二确定单元340,还用于确定第五账号在目标时间点撞库成功或撞库成功后验密;上述第五账号在上述目标时间点之后的目标时间段内进行密码修改或用户信息修改的情况下,确定上述第五账号的密码或用户信息被篡改;上述待检测登录日志包含上述第五账号的登录日志。
图5为本发明实施例提供的一种异常检测装置的结构示意图。如图5所示,本实施例中的异常检测装置可以包括:一个或多个处理器501、存储器502、收发器503、输入输出设备504。上述处理器501、存储器502、收发器503以及输入输出设备504通过总线505连接。存储器502用于存储指令,处理器501用于执行存储器502存储的指令。收发器503用于接收和发送数据。输入输出设备504用于获取历史登录日志、待检测日志以及输出异常检测结果。其中,处理器501用于:从历史登录日志中筛选出未出现异常行为的参考账号;根据上述参考账号的登录参数,确定参考参数;上述参考参数用于确定登录日志包含的异常情况;获取待检测登录日志;根据上述参考参数确定上述待检测登录日志包含的异常情况。
应当理解,在本发明实施例中,所称处理器501可以是中央处理单元(CentralProcessing Unit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(DigitalSignal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
该存储器502可以包括只读存储器和随机存取存储器,并向处理器501提供指令和数据。存储器502的一部分还可以包括非易失性随机存取存储器。例如,存储器502还可以存储设备类型的信息。
具体实现中,本发明实施例中所描述的处理器501、存储器502、收发器503以及输入输出设备504可执行本发明实施例提供的异常检测方法的前述任一实施例所描述的实现方式,也可执行本发明实施例所描述的异常检测装置的实现方式,在此不再赘述。具体的,收发器503可实现发送单元370的功能。处理器501可实现筛选单元310、第一确定单元320以及第二确定单元340的功能。存储器502可实现存储单元350的功能。输入输出设备504可实现获取单元330以及输出单元360的功能。
图6是本发明实施例提供的另一种异常检测装置的结构示意图,该异常检测装置600可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(central processing units,CPU)622(例如,一个或一个以上处理器)和存储器632,一个或一个以上存储应用程序642或数据644的存储介质630(例如一个或一个以上海量存储设备)。其中,存储器632和存储介质630可以是短暂存储或持久存储。存储在存储介质630的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对异常检测装置中的一系列指令操作。更进一步地,中央处理器622可以设置为与存储介质630通信,在异常检测装置600上执行存储介质630中的一系列指令操作。
异常检测装置600还可以包括一个或一个以上电源626,一个或一个以上有线或无线网络接口650,一个或一个以上输入输出接口658,和/或,一个或一个以上操作系统641,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
上述实施例中由异常检测装置所执行的异常检测方法可以基于该图6所示的异常检测装置结构。具体的,输入输出接口658可实现获取单元330、输出单元360以及发送单元370的功能。中央处理器622可实现筛选单元310、第一确定单元320以及第二确定单元340的功能。存储器632可实现存储单元350的功能。
在本发明的实施例中提供一种计算机可读存储介质,上述计算机可读存储介质存储有计算机程序,上述计算机程序被处理器执行时实现:从历史登录日志中筛选出未出现异常行为的参考账号;根据上述参考账号的登录参数,确定参考参数;上述参考参数用于确定登录日志包含的异常情况;获取待检测登录日志;根据上述参考参数确定上述待检测登录日志包含的异常情况。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (18)

1.一种异常检测方法,其特征在于,包括:
从历史登录日志中筛选出未出现异常行为的参考账号;
根据所述参考账号的登录参数,确定参考参数;所述参考参数用于确定登录日志包含的异常情况;
获取待检测登录日志;
根据所述参考参数确定所述待检测登录日志包含的异常情况。
2.根据权利要求1所述的方法,其特征在于,所述从历史登录日志中筛选出未出现异常行为的参考账号包括:
从所述历史登录日志中筛选出在账号层面、IP层面以及设备层面均未出现异常行为的所述参考账号;所述参考账号在账号层面未出现以下任一种:所述参考账号的登录频率大于第一阈值、所述参考账号的登录间隔小于第二阈值以及所述参考账号对应的IP的数量大于第三阈值;所述参考账号在IP层面未出现以下任一种:登录所述参考账号的参考IP注册的账号数量大于第四阈值、所述参考IP登录账号的成功率小于第五阈值、所述参考IP登录的账号数量大于第六阈值以及所述参考IP登录账号的频率大于第七阈值;所述参考账号在设备层面,登录所述参考账号的设备对应的账号的数量小于第八阈值。
3.根据权利要求1或2所述的方法,其特征在于,所述根据所述参考参数确定所述待检测登录日志包含的异常情况包括:
确定第一IP在第一时间周期内登录账号的第一次数、登录账号的第一成功率以及登录账号的第一个数;
在所述第一次数大于第一门限或者所述第一个数大于第二门限,且所述第一成功率小于第三门限的情况下,确定所述第一IP发生撞库攻击;所述第一门限、所述第二门限以及所述第三门限均包含于所述参考参数;
在所述第一IP登录的第一账号的历史IP未包含所述第一IP的情况下,确定所述第一账号被撞库;所述待检测登录日志包含所述第一账号的登录日志以及所述第一IP的登录日志;
或者,
确定第二IP在第二时间周期内登录账号的第二次数以及登录账号的第二成功率;
在所述第二次数大于第四门限小于第五门限,且所述第二成功率小于第六门限的情况下,确定所述第二IP发生撞库攻击;所述第四门限、第五门限以及所述第六门限均包含于所述参考参数;
在所述第二IP登录的第二账号的历史IP未包含所述第二IP的情况下,确定所述第二账号被撞库;所述待检测登录日志包含所述第二账号的登录日志以及所述第二IP的登录日志。
4.根据权利要求1或2所述的方法,其特征在于,所述根据所述参考参数确定所述待检测登录日志包含的异常情况包括:
在第三账号在第三时间周期内的登录IP的个数大于第七门限的情况下,确定所述第三账号被暴力破解;所述待检测登录日志包含所述第三账号的登录日志;所述第七门限包含于所述参考参数;
或者,在所述第三账号在第四时间周期内的登录次数大于或等于第八门限的情况下,确定所述第三账号被暴力破解;所述第八门限包含于所述参考参数;
或者,在所述第三账号N次的平均登录间隔小于或等于第九门限的情况下,确定所述第三账号被暴力破解;所述第九门限包含于所述参考参数。
5.根据权利要求1或2所述的方法,其特征在于,所述根据所述参考参数确定所述待检测登录日志包含的异常情况包括:
在第三IP在第五时间周期内注册的账号的次数超过第十门限情况下,确定所述第三IP发生恶意批量注册;所述第十门限包含于所述参考参数;所述待检测登录日志包含所述第三IP的登录日志;
或者,
确定所述第三IP注册的账号中相似度超过相似度阈值的账号个数;
在所述账号个数大于或等于第十一门限的情况下,确定所述第三IP发生恶意批量注册;所述第十一门限包含于所述参考参数。
6.根据权利要求1或2所述的方法,其特征在于,所述根据所述参考参数确定所述待检测登录日志包含的异常情况包括:
在登录第四账号的IP在第六时间周期内登录的账号个数大于第十二门限或者登录所述第四账号的设备在第七时间周期内登录的账号个数大于第十三门限,且所述第四账号的登录成功率大于或等于第十四门限的情况下,确定所述第四账号为僵尸账号;所述第十二门限、所述第十三门限以及所述第十四门限包含于所述参考参数;所述待检测登录日志包含所述第四账号的登录日志。
7.根据权利要求1或2所述的方法,其特征在于,所述根据所述参考参数确定所述待检测登录日志包含的异常情况包括:
在第四IP满足目标条件的情况下,确定所述第四IP在撞库成功后验密;所述目标条件包括:所述第四IP在第八时间周期登录的账号个数大于第十五门限、所述第四IP在所述第八时间周期登录账号的成功率大于或等于第十六门限以及所述第四IP是所述第四IP登录的账号的历史IP的比率小于第十七门限;所述第十五门限、所述第十六门限以及所述第十七门限包含于所述参考参数;所述待检测登录日志包含所述第四IP的登录日志。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
确定第五账号在目标时间点撞库成功或撞库成功后验密;
所述第五账号在所述目标时间点之后的目标时间段内进行密码修改或用户信息修改的情况下,确定所述第五账号的密码或用户信息被篡改;所述待检测登录日志包含所述第五账号的登录日志。
9.一种异常检测装置,其特征在于,包括:
筛选单元,用于从历史登录日志中筛选出未出现异常行为的参考账号;
第一确定单元,用于根据所述参考账号的登录参数,确定参考参数;所述参考参数用于确定登录日志包含的异常情况;
获取单元,用于获取待检测登录日志;
第二确定单元,用于根据所述参考参数确定所述待检测登录日志包含的异常情况。
10.根据权利要求9所述的异常检测装置,其特征在于,
所述筛选单元,具体用于从所述历史登录日志中筛选出在账号层面、IP层面以及设备层面均未出现异常行为的所述参考账号;所述参考账号在账号层面未出现以下任一种:所述参考账号的登录频率大于第一阈值、所述参考账号的登录间隔小于第二阈值以及所述参考账号对应的IP的数量大于第三阈值;所述参考账号在IP层面未出现以下任一种:登录所述参考账号的参考IP注册的账号数量大于第四阈值、所述参考IP登录账号的成功率小于第五阈值、所述参考IP登录的账号数量大于第六阈值以及所述参考IP登录账号的频率大于第七阈值;所述参考账号在设备层面,登录所述参考账号的设备对应的账号的数量小于第八阈值。
11.根据权利要求9或10所述的异常检测装置,其特征在于,
所述第二确定单元,具体用于确定第一IP在第一时间周期内登录账号的第一次数、登录账号的第一成功率以及登录账号的第一个数;在所述第一次数大于第一门限或者所述第一个数大于第二门限,且所述第一成功率小于第三门限的情况下,确定所述第一IP发生撞库攻击;所述第一门限、所述第二门限以及所述第三门限均包含于所述参考参数;在所述第一IP登录的第一账号的历史IP未包含所述第一IP的情况下,确定所述第一账号被撞库;所述待检测登录日志包含所述第一账号的登录日志以及所述第一IP的登录日志;
或者,
所述第二确定单元,具体用于确定第二IP在第二时间周期内登录账号的第二次数以及登录账号的第二成功率;在所述第二次数大于第四门限小于第五门限,且所述第二成功率小于第六门限的情况下,确定所述第二IP发生撞库攻击;所述第四门限、第五门限以及所述第六门限均包含于所述参考参数;在所述第二IP登录的第二账号的历史IP未包含所述第二IP的情况下,确定所述第二账号被撞库;所述待检测登录日志包含所述第二账号的登录日志以及所述第二IP的登录日志。
12.根据权利要求9或10所述的异常检测装置,其特征在于,
所述第二确定单元,具体用于在第三账号在第三时间周期内的登录IP的个数大于第七门限的情况下,确定所述第三账号被暴力破解;所述待检测登录日志包含所述第三账号的登录日志;所述第七门限包含于所述参考参数;
或者,所述第二确定单元,具体用于在所述第三账号在第四时间周期内的登录次数大于或等于第八门限的情况下,确定所述第三账号被暴力破解;所述第八门限包含于所述参考参数;
或者,所述第二确定单元,具体用于在所述第三账号N次的平均登录间隔小于或等于第九门限的情况下,确定所述第三账号被暴力破解;所述第九门限包含于所述参考参数。
13.根据权利要求9或10所述的异常检测装置,其特征在于,
所述第二确定单元,具体用于在第三IP在第五时间周期内注册的账号的次数超过第十门限情况下,确定所述第三IP发生恶意批量注册;所述第十门限包含于所述参考参数;所述待检测登录日志包含所述第三IP的登录日志;
或者,所述第二确定单元,具体用于确定所述第三IP注册的账号中相似度超过相似度阈值的账号个数;在所述账号个数大于或等于第十一门限的情况下,确定所述第三IP发生恶意批量注册;所述第十一门限包含于所述参考参数。
14.根据权利要求9或10所述的异常检测装置,其特征在于,
所述第二确定单元,具体用于在登录第四账号的IP在第六时间周期内登录的账号个数大于第十二门限或者登录所述第四账号的设备在第七时间周期内登录的账号个数大于第十三门限,且所述第四账号的登录成功率大于或等于第十四门限的情况下,确定所述第四账号为僵尸账号;所述第十二门限、所述第十三门限以及所述第十四门限包含于所述参考参数;所述待检测登录日志包含所述第四账号的登录日志。
15.根据权利要求9或10所述的异常检测装置,其特征在于,
所述第二确定单元,具体用于在第四IP满足目标条件的情况下,确定所述第四IP在撞库成功后验密;所述目标条件包括:所述第四IP在第八时间周期登录的账号个数大于第十五门限、所述第四IP在所述第八时间周期登录账号的成功率大于或等于第十六门限以及所述第四IP是所述第四IP登录的账号的历史IP的比率小于第十七门限;所述第十五门限、所述第十六门限以及所述第十七门限包含于所述参考参数;所述待检测登录日志包含所述第四IP的登录日志。
16.根据权利要求9或10所述的异常检测装置,其特征在于,
所述第二确定单元,还用于确定第五账号在目标时间点撞库成功或撞库成功后验密;所述第五账号在所述目标时间点之后的目标时间段内进行密码修改或用户信息修改的情况下,确定所述第五账号的密码或用户信息被篡改;所述待检测登录日志包含所述第五账号的登录日志。
17.一种异常检测装置,其特征在于,包括处理器和存储器,所述处理器和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如权利要求1-8任一项所述的方法。
18.一种计算机可读存储介质,其特征在于,所述计算机存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时使所述处理器执行如权利要求1-8任一项所述的方法。
CN201810493938.XA 2018-05-22 2018-05-22 异常检测方法、装置及计算机可读介质 Active CN110519208B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810493938.XA CN110519208B (zh) 2018-05-22 2018-05-22 异常检测方法、装置及计算机可读介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810493938.XA CN110519208B (zh) 2018-05-22 2018-05-22 异常检测方法、装置及计算机可读介质

Publications (2)

Publication Number Publication Date
CN110519208A true CN110519208A (zh) 2019-11-29
CN110519208B CN110519208B (zh) 2021-11-30

Family

ID=68621673

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810493938.XA Active CN110519208B (zh) 2018-05-22 2018-05-22 异常检测方法、装置及计算机可读介质

Country Status (1)

Country Link
CN (1) CN110519208B (zh)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111010402A (zh) * 2019-12-24 2020-04-14 深信服科技股份有限公司 账号登陆方法、装置、设备及计算机可读存储介质
CN111586028A (zh) * 2020-04-30 2020-08-25 广州市百果园信息技术有限公司 一种异常登录的评估方法、装置、服务器和存储介质
CN111600874A (zh) * 2020-05-13 2020-08-28 奇安信科技集团股份有限公司 用户账号检测方法、装置、电子设备、介质和程序产品
CN111860644A (zh) * 2020-07-20 2020-10-30 北京百度网讯科技有限公司 一种异常账号的识别方法、装置、设备和存储介质
CN112565271A (zh) * 2020-12-07 2021-03-26 瑞数信息技术(上海)有限公司 Web攻击检测方法和装置
CN112966732A (zh) * 2021-03-02 2021-06-15 东华大学 具有周期属性的多因素交互行为异常检测方法
CN113271315A (zh) * 2021-06-08 2021-08-17 工银科技有限公司 虚拟专用网络异常使用检测方法、装置和电子设备
CN114978636A (zh) * 2022-05-12 2022-08-30 北京天融信网络安全技术有限公司 低频暴力破解检测方法及装置

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105471819A (zh) * 2014-08-19 2016-04-06 腾讯科技(深圳)有限公司 账号异常检测方法及装置
CN106161395A (zh) * 2015-04-20 2016-11-23 阿里巴巴集团控股有限公司 一种防止暴力破解的方法、装置及系统
CN106603555A (zh) * 2016-12-29 2017-04-26 杭州迪普科技股份有限公司 一种防护撞库攻击的方法及装置
CN106789855A (zh) * 2015-11-25 2017-05-31 北京奇虎科技有限公司 用户登录验证的方法及装置
CN107046550A (zh) * 2017-06-14 2017-08-15 微梦创科网络科技(中国)有限公司 一种异常登录行为的检测方法及装置
US9781152B1 (en) * 2013-09-11 2017-10-03 Google Inc. Methods and systems for performing dynamic risk analysis using user feedback
CN107347052A (zh) * 2016-05-05 2017-11-14 阿里巴巴集团控股有限公司 检测撞库攻击的方法及装置
CN107770129A (zh) * 2016-08-17 2018-03-06 华为技术有限公司 用于检测用户行为的方法和装置
CN107911396A (zh) * 2017-12-30 2018-04-13 世纪龙信息网络有限责任公司 登录异常检测方法和系统
CN107992738A (zh) * 2017-11-16 2018-05-04 北京奇艺世纪科技有限公司 一种账号登录异常检测方法、装置及电子设备

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9781152B1 (en) * 2013-09-11 2017-10-03 Google Inc. Methods and systems for performing dynamic risk analysis using user feedback
CN105471819A (zh) * 2014-08-19 2016-04-06 腾讯科技(深圳)有限公司 账号异常检测方法及装置
CN106161395A (zh) * 2015-04-20 2016-11-23 阿里巴巴集团控股有限公司 一种防止暴力破解的方法、装置及系统
CN106789855A (zh) * 2015-11-25 2017-05-31 北京奇虎科技有限公司 用户登录验证的方法及装置
CN107347052A (zh) * 2016-05-05 2017-11-14 阿里巴巴集团控股有限公司 检测撞库攻击的方法及装置
CN107770129A (zh) * 2016-08-17 2018-03-06 华为技术有限公司 用于检测用户行为的方法和装置
CN106603555A (zh) * 2016-12-29 2017-04-26 杭州迪普科技股份有限公司 一种防护撞库攻击的方法及装置
CN107046550A (zh) * 2017-06-14 2017-08-15 微梦创科网络科技(中国)有限公司 一种异常登录行为的检测方法及装置
CN107992738A (zh) * 2017-11-16 2018-05-04 北京奇艺世纪科技有限公司 一种账号登录异常检测方法、装置及电子设备
CN107911396A (zh) * 2017-12-30 2018-04-13 世纪龙信息网络有限责任公司 登录异常检测方法和系统

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111010402A (zh) * 2019-12-24 2020-04-14 深信服科技股份有限公司 账号登陆方法、装置、设备及计算机可读存储介质
CN111010402B (zh) * 2019-12-24 2022-09-30 深信服科技股份有限公司 账号登陆方法、装置、设备及计算机可读存储介质
CN111586028A (zh) * 2020-04-30 2020-08-25 广州市百果园信息技术有限公司 一种异常登录的评估方法、装置、服务器和存储介质
CN111600874A (zh) * 2020-05-13 2020-08-28 奇安信科技集团股份有限公司 用户账号检测方法、装置、电子设备、介质和程序产品
CN111600874B (zh) * 2020-05-13 2022-10-28 奇安信科技集团股份有限公司 用户账号检测方法、装置、电子设备、介质
CN111860644A (zh) * 2020-07-20 2020-10-30 北京百度网讯科技有限公司 一种异常账号的识别方法、装置、设备和存储介质
CN112565271A (zh) * 2020-12-07 2021-03-26 瑞数信息技术(上海)有限公司 Web攻击检测方法和装置
CN112565271B (zh) * 2020-12-07 2022-09-02 瑞数信息技术(上海)有限公司 Web攻击检测方法和装置
CN112966732A (zh) * 2021-03-02 2021-06-15 东华大学 具有周期属性的多因素交互行为异常检测方法
CN113271315A (zh) * 2021-06-08 2021-08-17 工银科技有限公司 虚拟专用网络异常使用检测方法、装置和电子设备
CN114978636A (zh) * 2022-05-12 2022-08-30 北京天融信网络安全技术有限公司 低频暴力破解检测方法及装置
CN114978636B (zh) * 2022-05-12 2023-08-29 北京天融信网络安全技术有限公司 低频暴力破解检测方法及装置

Also Published As

Publication number Publication date
CN110519208B (zh) 2021-11-30

Similar Documents

Publication Publication Date Title
CN110519208A (zh) 异常检测方法、装置及计算机可读介质
US8776226B2 (en) Method and apparatus for detecting SSH login attacks
US11893112B2 (en) Quantitative digital sensor
CN103927307B (zh) 一种识别网站用户的方法和装置
CN106973038B (zh) 基于遗传算法过采样支持向量机的网络入侵检测方法
CN109164786A (zh) 一种基于时间相关基线的异常行为检测方法、装置及设备
US9705899B2 (en) Digital filter correlation engine
Vokorokos et al. Host-based intrusion detection system
CN107302547A (zh) 一种web业务异常检测方法及装置
CN112473148B (zh) 一种用于反外挂的方法、装置和系统
CN116747528B (zh) 一种游戏后台用户监管方法及系统
CN103618691A (zh) 一种网络安全效能评估方法
CN108038374A (zh) 一种检测实时威胁的方法
CN114003903B (zh) 一种网络攻击追踪溯源方法及装置
JP3611867B2 (ja) 以前の観察可能な外部事象の発生に関係する予め定められたデータ処理ルーチンの実行時間決定の阻止
CN108989294A (zh) 一种准确识别网站访问的恶意用户的方法及系统
CN110224970A (zh) 一种工业控制系统的安全监视方法和装置
CN107395608A (zh) 一种网络访问异常检测方法及装置
CN108073499A (zh) 应用程序的测试方法及装置
CN107612927B (zh) 电力调度自动化系统的安全检测方法
CN106982151B (zh) 一种游戏内运行速度异常的检测方法、装置及游戏系统
CN110874355B (zh) 车辆徘徊绕圈异常行为的检测方法、系统、终端及介质
CN110839003A (zh) 盗号行为识别方法、装置、计算机设备和存储介质
CN110808995A (zh) 安全防护方法和装置
CN108683662B (zh) 单台在网设备风险评估方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant