CN112714093B

CN112714093B - 一种账号异常检测方法、装置、系统及存储介质

Info

Publication number: CN112714093B
Application number: CN201911021964.3A
Authority: CN
Inventors: 李可; 位凯志; 王大伟; 古亮
Original assignee: Sangfor Technologies Co Ltd
Current assignee: Sangfor Technologies Co Ltd
Priority date: 2019-10-25
Filing date: 2019-10-25
Publication date: 2023-05-12
Anticipated expiration: 2039-10-25
Also published as: CN112714093A

Abstract

本发明公开了一种账号异常检测方法、装置、系统及存储介质。其中，该方法包括：基于账号所属的群体的登录信息，确定所述群体对应的群体维度异常识别结果；基于所述账号对应的登录信息，确定所述账号对应的个体维度异常识别结果；基于所述群体维度异常识别结果和所述个体维度异常识别结果确定所述账号是否异常。由于结合了群体维度和个体维度两方面的识别结果进行综合判断，可以提高识别账号异常的准确性，且识别过程中不需要依赖登录设备信息、密码明文等附加信息，具有良好的场景普适性。

Description

一种账号异常检测方法、装置、系统及存储介质

技术领域

本发明涉及网络安全领域，尤其涉及一种账号异常检测方法、装置、系统及存储介质。

背景技术

账号异常登录活动预示着实际操控账号的使用者为非正常用户，往往意味着该账号可能已经失窃或者存在滥用/违规操作问题，将对系统数据或用户资产造成极大危害。比如，数据库管理员账号失窃可能会造成大量敏感数据泄密或丢失；又如，个人用户社交网站账号被盗后可以被黑客用来进行钓鱼攻击、传播不法音视频内容或恶意软件。基于上述事实，快速、准确发现账号异常活动，对个人或者企业都具有非常重要的价值。

发明内容

有鉴于此，本发明实施例提供了一种账号异常检测方法、装置、系统及存储介质，旨在快速、准确识别账号异常活动。

本发明实施例的技术方案是这样实现的：

本发明实施例提供了一种账号异常检测方法，包括：

基于账号所属的群体的登录信息，确定所述群体对应的群体维度异常识别结果；

基于所述账号的登录信息，确定所述账号对应的个体维度异常识别结果；

基于所述群体维度异常识别结果和所述个体维度异常识别结果确定所述账号是否异常。

本发明实施例又提供了一种账号异常检测装置，包括：

第一确定模块，用于基于账号所属的群体的登录信息，确定所述群体对应的群体维度异常识别结果；

第二确定模块，用于基于所述账号的登录信息，确定所述账号对应的个体维度异常识别结果；

异常判定模块，用于基于所述群体维度异常识别结果和所述个体维度异常识别结果确定所述账号是否异常。

本发明实施例还提供了一种账号异常检测系统，包括：处理器和用于存储能够在处理器上运行的计算机程序的存储器，其中，所述处理器，用于运行计算机程序时，执行本发明实施例所述方法的步骤。

本发明实施例又提供了一种存储介质，所述存储介质上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时，实现本发明实施例所述方法的步骤

本发明实施例提供的技术方案，基于账号所属的群体对应的群体维度异常识别结果和所述账号对应的个体维度异常识别结果确定所述账号是否异常。由于结合了群体维度和个体维度两方面的识别结果进行综合判断，可以提高识别账号异常的准确性，且识别过程中不需要依赖登录设备信息、密码明文等附加信息，具有良好的场景普适性。

附图说明

图1为本发明实施例账号异常检测方法的流程示意图；

图2为本发明实施例账号异常检测装置的结构示意图；

图3为本发明应用实施例账号异常检测装置的结构示意图；

图4为本发明实施例账号异常检测系统的结构示意图。

具体实施方式

下面结合附图及实施例对本发明再作进一步详细的描述。

除非另有定义，本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的，不是旨在于限制本发明。

相关技术中，为了识别账号异常，账号异常活动检测方案包括以下两种：

1、基于个人历史记录的统计方法，主要通过从用户个人历史行为角度出发，指定多种相关统计指标，比如是否出现大量登录失败、是否出现境外IP登录等人工特征。这种方法考虑了从用户自身的历史信息中挖掘异常，但未能对比其他用户的操作模式，可能存在检出灵敏但误报较高的风险，而且该方案需要人工设置的参数较多，不便于适配不同的具体场景；

2、基于用户行为序列相似度检测，根据用户时间窗口内的访问或操作行为转化为序列数据对象，比较用户与其他用户之间差异性是否达到阈值，如果超过设定阈值，则认为属于异常。该方法只考虑了用户之间的差异性，没有考虑少量个体账号操作行为的合法性以及个体账号自身登录行为变化的情况，误报和漏报都容易出现。

基于此，在本发明的各种实施例中，基于账号所属群体对应的群体维度异常识别结果和所述账号对应的个体维度异常识别结果确定所述账号是否异常。这里，账号异常包括：账号失陷、账号滥用等。其中，账号失陷是指账号被黑客通过社会工程学或撞库的方法获取了访问权，导致该账号会被用来执行有害操作；账号滥用是指用户违反安全规定，将账号访问方式共享给其他人员，导致出现操作行为偏差或风险操作的情况。本发明实施例由于结合了群体维度和个体维度两方面的识别结果进行综合判断，可以提高识别账号异常的准确性，且识别过程中不需要依赖登录设备信息、密码明文等附加信息，具有良好的场景普适性。

如图1所示，本发明实施例提供了一种账号异常检测方法，包括：

步骤101，基于账号所属的群体的登录信息，确定所述群体对应的群体维度异常识别结果。

步骤102，基于所述账号的登录信息，确定所述账号对应的个体维度异常识别结果。

步骤103，基于所述群体维度异常识别结果和所述个体维度异常识别结果确定所述账号是否异常。

本发明实施例中，基于所述群体维度异常识别结果和所述个体维度异常识别结果确定所述账号对应的异常判定值，若所述异常判定值大于或等于设定值，则确定所述账号异常。

由于结合了群体维度和个体维度两方面的识别结果进行综合判断，本发明实施例账号异常检测方法可以提高识别账号异常的准确性，且识别过程中不需要依赖登录设备信息、密码明文等附加信息，具有良好的场景普适性。

在一实施例中，对用户输入的账号的登录信息进行解析和预处理，转换为内部统一标准，并对转换后的字段内容进行规范化处理，得到与账号登录信息对应的字段信息。在一示例中，所述字段信息包括：登录时间、登录结果(登录成功还是失败)、用户名(即账号的名称)、源IP、登录目标(主机IP或URL(统一资源定位符))。该解析和预处理步骤，还可以对缺省的信息或异常值进行填充，比如，将缺失的用户名填充为‘unknown’；IP地址如果不合法或者缺失统一填充为‘0.0.0.0’。

本发明实施例中，为了确定账号所属的群体，可以基于所述账号对应的预设属性确定所述账号所属的群体，或者基于所述账号对应历史访问记录确定所述账号所属的群体。

在一实施例中，可以基于所述账号对应的预设属性确定所述账号所属的群体。具体地，可以基于用户配置，通过接入第三方日志或用户自行设定来进行账号所属的群体的划分。比如，对于特定企业内部而言，面向主机账户场景，可以导入域控服务器的信息，该域控服务器负责每一台联入网络的电脑和用户的验证工作，根据各账号对应群体分组属性来进行划分；面向内部邮件场景，可以导入员工部门列表，按照各账号对应的部门属性进行群体划分。

在一实施例中，可以基于所述账号对应历史访问记录确定所述账号所属的群体。具体地，基于图计算方法划分，面向用户间历史访问或交互数据，利用图计算方法，比如社区发现算法、网络节点表示算法实现群体的划分。又如针对内部邮件服务器场景，在获取Τ时间段内(T＝{Day_i,i＝1,2,3,....})的用户发件关系记录数据集D(D＝{＜email_sender_i,email_recipients,timestamp＞})的情况下，可以利用Node2Vec算法，计算出每个邮箱账号的关系向量，然后利用常见的聚类算法，比如Birch聚类算法，基于余弦相似度度量，将访问行为相近的用户账号划分到同一类、行为差异较大的划分到不同类，最终得到账号分组结果C＝{C₁,C₂,...C_k},email_user_j∈C_i。

本发明实施例中，所述基于所述账号所属的群体的登录信息，确定所述群体对应的群体维度异常识别结果，包括：

针对所述群体的每个账号，统计设定时长内各账号对应的向量，得到所述群体对应的向量集合；其中，所述向量基于以下至少之一生成：账号的登录成功次数、账号的登录失败次数、账号登录成功对应的不同源IP的数量、账号登录对应的稀有源IP的数量；

对所述向量集合进行归一化处理，对归一化处理后的数据基于聚类算法确定出异常账号集合，所述异常账号集合作为所述群体维度异常识别结果。

在一实施例中，统计时间窗口t_w内各用户的登录成功次数(SL_Count_user)、登录失败次数(FL_Count_user)、登录成功对应的不同源IP数量(SL_UniqueCount_user)、登录对应的稀有源IP的数量(SL_RareCountryNum_user)，将单个账号的登录成功次数、登录失败次数、登录成功对应的不同源IP数量及登录对应的稀有源IP的数量组成该账号对应的四维度的向量v_user。其中，登录成功对应的不同源IP数量为所述时间窗口t_w内该账号对应的成功登录源的IP去重后对应的源IP数量；SL_RareCountryNum_user计算方式如下：统计账号所在分组C_k(即上述的群体)中所有用户登录源IP的国家出现次数情况LCS＝{Count(LoginCountry_j)}，并按从小到大进行排序，判断账号某次登录源IP国家出现次数

(i为某国家)是否小于或等于设定值，比如，设定值为5％，若某次登录源IP国家出现次数小于或等于5％，则SL_RareCountryNum_user加1次，以此类推，遍历完账号所有登录记录，得到最终的SL_RareCountryNum_user。

根据所述群体内各账号对应的向量，构成所述群体对应的向量集合

对该向量集合进行归一化处理，然后输入到聚类算法，比如DBSCAN算法，利用其离群点识别能力，检测出异常用户账号

汇总得到所有群体维度异常识别的异常账号集合

n为用户分组最大编号，所述异常账号集合作为所述群体维度异常识别结果。

本发明实施例中，个体维度异常识别主要针对各账号历史活动情况进行异常检测。所述确定所述账号对应的个体维度异常识别结果，包括以下至少之一：

基于所述账号对应的历史登录次数时间序列确定所述账号对应的第一识别结果；

基于所述账号对应的相邻两次登录源IP的地理位置距离确定所述账号对应的第二识别结果；

基于所述账号是否出现的新IP登录成功的情形确定所述账号对应的第三识别结果；

基于所述账号是否出现异常登录地登录的情形确定所述账号对应的第四识别结果。

账号对应的个体维度异常识别结果可以包括：第一识别结果、第二识别结果、第三识别结果及第四识别结果中的一个或者多个。

在一实施例中，第一识别结果(v_tc)，即时间-登录次数序列异常，记录用户账号u的历史登录次数时间序列，比如对于时间段t₁,t₂,t₃,t₄,.....,t_w-1，分别统计各个时间段内账号u的登录成功次数，得到登录序列

利用序列预测算法，比如分类回归树(CART)算法、差分整合移动平均自回归模型(ARIMA)算法等，预测t_w时刻用户的登录次数

如果预测值与实际t_w时刻登录次数

偏差较大，满足

其中，

为阈值，可以根据异常区分度进行设置，则认为账号u在当前t_w时间段内违反个人历史登录习惯，比如用户突然出现在后半夜登录情况，这时，对第一识别结果赋值。

在一实施例中，第二识别结果(v_d)，即相邻登录地距离异常，统计t_w时间段内用户账号u相邻两次登录源IP地理位置距离是否异常，示例性地，假定相邻两次登录源IP距离为

相邻两次登录间隔时间为

判断方法是相邻两次登录源IP距离比上间隔时间，如果超过阈值λ

阈值λ可以预先设定，则认为账号出现可疑登录，可能存在切换VPN/代理登录操作或者被他人登入，对第二识别结果赋值。

在一实施例中，第三识别结果(v_n)，即出现新IP登录成功，根据用户历史登录记录，比如[t₁,t_w-1]时间段内用户u登录的源IP记录，判断t_w时间内是否出现新的IP登录，若是，则对第三识别结果赋值。

在一实施例中，第四识别结果(v_r)，即出现异常登录地登录，基于用户配置或者用户历史高频登录地记录，识别出用户经常登录地为

如果t_w时间内出现

其中，loc′_u为t_w时间内出现的登录地，则认为用户账号u出现非常驻地登录情况，并对第四识别结果赋值。

在一实施例中，账号对应的个体维度异常识别结果可以为第一识别结果、第二识别结果、第三识别结果及第四识别结果的集合＜v_tc,v_d,v_n,v_r＞。

在一实施例中，将所述群体维度异常识别结果和个体维度异常识别结果经加权求和，得到所述账号对应的异常判定值，其中，所述群体维度异常识别结果、所述个体维度异常识别结果分别具有对应的权重值。

在一实施例中，根据上述v_ca,v_tc,v_d,v_n,v_r的结果，采用如下公式得到异常判定值：

其中，s_i为账号i对应的异常判定值，

为账号i对应的异常识别结果，包括群体维度异常识别结果和个体维度异常识别结果，w_j为异常识别结果对应的权重值，包括群体维度异常识别结果对应的权重值和个体维度异常识别结果对应的权重值，且当个体维度异常识别结果为多个时，多个个体维度异常识别结果分别具有对应的权重值。

对于s_i≥θ的情况，θ为设定值，可以根据异常区分度进行设置，则认为账号i确认出现异常登录，生成账号异常登录告警通知客户，若s_i＜θ，则认为不属于异常事件，不产生告警，仅记录该事件。

在一实施例中，所述方法还包括：基于所述账号对应的标签对所述群体维度异常识别结果、所述个体维度异常识别结果分别对应的权重值进行更新。

在一实施例中，所述基于所述账号对应的标签对所述群体维度异常识别结果、所述个体维度异常识别结果分别对应的权重值进行更新，包括：接收所述账号对应的标签，所述标签用于标识所述账号的历史登录是否异常的结果；基于所述标签、所述群体维度异常识别结果、所述个体维度异常识别结果构成数据集合，根据所述数据集合的基尼系数更新所述群体维度异常识别结果、所述个体维度异常识别结果分别对应的权重值。

具体地，接收上一周期内所述账号对应的标签，所述标签为安全专家对所述上一周期内所述账号是否异常进行标识的结果；

基于所述上一周期内的所述标签、所述群体维度异常识别结果、所述个体维度异常识别结果构成数据集合，根据所述数据集合的基尼系数更新下一周期内所述群体维度异常识别结果、所述个体维度异常识别结果分别对应的权重值。

示例性地，所述标签由安全专家标记反馈，安全专家对所有检测结果集合

进行人工校验，添加标签label_i，其中，label_i＝1代表用户i在t_w时间段内出现异常登录；而labe_il＝0代表用户i的登录为非异常，得到数据集合

接着按照异常检测特征分别计算基尼系数Gini(V_labeled),Gini(V_labeled,v_j)，计算各异常检测特征使得基尼不纯度下降值，然后进行归一化得到各异常检测方法权重，公式为

自适应得到更新的权重值。

需要说明的是，首次计算账号对应的异常判定值时，可以基于人工先验知识对各异常识别结果的权重值进行设置，比如，采用均分的方法，

w_j＝0.2。

本发明实施例账号异常检测方法，基于账号所属的群体的登录信息，确定所述群体对应的群体维度异常识别结果；基于所述账号对应的登录信息，确定所述账号对应的个体维度异常识别结果；结合了群体维度和个体维度两方面的识别结果进行综合判断，可以提高识别账号异常的准确性，且识别过程中不需要依赖登录设备信息、密码明文等附加信息，具有良好的场景普适性。该方案可运用于社交网站、Web邮箱、远程桌面连接等多种相关账号协议场景，可及时发现账号失陷和账号滥用威胁。

且本发明实施例方法，只需要基础通用的审计数据(登录时间、登录结果、用户名、源IP、登录目标)和IP地理信息库数据，不依赖其他附加信息(比如用户登录设备信息)和用户敏感信息(比如密码明文)，具有良好场景普适性(支持远程桌面协议(RDP)、安全外壳协议(SSH)、万维网(Web)应用服务等多种场景)，方案实施难度小。

为了实现本发明实施例的方法，本发明实施例还提供一种账号异常检测装置，如图2所示，该装置包括：

第一确定模块201，用于基于账号所属的群体的登录信息，确定所述群体对应的群体维度异常识别结果；

第二确定模块202，用于基于所述账号的登录信息，确定所述账号对应的个体维度异常识别结果；

异常判定模块203，用于基于所述群体维度异常识别结果和所述个体维度异常识别结果确定所述账号是否异常。

在一些实施例中，第一确定模块201具体用于：

在一些实施例中，第二确定模块202具体用于以下至少之一：

在一些实施例中，异常判定模块203具体用于：基于所述群体维度异常识别结果和所述个体维度异常识别结果确定所述账号对应的异常判定值，若所述异常判定值大于或等于设定值，确定所述账号异常。

在一些实施例中，异常判定模块203具体用于：将所述群体维度异常识别结果和个体维度异常识别结果经加权求和，得到所述账号对应的异常判定值，其中，所述群体维度异常识别结果、所述个体维度异常识别结果分别具有对应的权重值。

在一些实施例中，异常判定模块203还用于：

基于所述账号对应的标签对所述群体维度异常识别结果、所述个体维度异常识别结果分别对应的权重值进行更新。

在一些实施例中，异常判定模块203具体用于：

接收所述账号对应的标签，所述标签用于标识所述账号的历史登录是否异常的结果；

基于所述标签、所述群体维度异常识别结果、所述个体维度异常识别结果构成数据集合，根据所述数据集合的基尼系数更新所述群体维度异常识别结果、所述个体维度异常识别结果分别对应的权重值。

在一些实施例中，第一确定模块201还用于：

基于所述账号对应的预设属性确定所述账号所属的群体；或者，

基于所述账号对应历史访问记录确定所述账号所属的群体。

实际应用时，第一确定模块201、第二确定模块202及异常判定模块203，可以由账号异常检测装置中的处理器来实现。当然，处理器需要运行存储器中的计算机程序来实现它的功能。

需要说明的是：上述实施例提供的账号异常检测装置在进行账号异常检测时，仅以上述各程序模块的划分进行举例说明，实际应用中，可以根据需要而将上述处理分配由不同的程序模块完成，即将装置的内部结构划分成不同的程序模块，以完成以上描述的全部或者部分处理。另外，上述实施例提供的账号异常检测装置与账号异常检测方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

图3示出了本发明应用实施例账号异常检测装置的结构示意图。在该应用实施例中，账号异常检测装置包括：数据预处理模块、用户群体划分模块、群体维度异常识别模块、个人维度异常识别模块及综合判定模块。其中，数据预处理模块、用户群体划分模块及群体维度异常识别模块对应于上述的第一确定模块201，个人维度异常识别模块对应于上述的第二确定模块202，综合判定模块对应于上述的异常判定模块203。

如图3所示，数据预处理模块用于对用户输入的账号登录信息进行解析和预处理，转换为内部统一标准，并对转换后的字段内容进行规划化处理，得到与账号登录信息对应的字段信息。

用户群体划分模块接收数据预处理模块输出的账号登录信息对应的字段信息，对账号登录信息进行群体划分，分组结果用于后续的群体维度异常识别。

群体维度异常识别模块根据账号所属的群体(即分组结果)以及账号登录信息，进行异常账号行为的识别，得到异常账号集合，该异常账号集合作为所述群体维度异常识别结果。将所述群体维度异常识别结果输入到综合判定模块。

个人维度异常识别模块主要针对各个账号历史活动情况进行异常检测，得到账号对应的个体维度异常识别结果，并将个体维度异常识别结果输入到综合判定模块。

综合判定模块基于群体维度异常识别结果和个体维度异常识别结果确定综合判定异常值S，根据S与阈值θ进行比较，判定账号是否异常。综合判定模块还可以根据人工标记结果更新群体维度异常识别结果和个体维度异常识别结果对应的权重值ω。

图3所示各模块的具体实现过程可以参照前述方法实施例，在此不再赘述。

基于上述程序模块的硬件实现，且为了实现本发明实施例的方法，本发明实施例还提供一种账号异常检测系统。图4仅仅示出了该系统的示例性结构而非全部结构，根据需要可以实施图4示出的部分结构或全部结构。

如图4所示，本发明实施例提供的账号异常检测系统400包括：至少一个处理器401、存储器402、用户接口403和至少一个网络接口404。账号异常检测系统400中的各个组件通过总线系统405耦合在一起。可以理解，总线系统405用于实现这些组件之间的连接通信。总线系统405除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图4中将各种总线都标为总线系统405。

其中，用户接口403可以包括显示器、键盘、鼠标、轨迹球、点击轮、按键、按钮、触感板或者触摸屏等。

本发明实施例中的存储器402用于存储各种类型的数据以支持账号异常检测系统的操作。这些数据的示例包括：用于在账号异常检测系统上操作的任何计算机程序。

本发明实施例揭示的账号异常检测方法可以应用于处理器401中，或者由处理器401实现。处理器401可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，账号异常检测方法的各步骤可以通过处理器401中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器401可以是通用处理器、数字信号处理器(DSP，Digital SignalProcessor)，或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器401可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤，可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中，该存储介质位于存储器402，处理器401读取存储器402中的信息，结合其硬件完成本发明实施例提供的账号异常检测方法的步骤。

在示例性实施例中，账号异常检测系统400可以被一个或多个应用专用集成电路(ASIC，Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD，Programmable Logic Device)、复杂可编程逻辑器件(CPLD，Complex Programmable LogicDevice)、FPGA、通用处理器、控制器、微控制器(MCU，Micro Controller Unit)、微处理器(Microprocessor)、或者其他电子元件实现，用于执行前述方法。

可以理解，存储器402可以是易失性存储器或非易失性存储器，也可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(ROM，Read Only Memory)、可编程只读存储器(PROM，Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM，Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM，Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM，ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM，Compact Disc Read-Only Memory)；磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM，Random AccessMemory)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(SRAM，Static Random Access Memory)、同步静态随机存取存储器(SSRAM，Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM，Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM，SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM，Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM，Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM，SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM，Direct Rambus Random Access Memory)。本发明实施例描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

在示例性实施例中，本发明实施例还提供了一种存储介质，即计算机存储介质，具体可以是计算机可读存储介质，例如包括存储计算机程序的存储器402，上述计算机程序可由账号异常检测系统的处理器401执行，以完成本发明实施例方法所述的步骤。计算机可读存储介质可以是ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。

需要说明的是：“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。

另外，本发明实施例所记载的技术方案之间，在不冲突的情况下，可以任意组合。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims

1.一种账号异常检测方法，其特征在于，包括：

基于所述群体维度异常识别结果和所述个体维度异常识别结果确定所述账号是否异常；

所述基于所述群体维度异常识别结果和所述个体维度异常识别结果确定所述账号是否异常，包括：

基于所述群体维度异常识别结果和所述个体维度异常识别结果确定所述账号对应的异常判定值，若所述异常判定值大于或等于设定值，确定所述账号异常。

2.根据权利要求1所述的方法，其特征在于，所述基于账号所属的群体的登录信息，确定所述群体对应的群体维度异常识别结果，包括：

针对所述群体的每个账号的登录信息，统计设定时长内各账号对应的向量，得到所述群体对应的向量集合；其中，所述向量基于以下至少之一生成：账号的登录成功次数、账号的登录失败次数、账号登录成功对应的不同源IP地址的数量、账号登录对应的稀有源IP地址的数量；

3.根据权利要求1所述的方法，其特征在于，所述基于所述账号的登录信息，确定所述账号对应的个体维度异常识别结果，包括以下至少之一：

基于所述账号对应的相邻两次登录源IP地址的地理位置距离确定所述账号对应的第二识别结果；

4.根据权利要求1所述的方法，其特征在于，所述基于所述群体维度异常识别结果和所述个体维度异常识别结果确定所述账号对应的异常判定值，包括：

将所述群体维度异常识别结果和所述个体维度异常识别结果经加权求和，得到所述账号对应的异常判定值，其中，所述群体维度异常识别结果、所述个体维度异常识别结果分别具有对应的权重值。

5.根据权利要求4所述的方法，其特征在于，所述方法还包括：

6.根据权利要求5所述的方法，其特征在于，所述基于所述账号对应的标签对所述群体维度异常识别结果、所述个体维度异常识别结果分别对应的权重值进行更新，包括：

7.根据权利要求1所述的方法，其特征在于，所述方法还包括：

基于所述账号对应历史访问记录确定所述账号所属的群体。

8.一种账号异常检测装置，其特征在于，包括：

异常判定模块，用于基于所述群体维度异常识别结果和所述个体维度异常识别结果确定所述账号是否异常；

所述异常判定模块具体用于：

9.一种账号异常检测系统，其特征在于，包括：处理器和用于存储能够在处理器上运行的计算机程序的存储器，其中，

所述处理器，用于运行计算机程序时，执行权利要求1至7任一项所述方法的步骤。

10.一种存储介质，所述存储介质上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时，实现权利要求1至7任一项所述方法的步骤。