CN111506895A - 一种应用登录图的构建方法及装置 - Google Patents
一种应用登录图的构建方法及装置 Download PDFInfo
- Publication number
- CN111506895A CN111506895A CN202010307455.3A CN202010307455A CN111506895A CN 111506895 A CN111506895 A CN 111506895A CN 202010307455 A CN202010307455 A CN 202010307455A CN 111506895 A CN111506895 A CN 111506895A
- Authority
- CN
- China
- Prior art keywords
- node
- application
- user
- terminal
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本说明书公开了一种应用登录图的构建方法及装置,所述应用登录图至少包括用户节点和应用节点,每个用户节点对应一个用户账号,每个应用节点对应一个应用,任一用户账号可用于登录一个或多个应用,所述方法包括:检测到用户使用用户账号后,在图上确定该用户账号对应的用户节点;检测到用户利用该用户账号登录任一应用后,在图上确定该应用对应的应用节点、以及确定该用户账号对应的用户节点与该应用节点之间的边。利用本说明书通过模型构建得到的应用登录图,可以直观方便地从多个角度检测用户账号或应用是否存在异常行为,以保护用户的个人信息和隐私数据。
Description
技术领域
本说明书实施例涉及数据安全及隐私保护领域,尤其涉及一种应用登录图的构建方法及装置。
背景技术
目前,市面上存在许多需要注册和登录的应用,用户如果对每一个应用都进行注册登录十分麻烦,因此用户可以利用同一账号登录其他应用而无需重复注册。例如,使用支付宝账号可以登录其他网购、生活服务等应用。其中一些应用在用户登录后,出于业务需求,需要获取用户个人信息授权,从而获取到用户的个人信息。
但是,不同应用的安全防护能力不同。对于安全防护能力低的应用,容易出现被黑客攻击、利用等情况,从而被黑客获取到账号等用户个人信息和隐私数据,进而造成黑客利用账号登录其他应用、用户的个人信息和隐私数据泄露、利用用户账号进行非法操作等不良后果。
发明内容
为了能够方便地检测到存在异常行为的用户账号或者应用,本说明书提供一种应用登录图的构建方法及装置。技术方案如下:
一种应用登录图的构建方法,所述应用登录图至少包括用户节点和应用节点,每个用户节点对应一个用户账号,每个应用节点对应一个应用,任一用户账号可用于登录一个或多个应用,所述方法包括:
检测到用户使用用户账号后,在图上确定该用户账号对应的用户节点;
检测到用户利用该用户账号登录任一应用后,在图上确定该应用对应的应用节点、以及确定该用户账号对应的用户节点与该应用节点之间的边;
其中,确定节点包括:在图中不存在对应节点的情况下创建新的节点、或者在图中已存在对应节点的情况下复用图中已存在的节点;
确定边包括:在图中不存在对应边的情况下创建新的边、或者在图中已存在对应边的情况下复用图中已存在的边。
一种应用登录图的构建装置,所述应用登录图至少包括用户节点和应用节点,每个用户节点对应一个用户账号,每个应用节点对应一个应用,任一用户账号可用于登录一个或多个应用,所述装置包括:
用户节点确定单元,用于检测到用户使用用户账号后,在图上确定该用户账号对应的用户节点;
应用节点及其相关边确定单元,用于检测到用户利用该用户账号登录任一应用后,在图上确定该应用对应的应用节点、以及确定该用户账号对应的用户节点与该应用节点之间的边;
其中,确定节点包括:在图中不存在对应节点的情况下创建新的节点、或者在图中已存在对应节点的情况下复用图中已存在的节点;
确定边包括:在图中不存在对应边的情况下创建新的边、或者在图中已存在对应边的情况下复用图中已存在的边。
基于上述构建方法构建的应用登录图,本说明书还提供了一种异常用户账号检测方法,所述方法包括:
针对所述应用登录图中的任一用户节点,根据与该用户节点相连的节点数量判断该用户节点对应的用户账号是否异常。
基于上述构建装置构建的应用登录图,本说明书还提供了一种异常用户账号检测装置,所述装置包括:
用户连接数量确定单元,用于针对所述应用登录图中的任一用户节点,确定与该用户节点相连的节点数量;
第一异常用户账号检测单元,用于根据所述节点数量确定单元确定的与该用户节点相连的节点数量判断该用户节点对应的用户账号是否异常。
通过上述技术方案,可以动态地构建应用登录图,记录用户通过账号登录多个应用的过程,刻画出用户账号与应用之间的登录关系,从而直观方便地从多个角度检测用户账号或应用是否存在异常行为。
附图说明
为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书实施例中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1是本说明书实施例提供的一种应用登录图;
图2是本说明书实施例提供的一种更优选的应用登录图;
图3是本说明书实施例提供的另一种应用登录图;
图4是本说明书实施例提供的一种应用登录图的构建方法的流程示意图;
图5是本说明书实施例提供的另一种应用登录图的构建方法的流程示意图;
图6是本说明书实施例提供的另一种应用登录图的构建方法的流程示意图;
图7是本说明书实施例提供的另一种应用登录图的构建方法的流程示意图;
图8是本说明书实施例提供的一种应用登录图的构建装置的结构示意图;
图9是本说明书实施例提供的另一种应用登录图的构建装置的结构示意图;
图10是本说明书实施例提供的另一种应用登录图的构建装置的结构示意图;
图11是本说明书实施例提供的另一种应用登录图的构建装置的结构示意图;
图12是本说明书实施例提供的一种异常用户账号检测装置的结构示意图;
图13是本说明书实施例提供的一种异常终端检测装置的结构示意图;
图14是本说明书实施例提供的另一种异常用户账号检测装置的结构示意图;
图15是本说明书实施例提供的另一种异常应用检测装置的结构示意图;
图16是本说明书实施例提供的另一种异常终端检测装置的结构示意图;
图17是用于配置本说明书实施例方法的一种设备的结构示意图。
具体实施方式
目前,市面上存在许多需要注册和登录的应用,用户如果对每一个应用都进行注册登录,则需要记忆全部应用的账号,并且在登录某一应用时需要确定对应于该应用的账号。这种方式对于用户而言难以准确记忆,造成应用使用的不便;同时在操作上也需要手动输入账号,操作不便。
用户也可以使用同一个账号登录多个应用而无需重复注册,更为具体地说,用户可以使用一个特定应用的账号,登录该特定应用指定的多个其他应用。其中,可以是特定应用提前指定其他应用,或者用户使用该特定应用指定并登录其他应用。
例如,支付宝用户可以使用支付宝账号,通过支付宝应用登录商户应用,或者直接使用支付宝账号登录其他网购、生活服务等应用。
在用户登录其他应用后,一些应用出于业务需求,例如实名制检验,需要获取用户个人信息授权,从而获取到用户的个人信息,例如身份证号、真实姓名等等。
但是,不同应用的安全防护能力不同。对于安全防护能力低的应用,容易出现被不法分子攻击、利用等情况,从而导致账号对应的用户个人信息和隐私数据泄漏,进而造成不法分子利用用户账号盗取资金、利用用户账号登录其他应用进行非法操作、买卖用户个人信息和隐私数据等不良后果。
例如,支付宝用户登录某一商户应用并对该商户应用进行用户个人信息授权后,需要将用户的个人信息发送至该商户应用。其中的个人信息可能包括身份证号等重要的个人可标识信息(Personal Identifiable Information,PII)。由于商户应用的安全能力不一,对于安全防护能力低的商户应用,容易出现被黑客攻击、利用情况,进而导致支付宝用户的个人信息和隐私数据泄露,至少可能会引起以下不良后果:1、黑客直接利用用户账号进行个人身份数据验证,盗取用户资金信息,造成财产损失。2、黑客买卖泄露的用户个人身份信息和隐私数据,被各种营销渠道利用,导致用户被骚扰。3、已泄露用户个人信息被不法分子用于注册各种平台(例如贷款平台)获取不当利益,导致用户利益受损。
如果不法分子在获取到用户账号后进行非法操作,造成用户账号或应用出现的异常行为是可以通过一些指标检测到的。异常行为至少包括:用户账号多次尝试登录应用失败、用户账号突发异地登录、用户账号多终端登录、应用的异地用户登录激增、应用登录失败用户激增等等。
为了方便描述,将存在异常行为的用户账号称为异常用户账号、存在异常行为的应用称为异常应用。
为了直观方便地检测到异常用户账号和异常应用,本说明书实施例提出,以“图”的方式构建用户账号、应用、终端和网络的关系模型,本说明书将这种图结构称为应用登录图,下面对应用登录图的基本组成进行介绍:
应用登录图的元素包括“节点”和“边”两类,以下分别进行说明:
1、节点
节点在应用登录图中可以表示一个对象,例如用户账号、网络。节点可以包括用户节点、应用节点、终端节点和网络节点共4类节点,节点可以不带属性,也可以带属性。节点属性可以用于描述节点对应的对象的独立属性。
1.1、用户节点
每个用户节点可以对应一个用户账号,任一用户账号可用于登录一个或多个应用。
用户节点可以具有至少一个属性,用户节点的属性可以用于描述用户节点对应的用户账户相关信息,例如,用户账户的注册地理位置、用户账户的登录时间间隔和用户账户经常登录的终端的标识。用户节点可以具有用户注册地属性、登录间隔属性和常用终端标识属性三个属性中至少一个属性。其中用户注册地属性可以根据用户账户的注册地理位置取值,登录间隔属性可以根据用户账户的登录时间间隔取值,常用终端标识属性可以根据用户账户经常登录的终端的标识取值。其中,终端的标识取值可以是终端的MAC地址或者终端的标识码。
1.2、应用节点
每个应用节点可以对应一个应用。
应用节点可以具有至少一个属性,应用节点的属性可以用于描述应用节点对应的应用相关信息,例如用户注册应用的注册时间和用户注册应用的注册地理位置。应用节点可以具有应用注册时间属性和应用注册地属性中至少一个属性。其中应用注册时间属性可以根据用户注册应用的注册时间取值,应用注册地属性可以根据用户注册应用的注册地理位置取值。
1.3、终端节点
每个终端节点可以对应一个终端。
终端节点可以具有至少一个属性,终端节点的属性可以用于描述终端节点对应的终端相关信息,例如终端的唯一标识和终端经常连接的至少一个网络所在地理位置。终端节点可以具有终端标识属性和常用活动地属性中至少一个属性。其中终端标识属性可以根据终端的唯一标识取值,常用活动地属性可以根据终端经常连接的至少一个网络所在地理位置取值。其中,终端的唯一标识可以是终端的MAC地址或者终端标识码。
1.4、网络节点
每个网络节点可以对应一个网络。
网络节点可以具有至少一个属性,网络节点的属性可以用于描述网络节点对应的网络相关信息,例如网络所在地理位置。网络节点可以具有网络所在地属性。网络所在地属性可以根据网络所在地理位置取值。
2、边
边在应用登录图中可以连接任意两个不同种类的节点,例如应用节点和用户节点。边可以带属性,也可以不带属性。边属性用于描述两个节点对应的对象的关联属性。应用登录图中的边可以是有向边,也可以是无向边,此处不做限定
2.1、用户节点与应用节点之间的边
用户节点与应用节点之间的边可以表示该用户节点对应的用户账号尝试登录该应用节点对应的应用,并不限定登录成功或失败。
用户节点与应用节点之间的边可以具有至少一个属性,表示该用户节点对应的用户账号尝试登录该应用节点对应的应用,并不限定登录成功或失败。用户节点与应用节点之间的边的属性可以用于描述用户账号尝试登陆应用这一事件的相关信息。例如,用户账号尝试登陆同一应用的登录时间,和用户账户登录同一应用的状态。其中用户账户登录同一应用的状态表示用户账户登录应用成功或失败,具体取值可以是“成功”或“失败”,但本说明书对状态的具体取值并不做具体限定。同时,由于用户账户可能存在多次尝试登录同一应用的情况,因此,用户账户登录同一应用的状态可以是一个具有顺序的状态集合,包括每次用户账户登录同一应用的状态。例如,用户账户登录同一应用的状态可以是{失败,失败,失败,成功},或者{失败,失败,失败}。
用户节点与应用节点之间的边可以具有登录时间属性和登录状态属性中至少一个属性。其中,登录时间属性可以根据用户账号尝试登录同一应用的登录时间取值,登录状态属性可以根据用户账号登录同一应用的状态取值。
2.2、用户节点与终端节点之间的边
用户节点与终端节点之间的边可以表示该用户节点对应的用户账号在该终端节点对应的终端上被使用,可以是用于登录用户账号,并不限定登录成功或失败。
用户节点与终端节点之间的边可以具有至少一个属性,表示该用户节点对应的用户账号在该终端节点对应的终端上被使用,可以是用于登录用户账号,并不限定登录成功或失败。用户节点与终端节点之间的边的属性可以用于描述用户账号在终端上被使用这一事件的相关信息。例如,用户在同一终端上登录用户账号的时间,和用户在同一终端上登录用户账号的状态。其中用户在终端上登录用户账号的状态可以表示用户登录用户账号成功或失败,具体取值可以是“成功”或“失败”,但本说明书对状态的具体取值并不做具体限定。同时,由于用户可能存在多次尝试登录用户账号的情况,因此,用户在终端上登录用户账号的状态可以是一个具有顺序的状态集合,包括每次用户登录用户账号的状态。例如,用户登录用户账号的状态可以是{失败,失败,失败,成功},或者{失败,失败,失败}。
用户节点与终端节点之间的边可以具有用户登录时间属性和用户登录状态属性中至少一个属性。其中,用户登录时间属性可以根据用户在同一终端上登录用户账号的时间,用户登录状态属性可以根据用户在同一终端上登录用户账号的状态取值。
2.3、用户节点与网络节点之间的边
用户节点与网络节点之间的边可以表示该用户节点对应的用户账号在该网络节点对应的网络中被使用,可以是用于登录应用,并不限定登录成功或失败。
用户节点与网络节点之间的边可以具有至少一个属性,表示该用户节点对应的用户账号在该网络节点对应的网络中被使用,可以是用于登录应用,并不限定登录成功或失败。用户节点与网络节点之间的边的属性可以用于描述用户账号在网络下被使用这一事件的相关信息。例如,用户在同一网络中登录用户账号的时间间隔。用户节点与网络节点之间的边可以具有网络登录间隔属性。网络登录间隔属性可以根据用户在网络中登录用户账号的时间间隔取值。
2.4、终端节点与网络节点之间的边
终端节点与网络节点之间的边可以表示该终端节点对应的终端连接到该网络节点对应的网络。
终端节点与网络节点之间的边可以具有至少一个属性,表示该终端节点对应的终端连接到该网络节点对应的网络。终端节点与网络节点之间的边的属性可以用于描述终端连接网络这一事件的相关信息。例如,终端连接同一网络的时间。终端节点与网络节点之间的边可以具有终端联网时间属性,终端联网时间属性可以根据终端连接同一网络的时间取值。
2.5、终端节点与应用节点之间的边
终端节点与应用节点之间的边可以表示该应用节点对应的应用在该终端节点对应的终端上登录。
终端节点与应用节点之间的边可以具有至少一个属性,表示用户在该终端节点对应的终端上登录该应用节点对应的应用。终端节点与应用节点之间的边的属性可以用于描述在终端上登录应用这一事件的相关信息。例如,在终端上登录同一应用的时间。终端节点与应用节点之间的边可以具有终端登录应用时间属性,终端登录应用时间属性可以根据在终端上登录同一应用的时间取值。
以上介绍了应用登录图中几种具体的节点类型及边的类型,其中,用户节点、应用节点、用户节点与应用节点之间的边,这三种元素是组成应用登录图的必要部分,其他节点和边都是组成应用登录图的可选部分。节点和边的属性也是可选部分,属性取值的数据来源可以是登录日志、应用数据库、终端数据日志等等。
最基本的应用登录图可以记录用户账号与应用的登录关系,至少包括用户节点、应用节点和用户节点与应用节点之间的边。如图1所示,为本说明书实施例提供的一种应用登录图。
在以上提供的最基本的应用登录图的基础上,还可以添加更多的图元素,以实现图功能的进一步扩展。值得强调的是,根据图的定义,边是用于连接两个节点的元素,因此不会存在没有端点的边。另外在应用登录图中,并不存在独立的节点,也就是说,如果添加了节点,那么需要添加对应的边以将该节点与其他节点相连。
以下例举一些添加多种图元素的情况:
a)应用登录图可以包括终端节点、以及用户节点与终端节点之间的边。
b)应用登录图可以包括网络节点、以及用户节点与网络节点之间的边。
可以理解的是,应用登录图中也可以同时包括上述a和b中所提及的图元素。
如图2所示,为本说明书实施例提供的一种更优选的应用登录图。其中,应用登录图包括用户节点、应用节点、终端节点、网络节点、用户节点与应用节点之间的边、用户节点与终端节点之间的边、用户节点与网络节点之间的边。
对于构建出的应用登录图,可以根据数量检测异常应用和异常用户账户,也可以根据节点或边的属性取值检测异常应用和异常用户账户。
为了更加详细地利用应用登录图刻画用户与应用的登录关系,可以使应用登录图中的至少一类节点或边具有属性,属性存在取值,从而可以通过应用登录图更准确更快地检测到更多的异常行为。
需要强调的是,本说明书中提供的应用登录图中,对具有属性的节点数目和具有属性的边的数目都不做具体限定。
如图3所示,为本说明书实施例提供的另一种应用登录图。其中,应用登录图包括用户节点、应用节点、终端节点、网络节点、用户节点与应用节点之间的边、用户节点与终端节点之间的边、用户节点与网络节点之间的边,用户节点具有用户注册地属性,用户节点与应用节点之间的边具有请求状态属性。
本说明书实施例中的应用登录图可以直观全面地反映应用登录中用户账号、应用、终端和网络的关系,从而可以直接通过应用登录图从多个角度检测异常行为,例如应用和用户账户的角度,从而检测到存在异常行为的异常应用和异常用户账户,实现简单,操作方便。
为了使本领域技术人员更好地理解本说明书实施例中的技术方案,下面将结合本说明书实施例中的附图,对本说明书实施例中的技术方案进行详细地描述,显然,所描述的实施例仅仅是本说明书的一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员所获得的所有其他实施例,都应当属于保护的范围。
下面结合说明书附图对本说明书实施例作进一步详细描述。
如图4所示,为本说明书实施例提供的一种应用登录图的构建方法的流程示意图,应用登录图中至少包括用户节点和应用节点,每个用户节点对应一个用户账号,每个应用节点对应一个应用,任一用户账号可用于登录一个或多个应用。
根据前面实施例所提供的图的基本组成可知,图中包括节点和边两种元素,相应地,构建图的方法中,主要也是涉及对这两种元素的确定:
其中,“确定节点”的操作又可以进一步包括两种情况:一种是在应用登录图中不存在对应节点的情况下,创建新的节点、另一种在应用登录图中已存在对应节点的情况下,复用应用登录图中已存在的节点;
相应地,“确定边”的操作也可以进一步包括两种情况:在应用登录图中不存在对应边的情况下创建新的边、或者在应用登录图中已存在对应边的情况下复用应用登录图中已存在的边。
如果节点或边携带属性,那么在确定的过程中,还可以进一步为节点或边添加或更新属性。
构建方法可以包括以下步骤:
S101:检测到用户使用用户账号后,在应用登录图上确定该用户账号对应的用户节点。
S102:检测到用户利用该用户账号登录任一应用后,在应用登录图上确定该应用对应的应用节点、以及确定该用户账号对应的用户节点与该应用节点之间的边。
在本说明书实施例中,S101和S102并无固定的先后顺序,也可以先执行S102,也可以同时执行,对S101和S102的执行顺序并不进行限定。
如图5所示,为本说明书实施例提供的另一种应用登录图的构建方法的流程示意图,应用登录图中除了包括用户节点和应用节点,至少还包括终端节点。每个终端节点对应于一个终端。
构建方法还可以包括:
S103:检测到用户在终端上使用用户账号后,在应用登录图上确定该终端对应的终端节点、以及确定该用户账号对应的用户节点与该终端节点之间的边。
本说明书实施例中,S101、S102、S103的执行顺序并不限定。
如图6所示,为本说明书实施例提供的另一种应用登录图的构建方法的流程示意图,应用登录图中除了包括用户节点和应用节点,至少还包括网络节点。每个网络节点对应于一个网络。
构建方法还可以包括;
S104:检测到用户在网络下使用用户账号后,在应用登录图上确定该网络对应的网络节点、以及确定该用户账号对应的用户节点与该网络节点之间的边。
本说明书实施例中,S101、S102和S104的执行顺序并不限定。
如图7所示,为本说明书实施例提供的另一种应用登录图的构建方法的流程示意图,应用登录图中除了包括用户节点和应用节点,还包括终端节点和网络节点。
本说明书实施例中,S101、S102、S103和S104的执行顺序并不限定。
上述方法实施例构建的应用登录图与表格存储的方式相比,能够更加直观地表示对象之间的关系。一方面可以更加节省存储空间,无需区分用户账户表、应用表等等,同时也方便进行动态更新;另一方面可以从不同的角度进行操作,例如,用户角度和应用角度,无需更换表格重新加载数据。
基于本说明书实施例构建的应用登录图,本说明书实施例还提供了若干异常行为检测方法,按照检测原理可以分为至少两类:
1、可以根据任一节点相连的节点数量判断该节点对应的对象是否存在异常行为。
如果一类节点中,存在与数量多于预设阈值的另一类节点相连的特定节点,则认为该特定节点对应的对象存在异常行为。本说明书实施例中提到的预设阈值并不限定具体的值,不同异常行为检测方法中的预设阈值也可以不同。
根据检测对象的不同,可以具体分为:
1.1、对异常用户账号的检测。
基于本说明书实施例提供的任一应用登录图,都可以根据用户节点相连的任一类型节点数量判断该用户节点对应的用户账号是否存在异常行为。
1.2、对异常终端的检测。
基于本说明书实施例提供的额外至少包括了终端节点的任一应用登录图,都可以根据终端节点相连的任一类型节点数量判断该终端节点对应的终端是否存在异常行为。
2、可以根据任一节点或边的属性取值判断相关的指定节点对应的对象是否存在异常行为。
具体而言,可以包括以下三种情况:
1)对于具有属性的一类节点而言,如果存在某一指定属性取值不符合预期要求的特定节点,则认为该特定节点对应的对象存在异常行为;
2)对于都具有属性且相连的两类节点而言,如果存在一类节点的某一指定属性取值与另一类节点的另一指定属性取值不同的特定节点,则认为该特定节点对应的对象存在异常行为;
3)对于具有属性的一类边而言,如果存在属性取值不符合预期要求的特定边,则认为该特定边连接的两个节点中某一指定节点对应的对象存在异常行为。
本说明书实施例中提到的预期要求并不限定具体的要求,例如,属性取值高于或低于预设阈值、属性取值中存在预设范围以外的值、属性取值发生变化、属性取值与另一属性取值不同等等。不同异常行为检测方法中的预期要求、预设范围或预设阈值都可以不同。
根据检测对象的不同,可以具体分为:
2.1、对异常用户账号的检测
基于本说明书实施例提供的至少一类节点或边具有属性的任一应用登录图,都可以根据上述的任一情况判断该用户节点对应的用户账号是否存在异常行为。
2.2、对异常应用的检测
基于本说明书实施例提供的至少一类节点或边具有属性的任一应用登录图,都可以根据上述的任一情况判断该应用节点对应的应用是否存在异常行为。
2.3、对异常终端的检测
基于本说明书实施例提供的至少一类节点或边具有属性的,且额外至少包括了终端节点的任一应用登录图,都可以根据上述的任一情况判断该终端节点对应的终端是否存在异常行为。
值得注意的是,上述异常行为检测方法可以综合多种原理的具体情况进行考虑,并不限定只根据一种原理的具体情况进行检测。
例如,可以根据“与用户节点相连的应用节点数量”和“用户节点的登录间隔属性取值”对异常用户账户进行检测。
此处通过排列组合上述具体情况的各种可能不再一一列举,但由此可能想到的各种情况都应在本说明书实施例的保护范围内。
下面,分别对各种异常行为检测方法进行具体的实例说明。
1.1、基于本说明书实施例提供的任一应用登录图,本说明书实施例还提供了基于节点数量的异常用户账号检测方法。例如:
如果检测到同一用户账号登录的应用过多,可能是由于不法分子利用泄露的用户账号登录多个应用进行非法操作,因此认为该用户账号存在异常行为。反映在应用登录图上,如果检测到任一用户节点连接的应用节点数量超出预设阈值,则判断该用户节点对应的用户账号为异常用户账号。
如果检测到登录同一用户账号所使用的终端过多,可能是由于不法分子利用泄露的用户账号在多个终端上进行非法操作,因此认为该用户账号存在异常行为。反映在应用登录图上,如果检测到任一用户节点连接的终端节点数量超出预设阈值,则判断该用户节点对应的用户账号为异常用户账号。
如果检测到在较多网络中登录过同一用户账号,可能是由于不法分子利用泄露的用户账号在多个网络中进行非法操作,因此认为该用户账号存在异常行为。反映在应用登录图上,如果检测到任一用户节点连接的网络节点数量超出预设阈值,则判断该用户节点对应的用户账号为异常用户账号。
综合上述情况,在应用登录图中,针对应用登录图中的任一用户节点,可以根据与该用户节点相连的节点数量判断该用户节点对应的用户账号是否异常。
1.2、基于本说明书实施例提供的额外至少包括终端节点的任一应用登录图,本说明书实施例可以提供更具体的异常行为检测方法,即基于节点数量的异常终端检测方法。例如:
如果检测到同一终端上登录的用户账号过多,可能是由于不法分子利用该终端登录多个泄露的用户账号进行非法操作,因此认为该终端存在异常行为。反映在应用登录图上,如果检测到任一终端节点连接的用户节点数量超出预设阈值,则判断该终端节点对应的终端为异常终端。
此外,如果应用登录图中还包括终端节点与应用节点之间的边,并且检测到同一终端上利用用户账号登录的应用过多,可能是由于不法分子利用该终端和同一用户账号登录多个应用进行非法操作,因此认为该终端存在异常行为。反映在应用登录图上,如果检测到任一终端节点连接的应用节点数量超过预设阈值,则判断该终端节点对应的终端为异常终端。
如果应用登录图中还包括终端节点与网络节点之间的边,并且检测到同一终端在多个不同网络下登陆用户账号,可能是由于不法分子利用该终端在多个网络中进行非法操作,因此认为该终端存在异常行为。反映在应用登录图上,如果检测到任一终端节点连接的网络节点数量超过预设阈值,则判断该终端节点对应的终端为异常终端。
因此,在应用登录图中,针对应用登录图中的任一终端节点,可以根据与该终端节点相连的节点数量判断该终端节点对应的终端是否异常。
利用上述的异常行为检测方法,通过利用节点数量与预设阈值的对比,可以通过应用登录图这一图结构方便快捷地,从多种角度全面确定不同的异常行为。例如终端的异常行为、用户账号的异常行为。从而确定异常终端和异常用户账号。
2.1、而基于本说明书实施例提供的至少一类节点或边具有属性的任一应用登录图,本说明书实施例还提供了基于属性取值的异常用户账号检测方法。例如:
如果检测到用户账号的注册地理位置并不在预设的范围内,例如用户账号必须在中国境内注册,而某一用户账号的注册地理位置在中国以外,则认为该用户账号存在异常行为。反映在应用登录图上,如果检测到任一用户节点的用户注册地属性取值不在预设范围内,则判断该用户节点对应的用户账号为异常用户账号。
如果检测到用户账号的登录时间间隔太过短小,同一用户账号频繁被登录,可能是由于不法分子利用用户账号进行非法操作,因此认为该用户账号存在异常行为。反映在应用登录图上,如果检测到任一用户节点的登录间隔属性取值小于预设阈值,则判断该用户节点对应的用户账号为异常用户账号。
如果检测到用户账号的常用终端发生了变更,可能是由于不法分子对用户账号的信息进行非法修改,因此认为该用户账号存在异常行为。反映在应用登录图上,如果检测到任一用户节点的常用终端标识属性取值发生变化,则判断该用户节点对应的用户账号为异常用户账号。
以上是根据用户节点的单个属性取值进行判断,可以为了检测更多种异常行为,利用与用户节点相连的节点或边的单个属性取值进行判断。
例如,如果检测到应用的注册地理位置不在预设范围内,例如应用必须在中国境内注册,而某一应用的注册地理位置在中国境外,则认为该应用是境外应用,认为登录境外应用的用户账号存在异常行为。反映在应用登录图上,如果检测到任一用户节点连接的任一应用节点的应用注册地属性取值不在预设范围内,则判断该用户节点对应的用户账号为异常用户账号。
其他的异常行为,例如终端节点的终端标识属性取值发生变化、终端节点的常用活动地属性发生变化、网络节点的网络所在地属性发生变化、用户节点与应用节点之间的边的登录状态属性中“失败”状态的数目大于预设阈值、用户节点与终端节点之间的边的用户登录时间属性不在预设范围内等等,此处不再赘述。
还可以为了提高异常行为检测的准确率,利用用户节点和与用户节点相连的节点或边中,综合至少两类节点或边的属性取值判断。
例如,如果检测到用户账号在异地网络中登录,用户账号的注册地理位置与网络所在地理位置不同,则认为用户账号存在异常行为。反映在应用登录图上,如果检测到任一用户节点的用户注册地属性取值不同于与该用户节点相连的网络节点的网络所在地属性取值,则认为该用户节点对应的用户账号为异常用户账号。
其他的异常行为,例如对于登录间隔属性取值大于预设阈值的用户节点,与该用户节点相连的网络节点的网络所在地属性取值不同于与该用户节点的用户注册地属性取值(静默用户账号突然在异地网络登录)、用户节点的常用终端标识属性不同于与该用户节点相连的终端节点的终端标识属性(用户账户在不同于常用终端的终端上登录)、将上述单个属性取值的判断综合起来才判断为异常用户账号等等,此处不再赘述。
综合上述情况,针对应用登录图中的任一用户节点,在该用户节点和与该用户节点相连的节点中确定具有属性取值的至少一类节点,可以根据确定的节点属性取值判断该用户节点对应的用户账号是否异常;或者针对应用登录图中的任一用户节点,在与该用户节点相连的边中确定具有属性取值的至少一类边,可以根据确定的边的属性取值判断该用户节点对应的用户账号是否异常。
此外,还可以将属性取值和节点数量相结合对用户节点进行判断。
例如,如果检测到用户账号在异地网络中登录,且登录的应用超过预设阈值,则认为该用户账号存在异常行为。其他相似的异常行为此处不再赘述。
可以理解的是,根据应用登录图中的属性取值、或者节点数量、或者综合属性取值和节点数量,对异常用户账号进行检测的方法,都应包含在本说明书实施例的保护范围中。
2.2、基于本说明书实施例提供的至少一类节点或边具有属性的任一应用登录图,本说明书实施例还提供了基于属性取值的异常应用检测方法。例如:
如果检测到应用的注册地理位置不在预设范围内,例如应用必须在中国境内注册,而某一应用的注册地理位置在中国境外,则认为该应用存在异常行为。反映在应用登录图上,如果检测到任一应用节点的应用注册地属性取值在预设范围之外,则认为该应用节点对应的应用为异常应用。
如果检测到登录同一应用的异常用户账号多于预设阈值,该应用可能属于存在非法操作(例如非法借贷)的应用,因此认为该应用存在异常行为。反映在应用登录图上,如果检测到任一应用节点相连的全部用户节点中,对应于异常用户账号的用户节点数量多于预设阈值(判断异常用户账号需要用户节点的属性取值),则认为该应用节点对应的应用为异常应用。
如果检测到同一应用登录失败的用户账号多于预设阈值,该应用可能存在服务器故障,则认为该应用存在异常行为。反映在应用登录图上,如果检测到在任一应用节点与用户节点相连的全部边中,登录状态属性为失败的边的数目大于预设阈值,则认为该应用节点对应的应用为异常应用。
如果检测到同一应用在短时间内在异地网络中登录的用户账号激增,则该应用可能被不法分子盗取的多个用户账号攻击,认为该应用存在异常行为。反映在应用登录图上,如果检测到任一应用节点与用户节点相连的全部边中,存在登录时间属性取值在预设范围内的多条特定边,且该多条特定边对应的用户节点连接的网络节点的网络所在地属性取值不同于该用户节点的用户注册地属性取值的特定边数目大于预设阈值,则认为该应用节点对应的应用为异常应用。
其他相似的异常行为检测,可以根据本说明书实施例进行合理的推导得出,此处不再赘述。
综合上述情况,针对应用登录图中的任一应用节点,在该应用节点和与该应用节点相连的节点中确定具有属性取值的至少一类节点,可以根据确定的节点属性取值判断该应用节点对应的应用是否异常;或者针对应用登录图中的任一应用节点,在与该应用节点相连的边中确定具有属性取值的至少一类边,可以根据确定的边的属性取值判断该应用节点对应的应用是否异常。
此外,还可以将属性和节点数量相结合对应用节点进行判断。在上面的具体检测方法中已经给出示例。
可以理解的是,根据应用登录图中的属性取值、或者节点数量、或者综合属性取值和节点数量,对异常应用进行检测的方法,都应包含在本说明书实施例的保护范围中。
2.3、基于本说明书实施例提供的至少一类节点或边具有属性,且额外至少包括终端节点的任一应用登录图,本说明书实施例还提供了基于属性取值的异常用户账号检测方法。例如:
如果检测到了终端唯一标识被修改,可能是不法分子利用终端的漏洞对终端标识进行修改,从而进行非法操作,因此认为该终端存在异常行为。反映在应用登录图上,如果检测到任一终端节点的终端标识属性取值被改变,则判断该终端节点对应的终端为异常终端。
如果检测到了终端在一个网络中登录,该网络的所在地理位置与终端经常连接的网络地理位置不同,甚至相距很远。可能是不法分子盗取了终端,可能对终端中的用户账号进行非法操作,因此认为该终端存在异常行为。反映在应用登录图上,如果检测到任一终端节点的常用活动地属性取值不同于该终端节点连接的网络节点的网络所在地属性取值,则判断该终端节点对应的终端为异常终端。
如果检测到登录了多个用户账号的终端上频繁登录同一个应用,可能是不法分子利用同一终端登录多个盗取的用户账号在应用上进行非法操作,因此认为该终端存在异常行为。反映在应用登录图上,如果检测到任一终端节点连接的用户节点数量大于预设阈值,且该终端节点与应用节点之间的边的终端登录应用时间属性取值在预设范围内,则认为该终端节点对应的终端为异常终端。
如果检测到终端在非法时间段内连接网络,例如在安全要求较高的内网中,只能通过固定设备连接内网,而为了防止不法分子非法闯入后通过固定设备连接内网进行非法操作,在非工作时段连接内网是不允许的。因此,认为该终端存在异常行为。反映在应用登录图上,如果检测到任一终端节点与网络节点之间的边的终端联网时间属性取值在预设范围内,则认为该终端节点对应的终端为异常终端。
其他相似的异常行为检测,可以根据本说明书实施例进行合理的推导得出,此处不再赘述。
综合上述情况,针对应用登录图中的任一终端节点,在该终端节点和与该终端节点相连的节点中确定具有属性的至少一类节点,可以根据确定的节点属性取值判断该终端节点对应的终端是否异常;或者针对应用登录图中的任一终端节点,在与该终端节点相连的边中确定具有属性的至少一类边,可以根据确定的边的属性取值判断该终端节点对应的终端是否异常。
此外,还可以将属性和节点数量相结合对终端节点进行判断。上面的具体检测方法中已经给出了示例。
可以理解的是,根据应用登录图中的属性取值、或者节点数量、或者综合属性取值和节点数量,对异常终端进行检测的方法,都应包含在本说明书实施例的保护范围中。
利用上述基于本说明书提供的应用登录图的异常行为检测方法,可以通过构建出的应用登录图直观地反映用户账户、应用、网络、终端之间的关系,与表格方式相比,减少了冗余的内容存储,节省存储空间,也能从多个角度进行分析,无需更换不同的表格,同时更新较快。
例如,当增加一个用户账户与应用的登录关系时,表格方式需要对相关的用户账户表、应用表等都进行更新,需要增加至少两条表项数据;而本说明书中提供的应用登录图只需要增加一个用户节点与应用节点之间的边。
在此基础上,本说明书实施例提供的异常行为检测方法可以通过应用登录图更直观更快地对异常行为进行检测,能够方便地从多种角度(例如应用角度和用户角度)全面确定不同的异常行为,并且根据应用登录图中的节点数量和属性取值,能够更加准确地检测到更多异常行为。
例如,用户账号多次登录失败、静默用户突然登录、异地网络登录用户账号、登录有较多异常用户账号的异常应用等等。
如图8所示,为本说明书实施例提供的一种应用登录图的构建装置的结构示意图,应用登录图中至少包括用户节点和应用节点,每个用户节点对应一个用户账号,每个应用节点对应一个应用,任一用户账号可用于登录一个或多个应用。
根据前面实施例所提供的图的基本组成可知,图中包括节点和边两种元素,相应地,构建图的装置中,主要也是涉及对这两种元素的确定:
其中,“确定节点”的操作又可以进一步包括两种情况:一种是在应用登录图中不存在对应节点的情况下,创建新的节点、另一种在应用登录图中已存在对应节点的情况下,复用应用登录图中已存在的节点;
相应地,“确定边”的操作也可以进一步包括两种情况:在应用登录图中不存在对应边的情况下创建新的边、或者在应用登录图中已存在对应边的情况下复用应用登录图中已存在的边。
如果节点或边携带属性,那么在确定的过程中,还可以进一步为节点或边添加或更新属性。
构建装置可以包括以下单元:
用户节点确定单元201:用于检测到用户使用用户账号后,在应用登录图上确定该用户账号对应的用户节点。
应用节点及其相关边确定单元202:用于检测到用户利用该用户账号登录任一应用后,在应用登录图上确定该应用对应的应用节点、以及确定该用户账号对应的用户节点与该应用节点之间的边。
在本说明书实施例中,201和202的运行并无固定的先后顺序,也可以202先运行,也可以同时运行,对201和202的运行顺序并不进行限定。
如图9所示,为本说明书实施例提供的另一种应用登录图的构建装置的结构示意图,应用登录图中除了包括用户节点和应用节点,至少还包括终端节点。每个终端节点对应于一个终端。
构建装置还可以包括:
终端节点及其相关边确定单元203:用于检测到用户在终端上使用用户账号后,在应用登录图上确定该终端对应的终端节点、以及确定该用户账号对应的用户节点与该终端节点之间的边。
本说明书实施例中,201、202、203的运行顺序并不限定。
如图10所示,为本说明书实施例提供的另一种应用登录图的构建装置的结构示意图,应用登录图中除了包括用户节点和应用节点,至少还包括网络节点。每个网络节点对应于一个网络。
构建装置还可以包括;
网络节点及其相关边确定单元204:检测到用户在网络下使用用户账号后,在应用登录图上确定该网络对应的网络节点、以及确定该用户账号对应的用户节点与该网络节点之间的边。
本说明书实施例中,201、202和204的运行顺序并不限定。
如图11所示,为本说明书实施例提供的另一种应用登录图的构建装置的结构示意图,应用登录图中除了包括用户节点和应用节点,还包括终端节点和网络节点。
本说明书实施例中,201、202、203和204的运行顺序并不限定。
上述装置实施例构建的应用登录图与表格存储的方式相比,能够更加直观地表示对象之间的关系。一方面可以更加节省存储空间,无需区分用户账户表、应用表等等,同时也方便进行动态更新;另一方面可以从不同的角度进行操作,例如,用户角度和应用角度,无需更换表格重新加载数据。
基于本说明书实施例构建的应用登录图,本说明书实施例还提供了若干异常行为检测装置,具体检测原理在上文已经叙述过,此处不再赘述。
下面,分别对各种异常行为检测装置进行具体的实例说明。
1.1、基于本说明书实施例提供的任一应用登录图,本说明书实施例还提供了基于节点数量的异常用户账号检测装置。例如:
如果装置检测到同一用户账号登录的应用过多,可能是由于不法分子利用泄露的用户账号登录多个应用进行非法操作,因此认为该用户账号存在异常行为。反映在应用登录图上,如果装置检测到任一用户节点连接的应用节点数量超出预设阈值,则判断该用户节点对应的用户账号为异常用户账号。
其他类似实例可以参考上文得到,此处不再赘述。
综合上述情况,在应用登录图中,如图12所示,为本说明书实施例提供的一种异常用户账号检测装置的结构示意图,可以包括:
用户连接数量确定单元301,用于针对应用登录图中的任一用户节点,确定与该用户节点相连的节点数量;
第一异常用户账号检测单元302,用于根据节点数量确定单元确定的与该用户节点相连的节点数量判断该用户节点对应的用户账号是否异常。
1.2、基于本说明书实施例提供的额外至少包括终端节点的任一应用登录图,本说明书实施例可以提供更具体的异常行为检测装置,即基于节点数量的异常终端检测装置。例如:
如果装置检测到同一终端上登录的用户账号过多,可能是由于不法分子利用该终端登录多个泄露的用户账号进行非法操作,因此认为该终端存在异常行为。反映在应用登录图上,如果装置检测到任一终端节点连接的用户节点数量超出预设阈值,则判断该终端节点对应的终端为异常终端。
其他类似实例可以参考上文得到,此处不再赘述。
因此,在应用登录图中,如图13所示,为本说明书实施例提供的一种异常终端检测装置的结构示意图,可以包括:
终端连接数量确定单元401,用于针对应用登录图中的任一终端节点,确定与该终端节点相连的节点数量;
第一异常终端检测单元402,用于根据终端连接数量确定单元确定的与该终端节点相连的节点数量判断该终端节点对应的终端是否异常。
利用上述的异常行为检测装置,通过利用节点数量与预设阈值的对比,可以通过应用登录图这一图结构方便快捷地,从多种角度全面确定不同的异常行为。例如终端的异常行为、用户账号的异常行为。从而确定异常终端和异常用户账号。
2.1、而基于本说明书实施例提供的至少一类节点或边具有属性的任一应用登录图,本说明书实施例还提供了基于属性取值的异常用户账号检测装置。例如:
如果装置检测到用户账号的注册地理位置并不在预设的范围内,例如用户账号必须在中国境内注册,而某一用户账号的注册地理位置在中国以外,则认为该用户账号存在异常行为。反映在应用登录图上,如果装置检测到任一用户节点的用户注册地属性取值不在预设范围内,则判断该用户节点对应的用户账号为异常用户账号。
其他类似实例可以参考上文得到,此处不再赘述。
综合上述情况,如图14所示,为本说明书实施例提供的另一种异常用户账号检测装置的结构示意图,具体包括:用户账号属性确定单元和第二异常用户账号检测单元。
用户账号属性确定单元501:用于针对应用登录图中的任一用户节点,在该用户节点和与该用户节点相连的节点中确定具有属性取值的至少一类节点;第二异常用户账号检测单元502:用于根据确定的节点属性取值判断该用户节点对应的用户账号是否异常;
或者,用户账号属性确定单元501用于针对应用登录图中的任一用户节点,在与该用户节点相连的边中确定具有属性取值的至少一类边;第二异常用户账号检测单元502用于根据确定的边的属性取值判断该用户节点对应的用户账号是否异常。
此外,还可以将属性取值和节点数量相结合对用户节点进行判断。
例如,如果检测到用户账号在异地网络中登录,且登录的应用超过预设阈值,则认为该用户账号存在异常行为。其他相似的异常行为此处不再赘述。
可以理解的是,根据应用登录图中的属性取值、或者节点数量、或者综合属性取值和节点数量,对异常用户账号进行检测的装置,都应包含在本说明书实施例的保护范围中。
2.2、基于本说明书实施例提供的至少一类节点或边具有属性的任一应用登录图,本说明书实施例还提供了基于属性取值的异常应用检测装置。例如:
如果装置检测到应用的注册地理位置不在预设范围内,例如应用必须在中国境内注册,而某一应用的注册地理位置在中国境外,则认为该应用存在异常行为。反映在应用登录图上,如果装置检测到任一应用节点的应用注册地属性取值在预设范围之外,则认为该应用节点对应的应用为异常应用。
其他类似实例可以参考上文得到,此处不再赘述。
综合上述情况,如图15所示,为本说明书实施例提供的另一种异常应用检测装置的结构示意图,装置包括:应用属性确定单元601和异常应用检测单元602;
应用属性确定单元601:用于针对应用登录图中的任一应用节点,在该应用节点和与该应用节点相连的节点中确定具有属性取值的至少一类节点;异常应用检测单元602:用于根据确定的节点属性取值判断该应用节点对应的应用是否异常;
或者,应用属性确定单元601:用于针对应用登录图中的任一应用节点,在与该应用节点相连的边中确定具有属性取值的至少一类边;异常应用检测单元602:用于根据确定的边的属性取值判断该应用节点对应的应用是否异常。
此外,还可以将属性和节点数量相结合对应用节点进行判断。在上面的具体检测装置中已经给出示例。
可以理解的是,根据应用登录图中的属性取值、或者节点数量、或者综合属性取值和节点数量,对异常应用进行检测的装置,都应包含在本说明书实施例的保护范围中。
2.3、基于本说明书实施例提供的至少一类节点或边具有属性,且额外至少包括终端节点的任一应用登录图,本说明书实施例还提供了基于属性取值的异常用户账号检测装置。例如:
如果装置检测到了终端唯一标识被修改,可能是不法分子利用终端的漏洞对终端标识进行修改,从而进行非法操作,因此认为该终端存在异常行为。反映在应用登录图上,如果装置检测到任一终端节点的终端标识属性取值被改变,则判断该终端节点对应的终端为异常终端。
其他类似实例可以参考上文得到,此处不再赘述。
综合上述情况,如图16所示,为本说明书实施例提供的另一种异常终端检测装置的结构示意图,装置包括:终端属性确定单元701和第二异常终端检测单元702;
终端属性确定单元701:用于针对应用登录图中的任一终端节点,在该终端节点和与该终端节点相连的节点中确定具有属性的至少一类节点;第二异常终端检测单元702:用于根据确定的节点属性取值判断该终端节点对应的终端是否异常;
或者终端属性确定单元701:用于针对应用登录图中的任一终端节点,在与该终端节点相连的边中确定具有属性的至少一类边;第二异常终端检测单元702:用于根据确定的边的属性取值判断该终端节点对应的终端是否异常。
此外,还可以将属性和节点数量相结合对终端节点进行判断。上面的具体检测装置中已经给出了示例。
可以理解的是,根据应用登录图中的属性取值、或者节点数量、或者综合属性取值和节点数量,对异常终端进行检测的装置,都应包含在本说明书实施例的保护范围中。
本说明书实施例还提供一种计算机设备,其至少包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,处理器执行所述程序时实现一种应用登录图的构建方法、一种基于本说明书实施例构建的应用登录图的异常用户账号检测方法、一种基于本说明书实施例构建的至少包括一种具有属性的节点或边的应用登录图的异常用户账号检测方法、一种基于本说明书实施例构建的至少包括一种具有属性的节点或边的应用登录图的异常应用检测方法、一种基于本说明书实施例构建的至少额外包括终端节点的应用登录图的异常终端检测方法或者一种基于本说明书实施例构建的至少额外包括终端节点,且至少包括一种具有属性的节点或边的应用登录图的异常终端检测方法。
图17示出了本说明书实施例所提供的一种更为具体的计算设备硬件结构示意图,该设备可以包括:处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器1020可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
本说明书实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现一种应用登录图的构建方法、一种基于本说明书实施例构建的应用登录图的异常用户账号检测方法、一种基于本说明书实施例构建的至少包括一种具有属性的节点或边的应用登录图的异常用户账号检测方法、一种基于本说明书实施例构建的至少包括一种具有属性的节点或边的应用登录图的异常应用检测方法、一种基于本说明书实施例构建的至少额外包括终端节点的应用登录图的异常终端检测方法或者一种基于本说明书实施例构建的至少额外包括终端节点,且至少包括一种具有属性的节点或边的应用登录图的异常终端检测方法。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本说明书实施例可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本说明书实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本说明书实施例各个实施例或者实施例的某些部分所述的方法。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,在实施本说明书实施例方案时可以把各模块的功能在同一个或多个软件和/或硬件中实现。也可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅是本说明书实施例的具体实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本说明书实施例原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本说明书实施例的保护。
Claims (22)
1.一种应用登录图的构建方法,所述应用登录图至少包括用户节点和应用节点,每个用户节点对应一个用户账号,每个应用节点对应一个应用,任一用户账号可用于登录一个或多个应用,所述方法包括:
检测到用户使用用户账号后,在图上确定该用户账号对应的用户节点;
检测到用户利用该用户账号登录任一应用后,在图上确定该应用对应的应用节点、以及确定该用户账号对应的用户节点与该应用节点之间的边;
其中,确定节点包括:在图中不存在对应节点的情况下创建新的节点、或者在图中已存在对应节点的情况下复用图中已存在的节点;
确定边包括:在图中不存在对应边的情况下创建新的边、或者在图中已存在对应边的情况下复用图中已存在的边。
2.根据权利要求1所述的方法,所述应用登录图中的节点和/或边具有一种或多种属性,节点属性用于描述节点对应的对象的独立属性,边属性用于描述两个节点对应的对象的关联属性。
3.根据权利要求1所述的方法,所述用户节点具有:用户注册地属性、登录间隔属性、和/或常用终端标识属性。
4.根据权利要求1所述的方法,所述应用节点具有应用注册地属性。
5.根据权利要求1所述的方法,所述用户节点与应用节点之间的边具有:登录时间属性和/或登录状态属性。
6.根据权利要求1至5任一项所述的方法,所述应用登录图还包括终端节点,每个终端节点对应一个终端,所述方法还包括:
检测到用户在终端上使用用户账号后,在图上确定该终端对应的终端节点、以及确定该用户账号对应的用户节点与该终端节点之间的边。
7.根据权利要求6所述的方法,所述终端节点具有终端标识属性和/或常用活动地属性。
8.根据权利要求6所述的方法,所述用户节点与终端节点之间的边具有:用户登录时间属性和/或用户登录状态属性。
9.根据权利要求1至5任一项所述的方法,所述应用登录图还包括网络节点,每个网络节点对应一个网络,所述方法还包括:
检测到用户在网络下使用用户账号后,在图上确定该网络对应的网络节点、以及确定该用户账号对应的用户节点与该网络节点之间的边。
10.根据权利要求9所述的方法,所述网络节点具有网络所在地属性。
11.一种基于权利要求1至10任一项所述方法构建的应用登录图的异常用户账号检测方法,所述方法包括:
针对所述应用登录图中的任一用户节点,根据与该用户节点相连的节点数量判断该用户节点对应的用户账号是否异常。
12.一种基于权利要求2至10任一项所述方法构建的应用登录图的异常用户账号检测方法,所述方法包括:
针对所述应用登录图中的任一用户节点,在该用户节点和与该用户节点相连的节点中确定具有属性取值的至少一类节点,根据确定的节点属性取值判断该用户节点对应的用户账号是否异常;
或者针对所述应用登录图中的任一用户节点,在与该用户节点相连的边中确定具有属性取值的至少一类边,根据确定的边的属性取值判断该用户节点对应的用户账号是否异常。
13.一种基于权利要求2至10任一项所述方法构建的应用登录图的异常应用检测方法,所述方法包括:
针对所述应用登录图中的任一应用节点,在该应用节点和与该应用节点相连的节点中确定具有属性取值的至少一类节点,根据确定的节点属性取值判断该应用节点对应的应用是否异常;
或者针对所述应用登录图中的任一应用节点,在与该应用节点相连的边中确定具有属性取值的至少一类边,根据确定的边的属性取值判断该应用节点对应的应用是否异常。
14.一种基于权利要求6至8任一项所述方法构建的应用登录图的异常终端检测方法,所述方法包括:
针对所述应用登录图中的任一终端节点,根据与该终端节点相连的节点数量判断该终端节点对应的终端是否异常。
15.一种基于权利要求7或8所述方法构建的应用登录图的异常终端检测方法,所述方法包括:
针对所述应用登录图中的任一终端节点,在该终端节点和与该终端节点相连的节点中确定具有属性的至少一类节点,根据确定的节点属性取值判断该终端节点对应的终端是否异常;
或者针对所述应用登录图中的任一终端节点,在与该终端节点相连的边中确定具有属性的至少一类边,根据确定的边的属性取值判断该终端节点对应的终端是否异常。
16.一种应用登录图的构建装置,所述应用登录图至少包括用户节点和应用节点,每个用户节点对应一个用户账号,每个应用节点对应一个应用,任一用户账号可用于登录一个或多个应用,所述装置包括:
用户节点确定单元,用于检测到用户使用用户账号后,在图上确定该用户账号对应的用户节点;
应用节点及其相关边确定单元,用于检测到用户利用该用户账号登录任一应用后,在图上确定该应用对应的应用节点、以及确定该用户账号对应的用户节点与该应用节点之间的边;
其中,确定节点包括:在图中不存在对应节点的情况下创建新的节点、或者在图中已存在对应节点的情况下复用图中已存在的节点;
确定边包括:在图中不存在对应边的情况下创建新的边、或者在图中已存在对应边的情况下复用图中已存在的边。
17.一种基于权利要求1至10任一项所述方法构建的应用登录图的异常用户账号检测装置,所述装置包括:
用户连接数量确定单元,用于针对所述应用登录图中的任一用户节点,确定与该用户节点相连的节点数量;
第一异常用户账号检测单元,用于根据所述节点数量确定单元确定的与该用户节点相连的节点数量判断该用户节点对应的用户账号是否异常。
18.一种基于权利要求2至10任一项所述方法构建的应用登录图的异常用户账号检测装置,所述装置包括:用户账号属性确定单元和第二异常用户账号检测单元;
所述用户账号属性确定单元用于针对所述应用登录图中的任一用户节点,在该用户节点和与该用户节点相连的节点中确定具有属性取值的至少一类节点;所述第二异常用户账号检测单元用于根据确定的节点属性取值判断该用户节点对应的用户账号是否异常;
或者,所述用户账号属性确定单元用于针对所述应用登录图中的任一用户节点,在与该用户节点相连的边中确定具有属性取值的至少一类边;所述第二异常用户账号检测单元用于根据确定的边的属性取值判断该用户节点对应的用户账号是否异常。
19.一种基于权利要求2至10任一项所述方法构建的应用登录图的异常应用检测装置,所述装置包括:应用属性确定单元和异常应用检测单元;
所述应用属性确定单元用于针对所述应用登录图中的任一应用节点,在该应用节点和与该应用节点相连的节点中确定具有属性取值的至少一类节点;所述异常应用检测单元用于根据确定的节点属性取值判断该应用节点对应的应用是否异常;
或者,所述应用属性确定单元用于针对所述应用登录图中的任一应用节点,在与该应用节点相连的边中确定具有属性取值的至少一类边;所述异常应用检测单元用于根据确定的边的属性取值判断该应用节点对应的应用是否异常。
20.一种基于权利要求6至8任一项所述方法构建的应用登录图的异常终端检测装置,所述装置包括:
终端连接数量确定单元,用于针对所述应用登录图中的任一终端节点,确定与该终端节点相连的节点数量;
第一异常终端检测单元,用于根据所述终端连接数量确定单元确定的与该终端节点相连的节点数量判断该终端节点对应的终端是否异常。
21.一种基于权利要求7或8构建的应用登录图的异常终端检测装置,所述装置包括:终端属性确定单元和第二异常终端检测单元;
所述终端属性确定单元用于针对所述应用登录图中的任一终端节点,在该终端节点和与该终端节点相连的节点中确定具有属性的至少一类节点;所述第二异常终端检测单元用于根据确定的节点属性取值判断该终端节点对应的终端是否异常;
或者所述终端属性确定单元用于针对所述应用登录图中的任一终端节点,在与该终端节点相连的边中确定具有属性的至少一类边;所述第二异常终端检测单元用于根据确定的边的属性取值判断该终端节点对应的终端是否异常。
22.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,所述处理器执行所述程序时实现如权利要求1至15任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010307455.3A CN111506895A (zh) | 2020-04-17 | 2020-04-17 | 一种应用登录图的构建方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010307455.3A CN111506895A (zh) | 2020-04-17 | 2020-04-17 | 一种应用登录图的构建方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111506895A true CN111506895A (zh) | 2020-08-07 |
Family
ID=71874462
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010307455.3A Pending CN111506895A (zh) | 2020-04-17 | 2020-04-17 | 一种应用登录图的构建方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111506895A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112016081A (zh) * | 2020-08-31 | 2020-12-01 | 贝壳技术有限公司 | 标识映射的实现方法、装置、介质和电子设备 |
| CN114666093A (zh) * | 2022-02-16 | 2022-06-24 | 杭萧钢构股份有限公司 | 系统安全管控方法和装置、存储介质及电子设备 |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015043491A1 (zh) * | 2013-09-30 | 2015-04-02 | 腾讯科技(深圳)有限公司 | 一种用于对互联网账号的登录进行安全验证的方法及系统 |
| CN105335470A (zh) * | 2015-09-29 | 2016-02-17 | 北京奇虎科技有限公司 | 用户登录信息展现方法和装置 |
| CN106330840A (zh) * | 2015-07-01 | 2017-01-11 | 阿里巴巴集团控股有限公司 | 挂失账号的登录方法和装置 |
| US20170366917A1 (en) * | 2015-10-16 | 2017-12-21 | Tencent Technology (Shenzhen) Company Limited | Method for logging in to application, server, terminal, and nonvolatile computer readable storage medium |
| CN108418825A (zh) * | 2018-03-16 | 2018-08-17 | 阿里巴巴集团控股有限公司 | 风险模型训练、垃圾账号检测方法、装置以及设备 |
| US20180337935A1 (en) * | 2017-05-16 | 2018-11-22 | Entit Software Llc | Anomalous entity determinations |
| CN109936525A (zh) * | 2017-12-15 | 2019-06-25 | 阿里巴巴集团控股有限公司 | 一种基于图结构模型的异常账号防控方法、装置以及设备 |
| US10419469B1 (en) * | 2017-11-27 | 2019-09-17 | Lacework Inc. | Graph-based user tracking and threat detection |
| CN110278175A (zh) * | 2018-03-14 | 2019-09-24 | 阿里巴巴集团控股有限公司 | 图结构模型训练、垃圾账户识别方法、装置以及设备 |
| CN110414985A (zh) * | 2019-06-12 | 2019-11-05 | 阿里巴巴集团控股有限公司 | 一种异常账户的检测方法及装置 |
| CN110493166A (zh) * | 2018-07-03 | 2019-11-22 | 北京数安鑫云信息技术有限公司 | 一种账号异常检测方法和装置 |
| US10560364B1 (en) * | 2017-03-15 | 2020-02-11 | Pivotal Software, Inc. | Detecting network anomalies using node scoring |
| CN110784470A (zh) * | 2019-10-30 | 2020-02-11 | 上海观安信息技术股份有限公司 | 一种用户异常登录的确定方法及装置 |
-
2020
- 2020-04-17 CN CN202010307455.3A patent/CN111506895A/zh active Pending
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015043491A1 (zh) * | 2013-09-30 | 2015-04-02 | 腾讯科技(深圳)有限公司 | 一种用于对互联网账号的登录进行安全验证的方法及系统 |
| CN106330840A (zh) * | 2015-07-01 | 2017-01-11 | 阿里巴巴集团控股有限公司 | 挂失账号的登录方法和装置 |
| CN105335470A (zh) * | 2015-09-29 | 2016-02-17 | 北京奇虎科技有限公司 | 用户登录信息展现方法和装置 |
| US20170366917A1 (en) * | 2015-10-16 | 2017-12-21 | Tencent Technology (Shenzhen) Company Limited | Method for logging in to application, server, terminal, and nonvolatile computer readable storage medium |
| US10560364B1 (en) * | 2017-03-15 | 2020-02-11 | Pivotal Software, Inc. | Detecting network anomalies using node scoring |
| US20180337935A1 (en) * | 2017-05-16 | 2018-11-22 | Entit Software Llc | Anomalous entity determinations |
| US10419469B1 (en) * | 2017-11-27 | 2019-09-17 | Lacework Inc. | Graph-based user tracking and threat detection |
| CN109936525A (zh) * | 2017-12-15 | 2019-06-25 | 阿里巴巴集团控股有限公司 | 一种基于图结构模型的异常账号防控方法、装置以及设备 |
| CN110278175A (zh) * | 2018-03-14 | 2019-09-24 | 阿里巴巴集团控股有限公司 | 图结构模型训练、垃圾账户识别方法、装置以及设备 |
| CN108418825A (zh) * | 2018-03-16 | 2018-08-17 | 阿里巴巴集团控股有限公司 | 风险模型训练、垃圾账号检测方法、装置以及设备 |
| CN110493166A (zh) * | 2018-07-03 | 2019-11-22 | 北京数安鑫云信息技术有限公司 | 一种账号异常检测方法和装置 |
| CN110414985A (zh) * | 2019-06-12 | 2019-11-05 | 阿里巴巴集团控股有限公司 | 一种异常账户的检测方法及装置 |
| CN110784470A (zh) * | 2019-10-30 | 2020-02-11 | 上海观安信息技术股份有限公司 | 一种用户异常登录的确定方法及装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112016081A (zh) * | 2020-08-31 | 2020-12-01 | 贝壳技术有限公司 | 标识映射的实现方法、装置、介质和电子设备 |
| CN114666093A (zh) * | 2022-02-16 | 2022-06-24 | 杭萧钢构股份有限公司 | 系统安全管控方法和装置、存储介质及电子设备 |
| CN114666093B (zh) * | 2022-02-16 | 2024-07-02 | 杭萧钢构股份有限公司 | 系统安全管控方法和装置、存储介质及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11323260B2 (en) | Method and device for identity verification | |
| CN109492378B (zh) | 一种基于设备识别码的身份验证方法、服务器及介质 | |
| US11805129B2 (en) | Fictitious account generation on detection of account takeover conditions | |
| CN108933713B (zh) | 基于影子链路实现沙箱调试的方法、装置及业务服务器 | |
| CN110049087B (zh) | 一种联盟链的可信度验证方法、系统、装置及设备 | |
| TWI761385B (zh) | 設備配置方法及裝置、系統 | |
| CN108965250B (zh) | 一种数字证书安装方法及系统 | |
| CN104767713B (zh) | 账号绑定的方法、服务器及系统 | |
| US10783277B2 (en) | Blockchain-type data storage | |
| US11727101B2 (en) | Methods and systems for verifying applications | |
| CN111031035A (zh) | 一种敏感数据访问行为监控方法及装置 | |
| CN110046901B (zh) | 联盟链的可信度验证方法、系统、装置及设备 | |
| CN107256349B (zh) | 动态库防盗用方法、装置、电子设备及可读存储介质 | |
| CA3012930A1 (en) | Systems and methods for estimating authenticity of local network of device initiating remote transaction | |
| CN109302423B (zh) | 一种漏洞扫描能力测试方法和装置 | |
| US20240346149A1 (en) | Methods and systems for verifying applications | |
| CN104580108A (zh) | 信息提示方法和系统、服务器 | |
| CN111506895A (zh) | 一种应用登录图的构建方法及装置 | |
| CN106685945B (zh) | 业务请求处理方法、业务办理号码的验证方法及其终端 | |
| CN108228248A (zh) | 一种依赖关系的确定方法和装置 | |
| CN113486277A (zh) | Web应用访问方法、装置、电子设备及存储介质 | |
| CN110909032A (zh) | 区块链中数据的管理方法及装置 | |
| CN109144743A (zh) | 一种数据的获取方法、装置及设备 | |
| CN111291409B (zh) | 一种数据监控方法及装置 | |
| CN114039779A (zh) | 一种安全接入网络的方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40034118 Country of ref document: HK |