CN111723364A - 撞库检测方法、装置、计算机设备和存储介质 - Google Patents
撞库检测方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN111723364A CN111723364A CN202010582614.0A CN202010582614A CN111723364A CN 111723364 A CN111723364 A CN 111723364A CN 202010582614 A CN202010582614 A CN 202010582614A CN 111723364 A CN111723364 A CN 111723364A
- Authority
- CN
- China
- Prior art keywords
- login
- behavior
- result
- collision
- login account
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 58
- 238000003860 storage Methods 0.000 title claims abstract description 33
- 238000000034 method Methods 0.000 claims abstract description 44
- 238000013145 classification model Methods 0.000 claims abstract description 42
- 230000006399 behavior Effects 0.000 claims description 124
- 238000012549 training Methods 0.000 claims description 30
- 238000005457 optimization Methods 0.000 claims description 29
- 230000009471 action Effects 0.000 claims description 21
- 238000012795 verification Methods 0.000 claims description 18
- 238000012545 processing Methods 0.000 claims description 16
- 238000004590 computer program Methods 0.000 claims description 12
- 238000012790 confirmation Methods 0.000 claims description 5
- 238000000605 extraction Methods 0.000 claims description 5
- 230000007123 defense Effects 0.000 abstract description 7
- 230000007547 defect Effects 0.000 abstract description 3
- 230000008569 process Effects 0.000 description 9
- 238000004364 calculation method Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 238000004821 distillation Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003062 neural network model Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
- 230000009329 sexual behaviour Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
- G06F16/90335—Query processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/906—Clustering; Classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/28—Determining representative reference patterns, e.g. by averaging or distorting; Generating dictionaries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/107—License processing; Key processing
- G06F21/1078—Logging; Metering
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Databases & Information Systems (AREA)
- Computer Hardware Design (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Life Sciences & Earth Sciences (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Computational Linguistics (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请揭示了一种撞库检测方法、装置、计算机设备和存储介质,其中方法包括:通过提取登录账户的IP维度的相关特征、设备维度的相关特征、时间维度的相关特征和空间维度的相关特征等多个维度得到特征,然后输入到预先训练的登录行为分类模型中进行检测,可以得到准确的分类结果,实现了账号粒度的撞库检测防护,提升系统主动防御能力,准确地甄别正常用户和恶意攻击者,克服了现有技术中仅仅基于IP或阈值检测方法的局限性,避免当异地登录被绕过后防御能力缺失的缺陷。
Description
技术领域
本申请涉及到计算机领域,特别是涉及到一种撞库检测方法、装置、计算机设备和存储介质。
背景技术
撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。
传统的防撞库方法比较单一,已经无法应对日益多样化的攻击手段。比如,之前凭借用户IP做异地登录就可以保护系统安全,但是现在因为很多账号是手机号注册,使用和手机号同地区的IP进行撞库攻击会能绕过之前的异地登录防护等。
发明内容
本申请的主要目的为提供一种撞库检测方法、装置、计算机设备和存储介质,旨在解决目前防撞库手段单一的技术问题。
为了实现上述发明目的,本申请提出一种撞库检测方法,包括步骤:
提取登录账户的指定维度特征,其中,所述指定维度特征至少包括所述登录账户的IP维度的相关特征、设备维度的相关特征、时间维度的相关特征和空间维度的相关特征;
将所述指定维度特征输入到预设的登录行为分类模型中进行检测;其中,所述登录行为分类模型是基于历史的登录账户在登录时对应的所述指定维度特征,以及与各所述历史的登录账户在登录时对应的行为结果通过机器训练而得到的模型,所述行为结果包括撞库行为结果和正常登录行为结果;
若检测出所述登录账户的行为结果为撞库行为结果,则执行预设的撞库处理动作。
进一步地,所述将所述指定维度特征输入到预设的登录行为分类模型中进行检测的步骤之前,包括:
在预设的IP黑名单中查找所述登录账户的代理IP,和/或在预设的设备黑名单中查找登录所述登录账号的设备指纹;
若查找到所述登录账户的代理IP和/或所述登录账号的设备指纹,则拒绝所述登录账户登录,并停止撞库检测。
进一步地,所述将所述指定维度特征输入到预设的登录行为分类模型中进行检测的步骤之前,还包括:
在预设的IP白名单中查找所述登录账户的代理IP,和/或在预设的设备白名单中查找登录所述登录账号的设备指纹;
若查找到所述登录账户的代理IP和/或所述登录账号的设备指纹,则同意所述登录账户登录,并停止撞库检测。
进一步地,所述提取登录账户的指定维度特征的步骤之前,还包括:
判断所述登录账户是否登录成功;
如果是,则执行所述“提取登录账户的指定维度特征”的步骤,否则停止撞库检测。
进一步地,所述若检测出所述登录账户的行为结果为撞库行为结果,则执行预设的撞库处理动作的步骤,包括:
判断代表行为结果为撞库行为结果的分类值是否处于预设的第一阈值范围内;
若是,则沿着所述登录账户的登录路径发送给登录所述登录账户的设备终端一个撞库验证界面,其中,所述撞库验证界面上设置有确认和否定两个虚拟按键;
接收所述设备终端的反馈结果,并将所述登录账户的指定维度特征以及所述反馈结果进行关联存储,作为优化样本数据,对所述登录行为分类模型进行优化训练。
进一步地,所述接收所述设备终端的反馈结果,并将所述登录账户的指定维度特征以及所述反馈结果进行关联存储,作为优化样本数据,对所述登录行为分类模型进行优化训练的步骤,包括:
将分类值结果属于撞库性行为,但是反馈结果为否定撞库的登录账号对应的指定维度特征按照预设比例存储,其中存储比例小于1;以及,
将分类值结果不属于撞库性行为,但是反馈结果为确定撞库的登录账号对应的指定维度特征全部存储;
将按比例存储的和全部存储的指定维度特征和其关联的反馈结果作为优化样本数据,对所述登录行为分类模型进行优化训练。
进一步地,所述若检测出所述登录账户的行为结果为撞库行为结果,则执行预设的撞库处理动作的步骤,包括:
判断代表行为结果为撞库行为结果的分类值是否处于预设的第二阈值范围之外;
若是,则将所述登录账户的指定维度热证和分类结果关联存储,作为优化样本数据,对所述登录行为分类模型进行优化训练。
本申请还提供一种撞库检测装置,包括:
提取单元,用于提取登录账户的指定维度特征,其中,所述指定维度特征至少包括所述登录账户的IP维度的相关特征、设备维度的相关特征、时间维度的相关特征和空间维度的相关特征;
检测单元,用于将所述指定维度特征输入到预设的登录行为分类模型中进行检测;其中,所述登录行为分类模型是基于历史的登录账户在登录是对应的所述指定维度特征,以及与各所述历史的登录账户在登录时对应的行为结果通过机器训练而得到的模型,所述行为结果包括撞库行为结果和正常登录行为结果;
执行单元,用于若检测出所述登录账户的行为结果为撞库行为结果,则执行预设的撞库处理动作。
本申请还提供一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述任一项所述方法的步骤。
本申请还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述的方法的步骤。
本申请的撞库检测方法、装置、计算机设备和存储介质,通过提取登录账户的IP维度的相关特征、设备维度的相关特征、时间维度的相关特征和空间维度的相关特征等多个维度得到特征,然后输入到预先训练的登录行为分类模型中进行检测,可以得到准确的分类结果,实现了账号粒度的撞库检测防护,提升系统主动防御能力,准确地甄别正常用户和恶意攻击者,克服了现有技术中仅仅基于IP或阈值检测方法的局限性,避免当异地登录被绕过后防御能力缺失的缺陷。
附图说明
图1为本申请一实施例的撞库检测方法的流程示意图;
图2为本申请一实施例的撞库检测装置的结构示意框图;
图3为本申请一实施例的计算机设备的结构示意框图。
本申请目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
参照图1,本申请实施例提供一种撞库检测方法,包括步骤:
S1、提取登录账户的指定维度特征,其中,所述指定维度特征至少包括所述登录账户的IP维度的相关特征、设备维度的相关特征、时间维度的相关特征和空间维度的相关特征;
S2、将所述指定维度特征输入到预设的登录行为分类模型中进行检测;其中,所述登录行为分类模型是基于历史的登录账户在登录时对应的所述指定维度特征,以及与各所述历史的登录账户在登录时对应的行为结果通过机器训练而得到的模型,所述行为结果包括撞库行为结果和正常登录行为结果;
S3、若检测出所述登录账户的行为结果为撞库行为结果,则执行预设的撞库处理动作。
如上述步骤S1所述,上述登录账户是指登录某服务器的账户,一般需要输入账户名和密码等。上述指定维度特征至少包括所述登录账户的IP维度的相关特征、设备维度的相关特征、时间维度的相关特征和空间维度的相关特征。其中,IP维度的相关特征主要从两个方面进行分析:一是IP的外部公共特征,包括爬虫IP、代理IP等;另一是IP的登录特征,包括IP尝试登录的用户识别唯一码、手机号、邮箱等数量,IP尝试登录的空账号、登录成功次数、失败次数等,具体地登录账户的IP维度的相关特征,可以包括IP是否为代理IP、代理IP是否为爬虫IP、本次IP对应的用户识别唯一码数量、本次IP对应的手机号数量、不同手机号段的数量、不同地域的手机号的数量、本次IP对应的邮箱数量、不同邮箱系统的邮箱数量、本次IP对应的登录名数量、本次IP对应的不同用户识别唯一码数量、本次IP对应的不同手机号数量、本次IP对应的不同邮箱数量、本次IP对应的不同登录名数量、本次IP对应的空账号数量、本次IP对应的登录失败次数、本次IP对应的登录成功次数、本次IP对应的登录总次数、本次IP对应的登录失败不同用户识别唯一码个数、本次IP对应的登录成功不同用户识别唯一码个数等等。登录设备的相关特征同样从两个方面进行分析:一是设备指纹的外部公共特征;另一是设备指纹的登录特征,类似于IP的登录特征,在时间段内设备指纹尝试登录的PIN、手机号、空账号、失败次数等都可以作为设备指纹的登录特征,具体的设备维度的相关特征,可以包括:本次设备指纹对应的用户识别唯一码数量、本次设备指纹对应的手机号数量、不同手机号段的数量、不同地域的手机号的数量、本次设备指纹对应的邮箱数量、不同邮箱系统的邮箱数量、本次设备指纹对应的登录名数量、本次设备指纹对应的不同用户识别唯一码数量、本次设备指纹对应的不同手机号数量、本次设备指纹对应的不同邮箱数量、本次设备指纹对应的不同登录名数量、本次设备指纹对应的空账号数量、本次设备指纹对应的登录失败次数、本次设备指纹对应的登录成功次数、本次设备指纹对应的登录总次数、本次设备指纹对应的登录失败不同用户识别唯一码个数、本次设备指纹对应的登录成功不同用户识别唯一码个数等等。黑产的撞库攻击可能和用户的正常登录发生在同一时间范围内,无论撞库攻击发生在正常登录的前后,必然会造成用户时间维度的异常,一方面,如果用户被撞库,其登录行为会发生很大变化,例如IP归属地、登录成功使用的终端等都会发生变化;另一方面,用户的点击流等行为也会发生很大的变化,例如:一个正常用户在没有页面停留的情况下,不会直接提交一个登录请求等,具体地,时间维度的相关特征,可以包括点击流特征:最近一次登录界面停留时间、最近一次登录成功一级界面停留时间、最近一次登录成功二级界面停留时间、最近一次登录成功三级界面停留时间、上次登录成功一级界面停留时间、上次登录成功二级界面停留时间、上次登录成功三级界面停留时间等;以及登录特征:最近一次和本次登录时间间隔、最近一次尝试登录IP归属地、最近一次尝试登录IP安全系数、最近一次尝试登录设备安全系数、最近N(N是大于零的整数)次登录使用手机号成功登录次数、最近N次登录使用邮箱成功登录次数、最近N次登录使用PIN成功登录次数、最近N次登录使用M端成功登录次数、最近N次登录使用APP端成功登录次数、最近N次登录使用PC端成功登录次数等等。空间维度是指通过账号之间的关联,发现撞库攻击的群体行为,对于撞库攻击,由于黑产掌握了一定数量的用户名密码,因此发生撞库的异常用户都比较集中,有较多的相似行为用户,而对于正常用户,不同用户都有自己的操作习惯等,因此相似行为的用户比较分散且较少,空间维度可以从IP和设备指纹分别进行分析提取,对于IP在时间段内对应的所有用户,一方面可以计算PIN登录特征的相似度均值和方差,另一方面可以计算PIN浏览特征的均值和方差,对于设备指纹也可以进行相应的计算,具体地,空间维度的相关特征,可以包括,相同IP账号的:本次IP对应所有PIN相似度均值、本次IP对应所有PIN相似度方差、本次IP对应所有PIN登录界面停留时间方差、本次IP对应所有PIN登录成功一级及界面停留时间方差、本次IP对应所有PIN登录成功二级界面停留时间方差、本次IP对应所有PIN登录成功三级界面停留时间方差等等;以及相同设备账号的:本次设备指纹对应所有PIN相似度均值、本次设备指纹对应所有PIN相似度方差、本次设备指纹对应所有PIN登录界面停留时间方差、本次设备指纹对应所有PIN登录成功一级及界面停留时间方差、本次设备指纹对应所有PIN登录成功二级界面停留时间方差、本次设备指纹对应所有PIN登录成功三级界面停留时间方差等等。通过对当前登录账户的IP在时间段内公共特征和登录特征的提取(上述IP维度的相关特征),实现了对当前IP的精准描述,这些特征将会作为撞库检测模型的输入,为精准的检测识别提供支持;相对于IP容易切换成代理IP和易变动的特点,设备指纹更加稳定且有效,黑产在撞库攻击中切换设备指纹的代价更大,因此设备维度的相关特征是非常必要和有价值的,提高撞库检测的准确性;时间维度的相关特征反映的是登录账户本身在时间维度上的特征变化,账号撞库攻击造成的异常会反映在这些特征上;空间维度的相关特征反映的是账号群体的特征变化,批量的账号撞库攻击会反映在这些特征上,能够有效的提高识别的精度和覆盖率。
如上述步骤S2所述,上述登录行为分类模型即为使用上述指定维度特征的历史数据,以及对应的行为结果进行训练而得到的模型。在训练过程,是基于监督学习的方法进行训练的,登录行为分类模型的基础训练模型可以使用现有的任一一种适合本申请的神经网络模型。在本申请中,首次在IP维度的相关特征的基础上,加入了设备维度的相关特征、时间维度的相关特征和空间维度的相关特征,使分类结果更加的准确。可以很好的解决因为很多账号是手机号注册,使用和手机号同地区的IP进行撞库攻击会绕过之前的异地登录防护的问题。
如上述步骤S3所述,上述预设的撞库处理动作,一般包括推送修改密码和关键操作的验证码验证等,防止撞库成功后对账户的主人造成经济等损失。
在一个实施例中,上述将所述指定维度特征输入到预设的登录行为分类模型中进行检测的步骤S2之前,包括:
在预设的IP黑名单中查找所述登录账户的代理IP,和/或在预设的设备黑名单中查找登录所述登录账号的设备指纹;
若查找到所述登录账户的代理IP和/或所述登录账号的设备指纹,则拒绝所述登录账户登录,并停止撞库检测。
在本实施例中,上述IP黑名单是记录有大量代理IP的清单,该清单中记载的代理IP是被标记为专门用于代理撞库行为的登录账户进行信息交互使用的IP;同样的,设备黑名单是指记录有大量设备指纹的清单,该清单中记录有专门用于撞库行为的设备的设备指纹。当登录账户的代理IP或者设备的设备指纹有一种或全部属于上述预设的黑名单中,则说明本次的登录的登录账户是撞库的,不需要通过登录行为分类模型进行计算判断,节约计算资源。
在一个实施例中,上述将所述指定维度特征输入到预设的登录行为分类模型中进行检测的步骤S2之前,还包括:
在预设的IP白名单中查找所述登录账户的代理IP,和/或在预设的设备白名单中查找登录所述登录账号的设备指纹;
若查找到所述登录账户的代理IP和/或所述登录账号的设备指纹,则同意所述登录账户登录,并停止撞库检测。
在本实施例中,上述IP白名单是指不需要进行撞库检测的代理IP的清单。上述设备白名单是指不需要进行撞库检测的设备指纹的清单。白名单就是指里面记录的内容是通过审核确定过的,没有问题的信息,所以说,一旦确定登录账号的代理IP或者设备指纹属于预设的白名单,既可以判定登录账户是一个可以信任的账户,不对其进行撞库检测,节约计算资源。在本实施例中,上述IP白名单中的代理IP是工作人员手动输入的IP,也包括自动抓取输入的IP。其中,自动抓取输入的IP是各大高校的代理IP,或者大型企业的代理IP,这些代理IP都是可以信得过的IP,在登录账号尝试登录的时候,服务器会得到其对应的代理IP,然后分析该代理IP归属,比如通过该代理IP为关键词全网络搜索,通过检索结果确定该代理IP的归属,如果归属某大学或大型企业,则将该代理IP加入到上述白名单中。同样的,如果上述设备指纹属于大学或者大型企业的设备指纹时,将其键入到设备白名单中。
在一个实施例中,上述提取登录账户的指定维度特征的步骤S1之前,还包括:
判断所述登录账户是否登录成功;
如果是,则执行所述“提取登录账户的指定维度特征”的步骤,否则停止撞库检测。
也就是说,本实施例中仅对登录成功的账户进行撞库检测,而不会对登录失败的账户进行撞库检测,节约服务器等执行设备的计算资源。
在一个实施例中,上述若检测出所述登录账户的行为结果为撞库行为结果,则执行预设的撞库处理动作的步骤,包括:
判断代表行为结果为撞库行为结果的分类值是否处于预设的第一阈值范围内;
若是,则沿着所述登录账户的登录路径发送给登录所述登录账户的设备终端一个撞库验证界面,其中,所述撞库验证界面上设置有确认和否定两个虚拟按键;
接收所述设备终端的反馈结果,并将所述登录账户的指定维度特征以及所述反馈结果进行关联存储,作为优化样本数据,对所述登录行为分类模型进行优化训练。
在本实施例中,上述分类值是一个数值,当大于或小于某个临界值的时候,其分类结果发生变化,比如,当登录行为分类模型的输出值为0.8,临界值为0.5的时候,可以判定登录账户为撞库账户,通常情况下,分类值与临界值的差值越大,说明分类结果越加的准确。上述的阈值范围是指一个数值范围,一般是临界值的附近值,仍然使用临界值为0.5为例,那么阈值范围可以是0.45-0.55之间。因为分类值在临界值附近,所以分类结果可能会出现错误等情况,本申请为了提高登录行为分类模型的准确性,不断的对登录行为分类模型进行优化训练,而优化训练的样本数据即时通过上述方法获取。上述终端设备在接收到撞库验证界面的时候,根据自己的实际情况点击确认撞库或者否认撞库的虚拟按键,服务器会将反馈结果和对应的登录账户的指定维度特征进行关联,形成优化样本数据。
进一步地,当甄别出高风险账号后,会采取短信下行验证。如果账号没有绑定手机号,会采取实名认证的方式验证,比如人脸验证+身份证验证等。同时保留人工处理渠道。
在一个实施例中,上述接收所述设备终端的反馈结果,并将所述登录账户的指定维度特征以及所述反馈结果进行关联存储,作为优化样本数据,对所述登录行为分类模型进行优化训练的步骤,包括:
将分类值结果属于撞库性行为,但是反馈结果为否定撞库的登录账号对应的指定维度特征按照预设比例存储,其中存储比例小于1;以及,
将分类值结果不属于撞库性行为,但是反馈结果为确定撞库的登录账号对应的指定维度特征全部存储;
将按比例存储的和全部存储的指定维度特征和其关联的反馈结果作为优化样本数据,对所述登录行为分类模型进行优化训练。
在本实施例中,如果是黑产在进行撞库行为,其必然是通过一个设备进行大量的撞库行为,所以其不会进行反馈,或者通过自动化的手段回复为否定撞库,又因为部分分类结果本身就是不属于撞库行为,所以黑产的反馈数据并能采信,但是也有可能是个人用户的非黑产的反馈,所以为了减少这种情况的发生,将分类值结果属于撞库性行为,但是反馈结果为否定撞库的登录账号对应的指定维度特征按照预设比例存储,其中存储比例小于1,一般存储比例为十分之一等较小的存储比例。同样,如果登录账户的登录行为是个人行为,此时收到的结果一般就是否定撞库,但是具体是不是撞库,也不能确定,所以按照一定比例存储。进一步地,如果分类值结果本身就不属于撞库行为,但是反馈结果却是确定撞库,则说明是撞库数据,需要保留,这样的数据主要是研发人员进行数据样本的制造过程而产生的数据,因为在实际过程,很少有人会承认自己的行为是撞库行为。
在一个实施例中,上述若检测出所述登录账户的行为结果为撞库行为结果,则执行预设的撞库处理动作的步骤,包括:
判断代表行为结果为撞库行为结果的分类值是否处于预设的第二阈值范围之外;
若是,则将所述登录账户的指定维度热证和分类结果关联存储,作为优化样本数据,对所述登录行为分类模型进行优化训练。
在本实施例中,上述第二阈值范围是远大于和远小于临界值的两个数值组成的区间范围,以临界值0.5为例,第二阈值范围可能是0.9-0.1,因为分类结果值与临界值差距越大,其结果越准确,所以将这些数据保存下来作为优化样本数据,以提高登录行为分类模型的优化结果。
进一步地,在模型优化过程中分为离线优化和在线优化两个部分,在线优化追求速度,在保障用户资产安全的同时,尽量减少安全验证对于业务的影响,让用户无感知。离线优化追求精准,使用新产生的业务数据和市场上的情报源训练出新模型,适当压缩蒸馏后替换线上模型,保障线上模块的实时性和安全性。
本申请的实施例的撞库检测方法,通过提取登录账户的IP维度的相关特征、设备维度的相关特征、时间维度的相关特征和空间维度的相关特征等多个维度得到特征,然后输入到预先训练的登录行为分类模型中进行检测,可以得到准确的分类结果,实现了账号粒度的撞库检测防护,提升系统主动防御能力,准确地甄别正常用户和恶意攻击者,克服了现有技术中仅仅基于IP或阈值检测方法的局限性,避免当异地登录被绕过后防御能力缺失的缺陷。同时,对不同的客户端(M端和APP端等)有较好识别防护效果,提升了在移动端的防御能力。
参照图2,本申请还提供一种撞库检测装置,包括:
提取单元10,用于提取登录账户的指定维度特征,其中,所述指定维度特征至少包括所述登录账户的IP维度的相关特征、设备维度的相关特征、时间维度的相关特征和空间维度的相关特征;
检测单元20,用于将所述指定维度特征输入到预设的登录行为分类模型中进行检测;其中,所述登录行为分类模型是基于历史的登录账户在登录是对应的所述指定维度特征,以及与各所述历史的登录账户在登录时对应的行为结果通过机器训练而得到的模型,所述行为结果包括撞库行为结果和正常登录行为结果;
执行单元30,用于若检测出所述登录账户的行为结果为撞库行为结果,则执行预设的撞库处理动作。
在一个实施例中,上述撞库检测装置,还包括:
第一查找单元,用于在预设的IP黑名单中查找所述登录账户的代理IP,和/或在预设的设备黑名单中查找登录所述登录账号的设备指纹;
第一停止单元,用于若查找到所述登录账户的代理IP和/或所述登录账号的设备指纹,则拒绝所述登录账户登录,并停止撞库检测。
在一个实施例中,上述撞库检测装置,还包括:
第二查找单元,用于在预设的IP白名单中查找所述登录账户的代理IP,和/或在预设的设备白名单中查找登录所述登录账号的设备指纹;
第二停止单元,用于若查找到所述登录账户的代理IP和/或所述登录账号的设备指纹,则同意所述登录账户登录,并停止撞库检测。
在一个实施例中,上述撞库检测装置,还包括:
判断单元,用于判断所述登录账户是否登录成功;
选择执行单元,用于如果是,则执行所述“提取登录账户的指定维度特征”的步骤,否则停止撞库检测。
在一个实施例中,上述执行单元30,包括:
第一判断模块,用于判断代表行为结果为撞库行为结果的分类值是否处于预设的第一阈值范围内;
发送模块,用于若代表行为结果为撞库行为结果的分类值处于预设的第一阈值范围内,则沿着所述登录账户的登录路径发送给登录所述登录账户的设备终端一个撞库验证界面,其中,所述撞库验证界面上设置有确认和否定两个虚拟按键;
第一存储训练模块,用于接收所述设备终端的反馈结果,并将所述登录账户的指定维度特征以及所述反馈结果进行关联存储,作为优化样本数据,对所述登录行为分类模型进行优化训练。
在一个实施例中,上述第一存储训练模块,包括:
第一存储子模块,用于将分类值结果属于撞库性行为,但是反馈结果为否定撞库的登录账号对应的指定维度特征按照预设比例存储,其中存储比例小于1;以及,
第二存储子模块,用于将分类值结果不属于撞库性行为,但是反馈结果为确定撞库的登录账号对应的指定维度特征全部存储;
训练子模块,用于将按比例存储的和全部存储的指定维度特征和其关联的反馈结果作为优化样本数据,对所述登录行为分类模型进行优化训练。
在一个实施例中,上述执行单元30,包括:
第二判断模块,拥有判断代表行为结果为撞库行为结果的分类值是否处于预设的第二阈值范围之外;
第二存储训练模块,用于若代表行为结果为撞库行为结果的分类值处于预设的第二阈值范围之外,则将所述登录账户的指定维度热证和分类结果关联存储,作为优化样本数据,对所述登录行为分类模型进行优化训练。
上述各单元、模块、子模块等是执行上述撞库检测方法的装置,在此不在一一展开解释。
参照图3,本申请实施例中还提供一种计算机设备,该计算机设备可以是服务器,其内部结构可以如图3所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设计的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储分类模型、训练样本数据等数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现上述任一实施例的撞库检测方法。
本申请实施例还提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述任一实施例的撞库检测方法。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储与一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的和实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可以包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM一多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双速据率SDRAM(SSRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。
以上所述仅为本申请的优选实施例,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。
Claims (10)
1.一种撞库检测方法,其特征在于,包括步骤:
提取登录账户的指定维度特征,其中,所述指定维度特征至少包括所述登录账户的IP维度的相关特征、设备维度的相关特征、时间维度的相关特征和空间维度的相关特征;
将所述指定维度特征输入到预设的登录行为分类模型中进行检测;其中,所述登录行为分类模型是基于历史的登录账户在登录时对应的所述指定维度特征,以及与各所述历史的登录账户在登录时对应的行为结果通过机器训练而得到的模型,所述行为结果包括撞库行为结果和正常登录行为结果;
若检测出所述登录账户的行为结果为撞库行为结果,则执行预设的撞库处理动作。
2.根据权利要求1所述的撞库检测方法,其特征在于,所述将所述指定维度特征输入到预设的登录行为分类模型中进行检测的步骤之前,包括:
在预设的IP黑名单中查找所述登录账户的代理IP,和/或在预设的设备黑名单中查找登录所述登录账号的设备指纹;
若查找到所述登录账户的代理IP和/或所述登录账号的设备指纹,则拒绝所述登录账户登录,并停止撞库检测。
3.根据权利要求1所述的撞库检测方法,其特征在于,所述将所述指定维度特征输入到预设的登录行为分类模型中进行检测的步骤之前,还包括:
在预设的IP白名单中查找所述登录账户的代理IP,和/或在预设的设备白名单中查找登录所述登录账号的设备指纹;
若查找到所述登录账户的代理IP和/或所述登录账号的设备指纹,则同意所述登录账户登录,并停止撞库检测。
4.根据权利要求1所述的撞库检测方法,其特征在于,所述提取登录账户的指定维度特征的步骤之前,还包括:
判断所述登录账户是否登录成功;
如果是,则执行所述“提取登录账户的指定维度特征”的步骤,否则停止撞库检测。
5.根据权利要求1所述的撞库检测方法,其特征在于,所述若检测出所述登录账户的行为结果为撞库行为结果,则执行预设的撞库处理动作的步骤,包括:
判断代表行为结果为撞库行为结果的分类值是否处于预设的第一阈值范围内;
若是,则沿着所述登录账户的登录路径发送给登录所述登录账户的设备终端一个撞库验证界面,其中,所述撞库验证界面上设置有确认和否定两个虚拟按键;
接收所述设备终端的反馈结果,并将所述登录账户的指定维度特征以及所述反馈结果进行关联存储,作为优化样本数据,对所述登录行为分类模型进行优化训练。
6.根据权利要求5所述的撞库检测方法,其特征在于,所述接收所述设备终端的反馈结果,并将所述登录账户的指定维度特征以及所述反馈结果进行关联存储,作为优化样本数据,对所述登录行为分类模型进行优化训练的步骤,包括:
将分类值结果属于撞库性行为,但是反馈结果为否定撞库的登录账号对应的指定维度特征按照预设比例存储,其中存储比例小于1;以及,
将分类值结果不属于撞库性行为,但是反馈结果为确定撞库的登录账号对应的指定维度特征全部存储;
将按比例存储的和全部存储的指定维度特征和其关联的反馈结果作为优化样本数据,对所述登录行为分类模型进行优化训练。
7.根据权利要求1所述的撞库检测方法,其特征在于,所述若检测出所述登录账户的行为结果为撞库行为结果,则执行预设的撞库处理动作的步骤,包括:
判断代表行为结果为撞库行为结果的分类值是否处于预设的第二阈值范围之外;
若是,则将所述登录账户的指定维度热证和分类结果关联存储,作为优化样本数据,对所述登录行为分类模型进行优化训练。
8.一种撞库检测装置,其特征在于,包括:
提取单元,用于提取登录账户的指定维度特征,其中,所述指定维度特征至少包括所述登录账户的IP维度的相关特征、设备维度的相关特征、时间维度的相关特征和空间维度的相关特征;
检测单元,用于将所述指定维度特征输入到预设的登录行为分类模型中进行检测;其中,所述登录行为分类模型是基于历史的登录账户在登录是对应的所述指定维度特征,以及与各所述历史的登录账户在登录时对应的行为结果通过机器训练而得到的模型,所述行为结果包括撞库行为结果和正常登录行为结果;
执行单元,用于若检测出所述登录账户的行为结果为撞库行为结果,则执行预设的撞库处理动作。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010582614.0A CN111723364A (zh) | 2020-06-23 | 2020-06-23 | 撞库检测方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010582614.0A CN111723364A (zh) | 2020-06-23 | 2020-06-23 | 撞库检测方法、装置、计算机设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111723364A true CN111723364A (zh) | 2020-09-29 |
Family
ID=72570051
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010582614.0A Pending CN111723364A (zh) | 2020-06-23 | 2020-06-23 | 撞库检测方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111723364A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113347021A (zh) * | 2021-04-29 | 2021-09-03 | 北京奇艺世纪科技有限公司 | 一种模型生成方法、撞库检测方法、装置、电子设备及计算机可读存储介质 |
| CN115189930A (zh) * | 2022-06-27 | 2022-10-14 | 珠海豹趣科技有限公司 | 一种防止账户爆破的方法、装置和电子设备 |
-
2020
- 2020-06-23 CN CN202010582614.0A patent/CN111723364A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113347021A (zh) * | 2021-04-29 | 2021-09-03 | 北京奇艺世纪科技有限公司 | 一种模型生成方法、撞库检测方法、装置、电子设备及计算机可读存储介质 |
| CN115189930A (zh) * | 2022-06-27 | 2022-10-14 | 珠海豹趣科技有限公司 | 一种防止账户爆破的方法、装置和电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10686829B2 (en) | Identifying changes in use of user credentials | |
| US10721245B2 (en) | Method and device for automatically verifying security event | |
| CN110650142B (zh) | 访问请求处理方法、装置、系统、存储介质和计算机设备 | |
| US20140337973A1 (en) | Social risk management | |
| CN108924118B (zh) | 一种撞库行为检测方法及系统 | |
| CN111083165B (zh) | 基于联合防撞库平台的登录拦截方法和系统 | |
| US12013951B2 (en) | Cross-site scripting (XSS) risk analysis method and apparatus based on bayesian network and stride model | |
| WO2011023664A2 (en) | Threat detection in a data processing system | |
| CN104021467A (zh) | 保护移动终端支付安全的方法和装置以及移动终端 | |
| US9092782B1 (en) | Methods and apparatus for risk evaluation of compromised credentials | |
| CN111865925A (zh) | 基于网络流量的诈骗团伙识别方法、控制器和介质 | |
| Azeez et al. | CyberProtector: identifying compromised URLs in electronic mails with Bayesian classification | |
| CN109547426B (zh) | 业务响应方法及服务器 | |
| CN105763548A (zh) | 基于行为模型对用户登录进行识别的方法、设备和系统 | |
| CN107135212A (zh) | 一种基于行为差异的Web环境下的人机识别装置及方法 | |
| CN108600162B (zh) | 用户认证方法及装置、计算设备及计算机存储介质 | |
| CN110717164A (zh) | 一种智能多维度加权身份认证与风险控制的方法及系统 | |
| CN111723364A (zh) | 撞库检测方法、装置、计算机设备和存储介质 | |
| CN105516211A (zh) | 基于行为模型对访问数据库行为进行识别的方法、设备和系统 | |
| CN112182614A (zh) | 一种动态Web应用防护系统 | |
| CN103152325A (zh) | 防止通过共享方式访问互联网的方法及装置 | |
| CN113965419B (zh) | 一种通过反连判定攻击成功的方法及装置 | |
| Solanki et al. | Website phishing detection using heuristic based approach | |
| CN107888576B (zh) | 一种利用大数据与设备指纹的防撞库安全风险控制方法 | |
| CN112287345B (zh) | 基于智能风险检测的可信边缘计算系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |