CN111294336B - 登录行为检测方法、装置、计算机设备和存储介质 - Google Patents
登录行为检测方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN111294336B CN111294336B CN202010040057.XA CN202010040057A CN111294336B CN 111294336 B CN111294336 B CN 111294336B CN 202010040057 A CN202010040057 A CN 202010040057A CN 111294336 B CN111294336 B CN 111294336B
- Authority
- CN
- China
- Prior art keywords
- address
- intranet
- user identifier
- login
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种登录行为检测方法、装置、计算机设备和存储介质。方法包括:获取用户标识访问网络时所使用的内网IP地址和外网IP地址;当用户标识与外网IP地址之间不满足第一预设关系时,检测用户标识与内网IP地址是否满足第二预设关系;第一预设关系为用户标识与外网IP地址一一对应关系;第二预设关系为用户标识与内网IP地址一一对应关系;当用户标识与内网IP地址不满足第二预设关系时,则确定用户标识为异常登录用户标识。采用本方法能够提高登录行为检测的准确性。
Description
技术领域
本申请涉及计算机安全技术领域,特别是涉及一种登录行为检测方法、装置、计算机设备和存储介质。
背景技术
随着互联网技术的发展,互联网已成为人们生活中不可或缺的一部分,网络安全也越来越受到人们的关注。为了防止黑客远程控制服务器、篡改网页内容、窃取用户数据,干扰网络的正常运行,需要对用户登录行为进行检测。
然而,目前的用户登录行为检测方法通过IP(Internet Protocol,网络之间互连的协议)聚集检测方法检测用户登录是否异常;IP聚集检测是检测到多个用户进行访问时是否使用相同IP地址获取用户的登录情况;但IP聚集检测方法存在登录行为检测的准确性低的问题。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提高登录行为检测的准确性的登录行为检测方法、装置、计算机设备和存储介质。
一种登录行为检测方法,所述方法包括:
获取用户标识访问网络时所使用的内网IP地址和外网IP地址;
当所述用户标识与所述外网IP地址之间不满足第一预设关系时,检测所述用户标识与所述内网IP地址是否满足第二预设关系;所述第一预设关系为用户标识与外网IP地址一一对应关系;所述第二预设关系为用户标识与内网IP地址一一对应关系;
当所述用户标识与所述内网IP地址不满足所述第二预设关系时,则确定所述用户标识为异常登录用户标识。
在其中一个实施例中,所述获取用户标识访问网络时所使用的内网IP地址和外网IP地址,包括:
获取用户登录请求中用户标识所对应的内网IP地址和外网IP地址。
在其中一个实施例中,所述方法还包括:
统计所述内网IP地址的登录次数;
当所述内网IP地址的登录次数小于或等于登录次数阈值时,检测所述用户标识与所述内网IP地址之间是否满足第二预设关系;
当所述内网IP地址的登录次数大于所述登录次数阈值时,则确定所述用户标识为异常登录用户标识。
在其中一个实施例中,所述方法还包括:
当所述用户标识与所述内网IP地址不满足所述第二预设关系时,确定所述内网IP地址为异常内网IP地址,并将所述异常内网IP地址添加到数据库中;
当所述用户标识与所述外网IP地址之间不满足第一预设关系时,在所述检测所述用户标识与所述外网IP地址是否满足第二预设关系之前,所述方法还包括:
检测所述数据库中是否存在与所述内网IP地址完全相同的异常内网IP地址;
当所述数据库中不存在与所述内网IP地址完全相同的异常内网IP地址时,执行所述检测所述用户标识与所述外网IP地址是否满足第二预设关系步骤;
当所述数据库中存在与所述内网IP地址完全相同的异常IP地址时,则确定所述用户标识为异常登录用户标识。
在其中一个实施例中,所述方法还包括:
当所述用户标识与所述内网IP地址不满足所述第二预设关系时,确定所述外网IP地址为异常外网IP地址,并将所述异常外网IP地址添加到数据库中;
在所述获取用户标识访问网络时所使用的内网IP地址和外网IP地址之后,所述方法还包括:
当所述数据库中不存在与所述外网IP地址完全相同的异常外网IP地址时,判断所述用户标识与所述外网IP地址是否满足第一预设关系;
当所述数据库中存在与所述外网IP地址完全相同的异常外网IP地址时,则确定所述用户标识为异常登录用户标识。
在其中一个实施例中,所述方法还包括:
生成所述用户标识的异常登录指令,所述异常登录指令用于指示终止所述用户标识登录并输出异常信息。
一种登录行为检测装置,所述装置包括:
获取模块,用于获取用户标识访问网络时所使用的内网IP地址和外网IP地址;
检测模块,用于当所述用户标识与所述外网IP地址之间不满足第一预设关系时,检测所述用户标识与所述内网IP地址是否满足第二预设关系;所述第一预设关系为用户标识与外网IP地址一一对应关系;所述
第二预设关系为用户标识与内网IP地址一一对应关系;
确定模块,用于当所述用户标识与所述内网IP地址不满足所述第二预设关系时,则确定所述用户标识为异常登录用户标识。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
获取用户标识访问网络时所使用的内网IP地址和外网IP地址;
当所述用户标识与所述外网IP地址之间不满足第一预设关系时,检测所述用户标识与所述内网IP地址是否满足第二预设关系;所述第一预设关系为用户标识与外网IP地址一一对应关系;所述第二预设关系为用户标识与内网IP地址一一对应关系;
当所述用户标识与所述内网IP地址不满足所述第二预设关系时,则确定所述用户标识为异常登录用户标识。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
获取用户标识访问网络时所使用的内网IP地址和外网IP地址;
当所述用户标识与所述外网IP地址之间不满足第一预设关系时,检测所述用户标识与所述内网IP地址是否满足第二预设关系;所述第一预设关系为用户标识与外网IP地址一一对应关系;所述第二预设关系为用户标识与内网IP地址一一对应关系;
当所述用户标识与所述内网IP地址不满足所述第二预设关系时,则确定所述用户标识为异常登录用户标识。
上述登录行为检测方法、装置、计算机设备和存储介质,通过获取用户标识访问网络时所使用的内网IP地址和外网IP地址;当用户标识与外网IP地址之间不满足第一预设关系时,检测用户标识与外网IP地址是否满足第二预设关系;第一预设关系为用户标识与外网IP地址一一对应关系;第二预设关系为用户标识与内网IP地址一一对应关系;当用户标识与内网IP地址不满足第二预设关系时,则确定用户标识为异常登录用户标识。通过先判断用户标识与外网IP地址之间的对应关系,初步获取用户标识的登录情况;当用户标识与外网IP地址不满足预设关系时,进一步检测用户标识与内网IP地址之间的对应关系,根据检测顺序检测外网IP地址和内网IP地址和用户标识之间对应关系,准确检测出用户标识的登录情况,提高登录行为检测的准确性。
附图说明
图1为一个实施例中登录行为检测方法的应用环境图;
图2为一个实施例中登录行为检测方法的流程示意图;
图3为一个实施例中登录行为检测步骤的流程示意图;
图4为另一个实施例中登录行为检测方法的流程示意图;
图5为一个实施例中登录行为检测装置的结构框图;
图6为一个实施例中登录行为检测装置的结构框图;
图7为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的登录行为检测方法,可以应用于如图1所示的应用环境中。其中,终端102通过网络与服务器104通过网络进行通信。服务器104获取终端102对应的用户标识访问网络时所使用的内网IP地址和外网IP地址;当用户标识与外网IP地址之间不满足第一预设关系时,检测用户标识与外网IP地址是否满足第二预设关系;第一预设关系为用户标识与外网IP地址一一对应关系;第二预设关系为用户标识与内网IP地址一一对应关系;当用户标识与内网IP地址不满足第二预设关系时,则确定用户标识为异常登录用户标识。其中,终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备,服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种登录行为检测方法,以该方法应用于图1中的服务器为例进行说明,包括以下步骤:
步骤202,获取用户标识访问网络时所使用的内网IP地址和外网IP地址。
其中,用户标识用于标记不同登录用户,用户标识可以但不仅限于是数字、字母等字符串组合。IP地址是TCP/IP体系中的网络层协议地址。内网IP地址可以是局域网IP地址,内网IP地址可以是由交换机或者路由器分配的只能访问局域网内部的IP地址,同一个局域网的IP地址是在同一个网段的,内网IP地址在同一个局域网中具有唯一性。外网IP地址是网络提供商的服务器分配给局域网访问广域网的IP地址,外网IP地址具有唯一性。外网IP地址和内网IP地址的地址范围不同,例如,IP地址在1.0.0.0到127.255.255.255范围为外网IP地址,IP地址在10.0.0.0到10.255.255.255范围为内网IP地址。
具体地,当用户标识访问网络时,服务器从数据库中获取用户标识访问网络时,所使用的内网IP地址和外网IP地址。用户标识在访问网络时,通过网络地址转换(NetworkAddress Translation,NAT)把对应的内网IP地址转换可以访问广域网的外网IP地址。例如,局域网中的安卓客户端在访问外部网站时,需要把安卓客户端内网IP地址通过NAT转换为外网IP地址,通过外网IP地址访问外部网站。
步骤204,当用户标识与外网IP地址之间不满足第一预设关系时,检测用户标识与外网IP地址是否满足第二预设关系;第一预设关系为用户标识与外网IP地址一一对应关系;第二预设关系为用户标识与内网IP地址一一对应关系。
其中,局域网中存在至少一个用户标识,在局域网中通过路由器或交换机给不同的用户标识分配不同的内网IP地址。在一个局域网中,用户标识通过对内网IP地址进行转换获取对应的外网IP地址,通过外网IP地址实现网络访问。
具体地,服务器获取用户标识访问网络时所使用的内网IP地址和外网IP地址时,先判断用户标识与外网IP地址之间是否满足第一预设关系,第一预设关系为用户标识与外网IP地址一一对应关系,当用户标识与外网IP地址满足一一对应关系时,则确定用户标识为正常登陆用户标识,外网IP地址为正常的IP地址,并将外网IP地址确定为正常外网IP地址,并添加到数据库的IP地址白名单中;正常登录可以包括用户标识通过移动基站或通过无线网络等方式登录;当用户标识与外网IP地址之间不满足第一预设关系时,检测用户标识与内网IP地址之间是否满足第二预设关系,第二预设关系为用户标识与内网IP地址一一对应的关系。
步骤206,当用户标识与内网IP地址不满足第二预设关系时,则确定用户标识为异常登录用户标识。
具体地,当用户标识与内网IP地址不满足第二预设关系,即用户标识与内网IP地址不是一一对应的关系,同一个内网IP地址被至少有两个用户标识使用,则确定内网IP地址为异常IP地址,用户标识为异常登录用户标识;异常登录可以是恶意用户攻击或黑客攻击。
上述登录行为检测方法中,通过获取用户标识访问网络时所使用的内网IP地址和外网IP地址;当用户标识与外网IP地址之间不满足第一预设关系时,检测用户标识与外网IP地址是否满足第二预设关系;第一预设关系为用户标识与外网IP地址一一对应关系;第二预设关系为用户标识与内网IP地址一一对应关系;当用户标识与内网IP地址不满足第二预设关系时,则确定用户标识为异常登录用户标识。通过先判断用户标识与外网IP地址之间的对应关系,初步获取用户标识的登录情况;当用户标识与外网IP地址不满足预设关系时,进一步检测用户标识与内网IP地址之间的对应关系,根据检测顺序检测外网IP地址和内网IP地址和用户标识之间对应关系,准确检测出用户标识的登录情况,提高登录行为检测准确性。
在一个实施例中,如图3所示,提供一种登录行为检测步骤,以该方法应用于图1中的服务器为例进行说明,包括以下步骤:
步骤302,获取用户标识访问网络时所使用的内网IP地址和外网IP地址。
其中,内网IP地址可以是由交换机或者路由器分配给局域网中客户端,只能访问局域网内部的IP地址。外网IP地址可以是网络提供商的服务器端的IP地址。
步骤304,判断用户标识与外网IP地址是否满足第一预设关系,若是执行步骤310,否则,执行步骤306。
步骤306,判断用户标识与内网IP地址是否满足第二预设关系,若是,执行步骤310,否则,执行步骤308。
步骤308,确定用户标识为异常登录用户标识,生成登录异常指令。
其中,登录异常指令用于指示终止用户标识登录并输出异常信息;异常信息可以是登录异常提示或登出等信息提示;异常信息可以但不仅限于以弹框的形式在用户标识所在的客户端显示。
步骤310,确定用户标识为正常登录用户标识。
上述登录行为检测步骤中,服务器在获取用户标识访问网络时所使用的内网IP地址和外网IP地址时,先判断用户标识与外网IP地址是否满足第一预设关系,确定用户标识的登录情况;当用户标识与外网IP地址不满足第一预设关系时,对用户标识和内网IP地址的关系进行判断;通过检测多个用户标识是否使用同一个外网IP地址或/和同一个内网IP地址,确定用户标识是正常用户登录标识还是异常登录用户标识,即通过检测外网IP地址和内网IP地址检测登录行为,避免出现误判异常登录或漏掉异常登录用户标识,提高了登录行为检测的准确性。
在另一个实施例中,如图4所示,提供了一种登录行为检测方法,以该方法应用于图1中的服务器为例进行说明,包括以下步骤:
步骤402,获取用户登录请求中用户标识所对应的内网IP地址和外网IP地址。
具体地,服务器接收到用户登录请求时,从安全数据库中农获取用于登录请求中用户标识所对应的内网IP地址和外网IP地址,并将获取的内网IP地址和外网IP地址上传至攻击检测系统进行检测分析。
在一个实施例中,用户标识所在客户端向服务器发出用户登录请求时,客户端的安全数据埋点自动采集客户端的内网IP地址,并将内网IP地址上传至服务器,服务器检测到用户标识对应的客户端处于登录状态时,从安全数据库中获取用户登录请求中用户标识所对应的内网IP地址和外网IP地址,将获取的内网IP地址和外网IP地址上传至攻击检测系统进行检测分析,可以对以登录的用户标识进行检测,提高网络资源的安全性。
步骤404,当用户标识与外网IP地址之间不满足第一预设关系时,统计内网IP地址的登录次数。
具体地,当用户标识与外网IP地址之间不满足一一对应关系时,通过程序代码计算内网IP地址在预设时间段内的登录次数预设时间段可以是自定义的时间段。
在一个实施例中,服务器在判断用户标识与外网IP地址之间是否满足第一预设关系之前,检测预设内网IP地址集合中是否存在获取的内网IP地址和预设外网IP地址集合中是否存在获取的外网IP地址,当检测预设内网IP地址集合中存在获取的内网IP地址且预设外网IP地址集合中存在获取的外网IP地址时,判断用户标识与外网IP地址之间是否满足第一预设关系。其中,预设内网IP地址是指预先设置在局域网中通过NAT转换后可以正常访问广域网的内网IP地址;预设外网IP地址是指可以正常访问广域网的外网IP地址。内网IP地址和外网IP地址的范围不同,通过检测预设内网IP地址集合中是否存在获取的内网IP地址和预设外网IP地址集合中是否存在获取的外网IP地址,分别来检测内网IP地址和外网IP地址的合法性,提高了登录行为检测的准确性。
步骤406,当内网IP地址的登录次数大于登录次数阈值时,则确定用户标识为异常登录用户标识。
其中,登录次数阈值是预先设置的内网IP地址在预设的时间段内登录次数。
步骤408,当内网IP地址的登录次数小于或等于登录次数阈值时,检测用户标识与内网IP地址之间是否满足第二预设关系。
步骤410,当用户标识与内网IP地址不满足第二预设关系时,则确定用户标识为异常登录用户标识。
步骤412,生成用户标识的异常登录指令,异常登录指令用于指示终止用户标识登录并输出异常信息。
其中,登录异常指令用于指示终止用户标识登录并输出异常信息;异常信息可以是登录异常提示或强制登出等信息提示;异常信息可以但不仅限于以弹框的形式在用户标识所在的客户端显示。
在一个实施例中,当用户标识与内网IP地址不满足第二预设关系时,确定内网IP地址为异常内网IP地址,并将异常内网IP地址添加到数据库中;当用户标识与外网IP地址之间不满足第一预设关系时,在检测用户标识与外网IP地址是否满足第二预设关系之前,方法还包括:检测数据库中是否存在与内网IP地址完全相同的异常内网IP地址;当数据库中不存在与内网IP地址完全相同的异常内网IP地址时,执行检测用户标识与外网IP地址是否满足第二预设关系步骤;当数据库中存在与内网IP地址完全相同的异常IP地址时,则确定用户标识为异常登录用户标识。
具体地,当用户标识与内网IP地址不满足第二预设关系时,确定内网IP地址为异常内网IP地址,并将异常内网IP地址添加到数据库的内网IP地址黑名单中,内网IP地址黑名单用于存放检测出的异常内网IP地址。当服务器获取用户标识访问网络时所使用的内网IP地址和外网IP地址时;当数据库中不存在与内网IP地址完全相同的异常内网IP地址时,执行检测用户标识与外网IP地址是否满足第二预设关系步骤,检测多个用户标识是否使用同一个外网IP地址或/和同一个内网IP地址,确定用户标识为正常登录标识还是为异常登录用户标识;当从数据库的内网IP地址黑名单中存在与内网IP地址完全相同的异常内网IP地址时,则确定用户标识为异常登录用户标识,减轻服务器的数据处理压力,提高了登录行为检测的准确性且加强网络的安全性。
在一个实施例中,当用户标识与内网IP地址不满足第二预设关系时,确定外网IP地址为异常外网IP地址,并将异常外网IP地址添加到数据库中;在获取用户标识访问网络时所使用的内网IP地址和外网IP地址之后,方法还包括:当数据库中不存在与外网IP地址完全相同的异常外网IP地址时,判断用户标识与外网IP地址是否满足第一预设关系;当数据库中存在与外网IP地址完全相同的异常外网IP地址时,则确定用户标识为异常登录用户标识。
具体地,当用户标识与外网IP地址不满足第一预设关系且用户标识与内网IP地址不满足第二预设关系,即多个用户使用同一个外网IP地址和同一个内网IP地址时,则确定外网IP地址为异常外网IP地址,并将异常外网IP地址添加到数据库中外网IP地址黑名单中,当服务器获取用户标识访问网络时所使用的内网IP地址和外网IP地址时,若从数据库外网IP地址黑名单中检测到存在与外网IP地址完全相同的异常外网IP地址时,则确定用户标识为异常登录用户标识,减轻服务器的数据处理压力,提高了登录行为检测的准确性且加强网络的安全。
上述登录行为检测方法中,在获取用户登录请求中用户标识所对应的内网IP地址和外网IP地址后,把内网IP地址和外网IP地址上传至攻击检测系统,通过攻击检测系统先对用户标识和外网IP的对应关系进行检测,当用户标识和外网IP不满足一一对应关系时,先统计内网IP的登录次数;当内网IP地址的登录次数大于登录次数阈值时,则确定用户标识为异常登录用户标识。当内网IP的登录次数小于或等于登录次数阈值时,检测到用户标识与内网IP地址之间不满足一一对应关系,确定用户标识为异常登录用户标识;并生成用户标识的异常登录指令,异常登录指令用于指示终止用户标识登录并输出异常信息进行提示。通过先检测用户标识和外网IP地址不满足第一预设关系后,判断内网IP的登录次数是否大于登录次数阈值,再检测用户标识与内网IP地址是否满足第一预设关系,确定用户标识是正常登录用户还是异常登录用户,提高登录行为检测的准确性。
应该理解的是,虽然图2-4的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2-4中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图5所示,提供了一种登录行为检测装置500,包括:获取模块502、检测模块504和确定模块506,其中:
获取模块502,用于获取用户标识访问网络时所使用的内网IP地址和外网IP地址。
检测模块504,用于当用户标识与外网IP地址之间不满足第一预设关系时,检测用户标识与内网IP地址是否满足第二预设关系;第一预设关系为用户标识与外网IP地址一一对应关系;第二预设关系为用户标识与内网IP地址一一对应关系。
确定模块506,用于当用户标识与内网IP地址不满足第二预设关系时,则确定用户标识为异常登录用户标识。
上述登录行为检测装置中,通过获取用户标识访问网络时所使用的内网IP地址和外网IP地址;当用户标识与外网IP地址之间不满足第一预设关系时,检测用户标识与外网IP地址是否满足第二预设关系;第一预设关系为用户标识与外网IP地址一一对应关系;第二预设关系为用户标识与内网IP地址一一对应关系;当用户标识与内网IP地址不满足第二预设关系时,则确定用户标识为异常登录用户标识。通过先判断用户标识与外网IP地址之间的对应关系,初步获取用户标识的登录情况;当用户标识与外网IP地址不满足预设关系时,进一步检测用户标识与内网IP地址之间的对应关系,根据检测顺序检测外网IP地址和内网IP地址和用户标识之间对应关系,准确检测出用户标识的登录情况,提高登录行为检测的准确性。
在一个实施例中,如图6所示,提供了一种登录行为检测装置500,除包括获取模块502、检测模块504和确定模块506之外,还包括:统计模块508、添加模块510和生成模块512,其中:
在一个实施例中,获取模块502还用于获取用户登录请求中用户标识所对应的内网IP地址和外网IP地址。
在一个实施例中,检测模块504还用于当内网IP地址的登录次数小于或等于登录次数阈值时,检测用户标识与内网IP地址之间是否满足第二预设关系。
在一个实施例中,检测模块504还用于检测数据库中是否存在与内网IP地址完全相同的异常内网IP地址;当数据库中不存在与内网IP地址完全相同的异常内网IP地址时,执行检测用户标识与外网IP地址是否满足第二预设关系步骤。
在一个实施例中,检测模块504还用于当数据库中不存在与外网IP地址完全相同的异常外网IP地址时,判断用户标识与外网IP地址是否满足第一预设关系。
在一个实施例中,确定模块506还用于当内网IP地址的登录次数大于登录次数阈值时,则确定用户标识为异常登录用户标识。
在一个实施例中,确定模块506还用于当数据库中存在与内网IP地址完全相同的异常IP地址时,则确定用户标识为异常登录用户标识。
在一个实施例中,确定模块506还用于当数据库中存在与外网IP地址完全相同的异常外网IP地址时,则确定用户标识为异常登录用户标识。
统计模块508,用于统计内网IP地址的登录次数。
添加模块510,用于当用户标识与内网IP地址不满足第二预设关系时,确定内网IP地址为异常内网IP地址,并将异常内网IP地址添加到数据库中。
在一个实施例中,添加模块510还用于当用户标识与内网IP地址不满足第二预设关系时,确定外网IP地址为异常外网IP地址,并将异常外网IP地址添加到数据库中。
生成模块512,用于生成用户标识的异常登录指令,异常登录指令用于指示终止用户标识登录并输出异常信息。
在一个实施例中,在获取用户登录请求中用户标识所对应的内网IP地址和外网IP地址后,通过攻击检测系统先对用户标识和外网IP的对应关系进行检测,当用户标识和外网IP不满足一一对应关系时,检测到用户标识与内网IP地址之间是否满足第二预设关系,当用户标识与内网IP地址不满足一一对应的关系时,确定用户标识为异常登录用户标识、内网IP地址为异常内网IP地址,把异常内网IP地址添加到内网IP地址黑名单中;并生成用户标识的异常登录指令,异常登录指令用于指示终止用户标识登录并输出异常信息进行提示。根据外网IP地址和内网IP地址可以准确检测出用户标识在登录时是否为正常登录用户标识,提高了登录行为检测的准确性;当用户标识为异常登录用户标识时,通过生成异常登录指令,终止用户标识登录,加强了网络的安全性。
关于登录行为检测装置的具体限定可以参见上文中对于登录行为检测方法的限定,在此不再赘述。上述登录行为检测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图7所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储用户标识、内网IP地址和外网IP地址数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种登录行为检测方法。
本领域技术人员可以理解,图7中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
获取用户标识访问网络时所使用的内网IP地址和外网IP地址;
当用户标识与外网IP地址之间不满足第一预设关系时,检测用户标识与内网IP地址是否满足第二预设关系;第一预设关系为用户标识与外网IP地址一一对应关系;第二预设关系为用户标识与内网IP地址一一对应关系;
当用户标识与内网IP地址不满足第二预设关系时,则确定用户标识为异常登录用户标识。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
获取用户登录请求中用户标识所对应的内网IP地址和外网IP地址。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
统计内网IP地址的登录次数;
当内网IP地址的登录次数小于或等于登录次数阈值时,检测用户标识与内网IP地址之间是否满足第二预设关系;
当内网IP地址的登录次数大于登录次数阈值时,则确定用户标识为异常登录用户标识。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
当用户标识与内网IP地址不满足第二预设关系时,确定内网IP地址为异常内网IP地址,并将异常内网IP地址添加到数据库中;
当用户标识与外网IP地址之间不满足第一预设关系时,在检测用户标识与外网IP地址是否满足第二预设关系之前,方法还包括:
检测数据库中是否存在与内网IP地址完全相同的异常内网IP地址;
当数据库中不存在与内网IP地址完全相同的异常内网IP地址时,执行检测用户标识与外网IP地址是否满足第二预设关系步骤;
当数据库中存在与内网IP地址完全相同的异常IP地址时,则确定用户标识为异常登录用户标识。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
当用户标识与内网IP地址不满足第二预设关系时,确定外网IP地址为异常外网IP地址,并将异常外网IP地址添加到数据库中;
在获取用户标识访问网络时所使用的内网IP地址和外网IP地址之后,方法还包括:
当数据库中不存在与外网IP地址完全相同的异常外网IP地址时,判断用户标识与外网IP地址是否满足第一预设关系;
当数据库中存在与外网IP地址完全相同的异常外网IP地址时,则确定用户标识为异常登录用户标识。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
生成用户标识的异常登录指令,异常登录指令用于指示终止用户标识登录并输出异常信息。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
获取用户标识访问网络时所使用的内网IP地址和外网IP地址;
当用户标识与外网IP地址之间不满足第一预设关系时,检测用户标识与内网IP地址是否满足第二预设关系;第一预设关系为用户标识与外网IP地址一一对应关系;第二预设关系为用户标识与内网IP地址一一对应关系;
当用户标识与内网IP地址不满足第二预设关系时,则确定用户标识为异常登录用户标识。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
获取用户登录请求中用户标识所对应的内网IP地址和外网IP地址。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
统计内网IP地址的登录次数;
当内网IP地址的登录次数小于或等于登录次数阈值时,检测用户标识与内网IP地址之间是否满足第二预设关系;
当内网IP地址的登录次数大于登录次数阈值时,则确定用户标识为异常登录用户标识。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
当用户标识与内网IP地址不满足第二预设关系时,确定内网IP地址为异常内网IP地址,并将异常内网IP地址添加到数据库中;
当用户标识与外网IP地址之间不满足第一预设关系时,在检测用户标识与外网IP地址是否满足第二预设关系之前,方法还包括:
检测数据库中是否存在与内网IP地址完全相同的异常内网IP地址;
当数据库中不存在与内网IP地址完全相同的异常内网IP地址时,执行检测用户标识与外网IP地址是否满足第二预设关系步骤;
当数据库中存在与内网IP地址完全相同的异常IP地址时,则确定用户标识为异常登录用户标识。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
当用户标识与内网IP地址不满足第二预设关系时,确定外网IP地址为异常外网IP地址,并将异常外网IP地址添加到数据库中;
在获取用户标识访问网络时所使用的内网IP地址和外网IP地址之后,方法还包括:
当数据库中不存在与外网IP地址完全相同的异常外网IP地址时,判断用户标识与外网IP地址是否满足第一预设关系;
当数据库中存在与外网IP地址完全相同的异常外网IP地址时,则确定用户标识为异常登录用户标识。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
生成用户标识的异常登录指令,异常登录指令用于指示终止用户标识登录并输出异常信息。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random AccessMemory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种登录行为检测方法,所述方法包括:
检测到用户标识对应的客户端处于登录状态时,从安全数据库中获取用户登录请求中所述用户标识所对应的内网IP地址和外网IP地址;所述外网IP地址是通过把对应的所述内网IP地址进行网络地址转换得到的;
当所述用户标识与所述外网IP地址之间不满足第一预设关系时,统计所述内网IP地址的登录次数;其中,所述第一预设关系为用户标识与外网IP地址一一对应关系,所述用户标识与所述外网IP地址之间不满足第一预设关系为多个用户标识使用同一个外网IP地址;
当所述内网IP地址的登录次数小于或等于登录次数阈值时,检测所述用户标识与所述内网IP地址之间是否满足第二预设关系;
当所述用户标识与所述内网IP地址不满足所述第二预设关系时,则确定所述用户标识为异常登录用户标识,所述内网IP地址为异常IP地址;其中,所述第二预设关系为用户标识与内网IP地址一一对应关系,所述检测所述用户标识与所述内网IP地址之间是否满足第二预设关系为 检测多个用户标识是否使用同一个内网IP地址;所述用户标识与所述内网IP地址不满足所述第二预设关系为多个用户标识使用同一个内网IP地址。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述内网IP地址的登录次数大于所述登录次数阈值时,则确定所述用户标识为异常登录用户标识。
3.根据权利要求1至2任意一项所述的方法,其特征在于,所述方法还包括:
当所述用户标识与所述内网IP地址不满足所述第二预设关系时,确定所述内网IP地址为异常内网IP地址,并将所述异常内网IP地址添加到数据库中;
当所述用户标识与所述外网IP地址之间不满足第一预设关系时,在所述检测所述用户标识与所述外网IP地址是否满足第二预设关系之前,所述方法还包括:
检测所述数据库中是否存在与所述内网IP地址完全相同的异常内网IP地址;
当所述数据库中不存在与所述内网IP地址完全相同的异常内网IP地址时,执行所述检测所述用户标识与所述外网IP地址是否满足第二预设关系步骤;
当所述数据库中存在与所述内网IP地址完全相同的异常IP地址时,则确定所述用户标识为异常登录用户标识。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述用户标识与所述内网IP地址不满足所述第二预设关系时,确定所述外网IP地址为异常外网IP地址,并将所述异常外网IP地址添加到数据库中;
在所述获取用户标识访问网络时所使用的内网IP地址和外网IP地址之后,所述方法还包括:
当所述数据库中不存在与所述外网IP地址完全相同的异常外网IP地址时,判断所述用户标识与所述外网IP地址是否满足第一预设关系;
当所述数据库中存在与所述外网IP地址完全相同的异常外网IP地址时,则确定所述用户标识为异常登录用户标识。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
生成所述用户标识的异常登录指令,所述异常登录指令用于指示终止所述用户标识登录并输出异常信息。
6.一种登录异常行为检测装置,其特征在于,所述装置包括:
获取模块,用于检测到用户标识对应的客户端处于登录状态时,从安全数据库中获取用户登录请求中所述用户标识所对应的内网IP地址和外网IP地址;所述外网IP地址是通过把对应的所述内网IP地址进行网络地址转换得到的;
检测模块,用于检测所述用户标识与所述外网IP地址之间不满足第一预设关系;其中,所述第一预设关系为用户标识与外网IP地址一一对应关系,所述用户标识与所述外网IP地址之间不满足第一预设关系为多个用户标识使用同一个外网IP地址;
统计模块,用于统计所述内网IP地址的登录次数;
确定模块,用于当所述内网IP地址的登录次数小于或等于登录次数阈值时,检测所述用户标识与所述内网IP地址之间是否满足第二预设关系;
当所述用户标识与所述内网IP地址不满足所述第二预设关系时,则确定所述用户标识为异常登录用户标识,其中,所述第二预设关系为用户标识与内网IP地址一一对应关系,所述检测所述用户标识与所述内网IP地址之间是否满足第二预设关系为 检测多个用户标识是否使用同一个内网IP地址;所述用户标识与所述内网IP地址不满足所述第二预设关系为多个用户标识使用同一个内网IP地址。
7.根据权利要求6所述的装置,其特征在于,所述确定模块还用于当所述内网IP地址的登录次数大于所述登录次数阈值时,则确定所述用户标识为异常登录用户标识。
8.根据权利要求6所述的装置,其特征在于,所述装置还包括:
生成模块,用于生成所述用户标识的异常登录指令,所述异常登录指令用于指示终止所述用户标识登录并输出异常信息。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至5中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至5中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010040057.XA CN111294336B (zh) | 2020-01-15 | 2020-01-15 | 登录行为检测方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010040057.XA CN111294336B (zh) | 2020-01-15 | 2020-01-15 | 登录行为检测方法、装置、计算机设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111294336A CN111294336A (zh) | 2020-06-16 |
| CN111294336B true CN111294336B (zh) | 2022-11-22 |
Family
ID=71028329
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010040057.XA Active CN111294336B (zh) | 2020-01-15 | 2020-01-15 | 登录行为检测方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111294336B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114257404B (zh) * | 2021-11-16 | 2024-04-30 | 广东电网有限责任公司 | 异常外联统计告警方法、装置、计算机设备和存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104954340A (zh) * | 2014-03-31 | 2015-09-30 | 腾讯科技(深圳)有限公司 | 一种代理ip地址的检测方法及装置 |
| CN109560947A (zh) * | 2017-09-25 | 2019-04-02 | 北京国双科技有限公司 | 一种转换连接的控制方法及装置 |
| CN110572358A (zh) * | 2019-07-30 | 2019-12-13 | 重庆小雨点小额贷款有限公司 | 数据泄露处理方法、装置、电子设备及存储介质 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7640578B2 (en) * | 2002-07-08 | 2009-12-29 | Accellion Inc. | System and method for providing secure communication between computer systems |
| CN107046550B (zh) * | 2017-06-14 | 2020-07-07 | 微梦创科网络科技(中国)有限公司 | 一种异常登录行为的检测方法及装置 |
| CN108377227A (zh) * | 2018-01-11 | 2018-08-07 | 北京潘达互娱科技有限公司 | 服务器账号管理系统、账号登录方法、更新方法及设备 |
| CN110401614B (zh) * | 2018-04-24 | 2021-08-13 | 中移(杭州)信息技术有限公司 | 恶意域名的溯源方法及装置 |
| CN108989150B (zh) * | 2018-07-19 | 2021-03-26 | 新华三信息安全技术有限公司 | 一种登录异常检测方法及装置 |
| CN110198305A (zh) * | 2019-05-05 | 2019-09-03 | 平安科技(深圳)有限公司 | 坐席ip的异常检测方法、系统、计算机设备及存储介质 |
-
2020
- 2020-01-15 CN CN202010040057.XA patent/CN111294336B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104954340A (zh) * | 2014-03-31 | 2015-09-30 | 腾讯科技(深圳)有限公司 | 一种代理ip地址的检测方法及装置 |
| CN109560947A (zh) * | 2017-09-25 | 2019-04-02 | 北京国双科技有限公司 | 一种转换连接的控制方法及装置 |
| CN110572358A (zh) * | 2019-07-30 | 2019-12-13 | 重庆小雨点小额贷款有限公司 | 数据泄露处理方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111294336A (zh) | 2020-06-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10218717B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| WO2019144549A1 (zh) | 漏洞测试方法、装置、计算机设备和存储介质 | |
| CN104767713B (zh) | 账号绑定的方法、服务器及系统 | |
| CN109547426B (zh) | 业务响应方法及服务器 | |
| CN108256322B (zh) | 安全测试方法、装置、计算机设备和存储介质 | |
| CN111355721A (zh) | 一种访问控制方法、装置、设备及系统和存储介质 | |
| US11770385B2 (en) | Systems and methods for malicious client detection through property analysis | |
| CN112099979B (zh) | 一种访问控制方法、装置、计算机设备和存储介质 | |
| CN105430011A (zh) | 一种检测分布式拒绝服务攻击的方法和装置 | |
| CN113472803A (zh) | 漏洞攻击状态检测方法、装置、计算机设备和存储介质 | |
| CN111314379B (zh) | 被攻击域名识别方法、装置、计算机设备和存储介质 | |
| CN111294336B (zh) | 登录行为检测方法、装置、计算机设备和存储介质 | |
| CN112738018A (zh) | Arp欺骗攻击检测方法、装置、计算机设备和存储介质 | |
| CN109547427B (zh) | 黑名单用户识别方法、装置、计算机设备及存储介质 | |
| CN109688096B (zh) | Ip地址的识别方法、装置、设备及计算机可读存储介质 | |
| CN111866995B (zh) | 一种基于微信小程序的智能设备配网方法及系统 | |
| CN104426836A (zh) | 一种入侵检测方法及装置 | |
| CN112543186B (zh) | 一种网络行为检测方法、装置、存储介质及电子设备 | |
| CN107508838A (zh) | 一种访问控制方法、装置和系统 | |
| CN114153696A (zh) | 云原生应用健康检测方法、装置、计算机设备及存储介质 | |
| CN109561093B (zh) | 越权行为检测方法、装置、计算机设备和存储介质 | |
| CN113873450A (zh) | 短信配置方法、装置、计算机设备和存储介质 | |
| CN114143042A (zh) | 漏洞模拟方法、装置、计算机设备和存储介质 | |
| CN112653668A (zh) | 数据交互方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |