CN113497807A - 检测用户登录风险的方法、装置及计算机可读存储介质 - Google Patents
检测用户登录风险的方法、装置及计算机可读存储介质 Download PDFInfo
- Publication number
- CN113497807A CN113497807A CN202110779648.3A CN202110779648A CN113497807A CN 113497807 A CN113497807 A CN 113497807A CN 202110779648 A CN202110779648 A CN 202110779648A CN 113497807 A CN113497807 A CN 113497807A
- Authority
- CN
- China
- Prior art keywords
- user
- data
- login
- risk
- historical
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明实施例提供一种检测用户登录风险的方法、装置及存储介质,方法包括:接收终端发送的用户请求,所述用户请求携带用户登录应用系统时的用户登录数据,所述用户请求用于认证用户的登录信息;获取所述用户登录所述应用系统的历史用户登录数据;若按照预设风险规则确定所述用户登录数据与所述历史用户登录数据的相似度低于预设相似度,则确定所述用户本次登录所述应用系统存在登录风险;从所述用户登录数据中获取存在登录风险的异常数据并输出。本发明实施例能够有效提高风险检测的概率和准确率,以及避免不全面而漏检的情况发生,增加风险检测的客观性和合理性。
Description
技术领域
本申请涉及数据处理技术领域,具体涉及一种检测用户登录风险的方法、装置及计算机可读存储介质。
背景技术
用户登录应用系统时,需要对用户认证登录进行风险检测。,一般是判断用户认证登录时带入的上下文信息中是否存在异常点,如果存在异常点,则提示相应的风险信息;如果不存在,则通过风险判断,并成功登录上应用系统。
具体来说,在用户认证登陆时,通过风险规则对用户上下文信息中的某些参数的值(例如时间、地点、设备等)进行限制,如果用户登录认证时的上下文信息与规定的值不一致,则触发风险预警。
但是,由于风险规则的参数需要人为设置,一方面,缺乏灵活性,很难做到个性化来针对不同的用户,再则如果场景发生变化,规则参数必须重新设置,不便于在不同的场景中进行转换;另一方面,当风险规则的参数设置不合理时,极有可能对某一群体用户造成干扰,这个群体的用户会一直触发风险,产生很多“噪音”,从而降低风险预警系统效果,导致增加在众多风险中发现真正的风险的难度。
发明内容
本申请实施例提供一种检测用户登录风险的方法、装置及存储介质,有效提高风险检测的概率和准确率,以及避免不全面而漏检的情况发生,增加风险检测的客观性和合理性。
第一方面,本申请实施例提供了一种检测用户登录风险的方法,所述方法包括:
接收终端发送的用户请求,所述用户请求携带用户登录应用系统时的用户登录数据,所述用户请求用于认证用户的登录信息;
获取所述用户登录所述应用系统的历史用户登录数据;
若按照预设风险规则确定所述用户登录数据与所述历史用户登录数据的相似度低于预设相似度,则确定所述用户本次登录所述应用系统存在登录风险;
从所述用户登录数据中获取存在登录风险的异常数据并输出。
第二方面,本申请实施例还提供一种用户登录风险检测装置,所述用户登录风险检测装置包括:
输入输出模块,用于接收终端发送的用户请求,所述用户请求携带用户登录应用系统时的用户登录数据,所述用户请求用于认证用户的登录信息;
处理模块,用于获取所述用户登录所述应用系统的历史用户登录数据;若按照预设风险规则确定所述用户登录数据与所述历史用户登录数据的相似度低于预设相似度,则确定所述用户本次登录所述应用系统存在登录风险;
所述处理模块还用于从所述用户登录数据中获取存在登录风险的异常数据并通过所述输入输出模块输出。
第三方面,本申请实施例还提供了一种处理设备,包括处理器和存储器,存储器中存储有计算机程序,处理器调用存储器中的计算机程序时执行本申请实施例提供的任一种检测用户登录风险的方法中的步骤。
第四方面,本申请实施例还提供了一种计算机可读存储介质,计算机可读存储介质存储有多条指令,指令适于处理器进行加载,以执行本申请实施例提供的任一种检测用户登录风险的方法中的步骤。
从以上内容可得出,本申请具有以下的有益效果:
1、以历史用户登录数据为基础衍生出预设风险规则,基于该预设风险规则去判断用户是否存在登录风险,能够增加风险检测的客观性和合理性。
2、预设风险规则分别从用户活跃时间特征的行为检测方式、基于用户活动区域的行为检测方式、基于内网异常网段的行为检测方式、基于异常设备的行为检测方式、或者,基于异常网络地址身份的行为检测方式等方向为不同的场景提供了一套适应能力强、实施成本低的风险检测机制,因此,覆盖面广,能够有效提高风险检测的概率和准确率,以及避免不全面而漏检的情况发生。
附图说明
附图仅用于示出实施方式,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1是本申请中检测用户登录风险的方法的一种流程示意图;
图2是本申请中用户登录风险检测装置的一种结构示意图;
图3是本申请处理设备的一种结构示意图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。
首先,在介绍本申请实施例之前,先介绍下本申请关于应用背景的相关内容。
本申请提供的检测用户登录风险的方法的执行主体可以为本申请提供的装置,或者集成了该违装置的服务器设备、物理主机、车载终端或者用户设备(User Equipment,UE)等处理设备,其中,装置可以采用硬件或者软件的方式实现,UE具体可以为智能手机、平板电脑、笔记本电脑、掌上电脑、台式电脑或者个人数字助理(Personal Digital Assitant,PDA)等终端设备。
下面,开始介绍本申请提供的检测用户登录风险的方法。
参阅图1,图1示出了本申请检测用户登录风险的方法的一种流程示意图,本申请提供的方法,具体可包括如下步骤:
101、接收终端发送的用户请求。
其中,所述用户请求携带用户登录应用系统时的用户登录数据,所述用户请求用于认证用户的登录信息。
102、获取所述用户登录所述应用系统的历史用户登录数据。
其中,历史用户登录数据可基于用户登录认证时采集的登录日志得到,具体来说,在采集到的日志后,对日志进行数解析,得到基础数据。然后从该基础数据中选定部分数据作为用户的常用数据。再基于该常用数据设计对应的预设风险规则,并将该预设风险规则应用到异常检测中。
一些实施方式中,所述预设风险规则可包括以下项中的至少一项:
基于用户活跃时间特征的行为检测方式;
基于用户活动区域的行为检测方式;
基于内网异常网段的行为检测方式;
基于异常设备的行为检测方式;
基于异常网络地址身份的行为检测方式;
或者,基于用户行为特征的行为检测方式。
下面介绍基于历史用户登录数据设计预设风险规则的流程:
1.通过数据采集器对用户认证登录数据进行采集。
2.对数据进行初步ETL(Extract-Transform-Load),接着对可以用来描述用户行为特征的数据维度进行提取,ETL用来描述将数据从来源端经过抽取 (extract)、转换(transform)、加载(load)至目的端的过程,目的是将企业中的分散、零乱、标准不统一的数据整合到一起,为企业的决策提供分析依据。下
表1为对数据进行ETL前后的对比:
表1
3.生成常用信息:
如下表2所示,采用三种方式生成常用信息:
表2
4.根据常用信息来设计风险规则,并在规则中对常用信息有效期与存储个数进行设置,如下表3所示:
表3
5.当用户发起认证登录时,适配相应的风险规则,对比当前用户请求中的时间、地点、部门、操作系统、浏览器、手机型号、活动区域与常用信息是否一致,不一致则触发风险,一致则通过风险判断。
103、若按照预设风险规则确定所述用户登录数据与所述历史用户登录数据的相似度低于预设相似度,则确定所述用户本次登录所述应用系统存在登录风险。
下面分别从采用的预设风险规则来介绍上述确定是否存在登录风险的实施方式:
(1)基于用户活跃时间特征的行为检测
一些实施方式中,可对所述历史用户登录数据的时间维度进行聚合计算,得到所述用户在每个时间单位内的认证登录数据,将各认证登录数据作为所述预设风险规则的基础数据;
例如,可利用Spark对所述历史用户登录数据的时间维度进行聚合计算,得到用户在每个小时区间上的认证登录数据,并将用户在每个小时区间上的认证登录数据作为规则的基础数据。在登录风险检测中生成用户活跃星期数据和活跃小时数据,具体有两种模式:
宽松模式:在生成活跃星期、小时数据的时候不会对基础数据进行排除;
严格模式:在生成活跃星期、小时数据的时候会利用统计学方法对没有达到阈值的基础数据进行排除。
在用户登录认证的时候,首先会比较用户当前星期是否在活跃星期里面,接着会比较用户当前时间是否在活跃小时里面,二者必须同时匹配,如果其中一项不匹配,则会触发风险警告。
在得到基础数据后,即可使用改基础数据去判断是否存在登录风险。具体来说,可采用下述手段确定所述用户本次登录所述应用系统存在登录风险:
从所述用户登录数据中获取所述用户在第一时间单位内的第一活跃数据,以及获取所述用户在第二时间单位内的第二活跃数据;其中,所述第一时间单位为所述第二时间单位的整数倍;
获取所述历史用户登录数据中所述用户在所述第一时间单位内的第一历史活跃数据,以及获取所述用户在所述第二时间单位内的第二历史活跃数据;
若所述第一活跃数据与所述第一历史活跃数据匹配,且所述第二活跃数据与所述第二历史活跃数据匹配,则确定不存在登录风险;
若所述第一活跃数据与所述第一历史活跃数据不匹配,且所述第二活跃数据与所述第二历史活跃数据匹配,则确定存在登录风险;
若所述第一活跃数据与所述第一历史活跃数据匹配,且所述第二活跃数据与所述第二历史活跃数据不匹配,则确定存在登录风险。
(2)基于用户活动区域的行为检测
可先对所述历史用户登录数据中的历史用户定位数据进行计算,得到历史用户活跃区域。
相应的,可采用下述手段确定所述用户本次登录所述应用系统存在登录风险:
从所述用户登录数据中获取所述用户的用户定位数据;
获取历史用户活跃区域,所述历史用户活跃区域根据所述历史用户登录数据中的历史用户定位数据得到;
若确定所述用户定位数据落入所述历史用户活跃区域,则确定存在登录风险。
举例来说,用户在移动端认证登录的时候,会带入GPS经纬度信息。在检测中根据用户认证历史数据中的GPS经纬度数据,利用DBScan算法生成用户活跃区域,并在规则中可以对用户活跃区域的范围进行控制。当前GPS 经纬度不在用户活跃区域中的时候,则会触发风险警告。
(3)基于内网异常网段的行为检测
可采用下述手段确定所述用户本次登录所述应用系统存在登录风险:
从所述用户登录数据中获取所述用户登录所述应用系统的登录地址,以及从所述历史用户登录数据中获取所述用户登录所述应用系统的常用办公点;
根据内网网络地址列表解析所述登录地址,得到所述登录地址映射的办公地点;
若确定所述办公地点未包含在所述常用办公点中,则确定存在登录风险。
例如,根据内网IP规划列表,当用户认证登录时传入的IP解析出内网地址映射办公地点,并与常用信息进行对比,如果不包含在常用信息中,则会触发风险警告。
例如,根据API传入的IP解析出城市,并与常用信息进行对比,如果不包含在常用信息中,则会触发风险警告。
(4)基于异常设备的行为检测
可采用下述手段确定所述用户本次登录所述应用系统存在登录风险:
从所述用户登录数据中获取所述用户登录所述应用系统的设备硬件数据,以及从所述历史用户登录数据中获取所述用户登录所述应用系统的常用设备硬件数据;
若确定所述设备硬件数据未包含在所述常用设备硬件数据中,则确定存在登录风险。
通常用户会在PC或移动端登录应用系统,因此,也会记录到历史用户登录数据中,下面分别举例:
PC端:由于没有唯一标识,则会通过操作系统、浏览器来进行风险检测,用户认证登录过程中会将操作系统、浏览器信息写入到常用信息中,之后,认证登录时会去对比常用信息,如果不包含在常用信息中,则会触发风险警告。
移动端:利用设备指纹来作为设备的唯一标识,认证登录时会去对比常用信息,如果不包含在常用信息中,则会触发风险警告。
(5)基于异常网络地址身份的行为检测
可采用下述手段确定所述用户本次登录所述应用系统存在登录风险:
从所述用户登录数据中获取所述用户登录所述应用系统的网络地址;
根据预设网络地址画像对所述网络地址进行攻击风险分析;
若确定所述网络地址满足预设攻击风险条件,则确定存在登录风险。
例如,用户在认证登录的时传入的IP会通过IP画像对其进行识别,能够有效预防CC攻击、暴破撞库、虚假注册、恶意爬虫、以及营销活动、薅羊毛等恶意风险。
(6)基于用户行为特征的行为检测
另一些实施方式中,还可以基于用户行为的可信评估方式来检测登录风险,具体来说,从所述用户登录数据中获取所述用户的用户行为特征;
将所述用户行为特征与历史用户群体的历史用户行为特征进行匹配;
若匹配到与所述用户行为特征匹配度高于预设匹配度的历史用户行为特征,则确定存在登录风险。
一些实施方式中,先基于对用户行为特征的分析提取,然后结合可插拔式的规则策略技术,宏观层面利用用户群体行为分析,微观层面利用用户个体行为分析。
首先利用个体特征进行规则部署、配置。当个体特征数据积累一段时间后,群体数据量已成规模,则可以通过群体特征进一步的进行风险预警。从而做到二者相互依托,给应用系统带来全方位的保护。
104、从所述用户登录数据中获取存在登录风险的异常数据并输出。
与现有技术相比,本申请实施例中,以历史用户登录数据为基础衍生出预设风险规则,基于该预设风险规则去判断用户是否存在登录风险,能够增加风险检测的客观性和合理性。此外,本申请实施例的预设风险规则分别从用户活跃时间特征的行为检测方式、基于用户活动区域的行为检测方式、基于内网异常网段的行为检测方式、基于异常设备的行为检测方式、或者,基于异常网络地址身份的行为检测方式等方向为不同的场景提供了一套适应能力强、实施成本低的风险检测机制,因此,覆盖面广,能够有效提高风险检测的概率和准确率,以及避免不全面而漏检的情况发生。
为便于更好的实施本申请方法,本申请实施例还提供用户登录风险检测装置20。
请参阅图2,图2为本申请用户登录风险检测装置20的一种结构示意图,其中该用户登录风险检测装置20具体可包括如下结构:
输入输出模块201,用于接收终端发送的用户请求,所述用户请求携带用户登录应用系统时的用户登录数据,所述用户请求用于认证用户的登录信息;
处理模块202,用于获取所述用户登录所述应用系统的历史用户登录数据;若按照预设风险规则确定所述用户登录数据与所述历史用户登录数据的相似度低于预设相似度,则确定所述用户本次登录所述应用系统存在登录风险;
所述处理模块202还用于从所述用户登录数据中获取存在登录风险的异常数据并通过所述输入输出模块201输出。
一种实施例中,所述预设风险规则为基于用户活跃时间特征的行为检测方式;所述处理模块202具体用于:
从所述用户登录数据中获取所述用户在第一时间单位内的第一活跃数据,以及获取所述用户在第二时间单位内的第二活跃数据;其中,所述第一时间单位为所述第二时间单位的整数倍;
获取所述历史用户登录数据中所述用户在所述第一时间单位内的第一历史活跃数据,以及获取所述用户在所述第二时间单位内的第二历史活跃数据;
若所述第一活跃数据与所述第一历史活跃数据不匹配,且所述第二活跃数据与所述第二历史活跃数据匹配,则确定存在登录风险;
若所述第一活跃数据与所述第一历史活跃数据匹配,且所述第二活跃数据与所述第二历史活跃数据不匹配,则确定存在登录风险。
一种实施例中,所述预设风险规则为基于用户活动区域的行为检测方式;所述处理模块202具体用于:
从所述用户登录数据中获取所述用户的用户定位数据;
获取历史用户活跃区域,所述历史用户活跃区域根据所述历史用户登录数据中的历史用户定位数据得到;
若确定所述用户定位数据落入所述历史用户活跃区域,则确定存在登录风险。
一种实施例中,所述预设风险规则为基于内网异常网段的行为检测方式;所述处理模块202具体用于:
从所述用户登录数据中获取所述用户登录所述应用系统的登录地址,以及从所述历史用户登录数据中获取所述用户登录所述应用系统的常用办公点;
根据内网网络地址列表解析所述登录地址,得到所述登录地址映射的办公地点;
若确定所述办公地点未包含在所述常用办公点中,则确定存在登录风险。
一种实施例中,所述预设风险规则为基于异常设备的行为检测方式;所述处理模块202具体用于:
从所述用户登录数据中获取所述用户登录所述应用系统的设备硬件数据,以及从所述历史用户登录数据中获取所述用户登录所述应用系统的常用设备硬件数据;
若确定所述设备硬件数据未包含在所述常用设备硬件数据中,则确定存在登录风险。
一种实施例中,所述预设风险规则为基于异常网络地址身份的行为检测方式;所述处理模块202具体用于:
从所述用户登录数据中获取所述用户登录所述应用系统的网络地址;
根据预设网络地址画像对所述网络地址进行攻击风险分析;
若确定所述网络地址满足预设攻击风险条件,则确定存在登录风险。
一种实施例中,所述预设风险规则为基于用户行为特征的行为检测方式;所述处理模块202具体用于:
从所述用户登录数据中获取所述用户的用户行为特征;
将所述用户行为特征与历史用户群体的历史用户行为特征进行匹配;
若匹配到与所述用户行为特征匹配度高于预设匹配度的历史用户行为特征,则确定存在登录风险。
参阅图3,本申请还提供了处理设备。图3示出了本申请处理设备的一种结构示意图,具体的,本申请提供的处理设备包括处理器,处理器用于执行存储器中存储的计算机程序时实现如图1对应的实施例中的各步骤;或者,处理器用于执行存储器中存储的计算机程序时实现如图3对应实施例中各模块的功能。
示例性的,计算机程序可以被分割成一个或多个模块/单元,一个或者多个模块/单元被存储在存储器中,并由处理器执行,以完成本申请。一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述计算机程序在计算机装置中的执行过程。
处理设备可包括,但不仅限于处理器、存储器。本领域技术人员可以理解,示意仅仅是处理设备的示例,并不构成对处理设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如处理设备还可以包括输入输出设备、网络接入设备、总线等,处理器、存储器、输入输出设备以及网络接入设备等通过总线相连。
处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列 (Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,处理器是处理设备的控制中心,利用各种接口和线路连接整个处理设备的各个部分。
存储器可用于存储计算机程序和/或模块,处理器通过运行或执行存储在存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现计算机装置的各种功能。存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据处理设备的使用所创建的数据(比如音频数据、视频数据等)等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置、处理设备及其相应模块的具体工作过程,可以参考如图1对应的实施例中的说明,具体在此不再赘述。
本领域普通技术人员可以理解,上述实施例的各种方法中的全部或部分步骤可以通过指令来完成,或通过指令控制相关的硬件来完成,该指令可以存储于一计算机可读存储介质中,并由处理器进行加载和执行。
为此,本申请实施例提供一种计算机可读存储介质,其中存储有多条指令,该指令能够被处理器进行加载,以执行本申请如图1对应的实施例中的步骤,具体操作可参考如图1对应的实施例中的步骤的说明,在此不再赘述。
其中,该计算机可读存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,Random Access Memory)、磁盘或光盘等。
由于该计算机可读存储介质中所存储的指令,可以执行本申请如图1对应的实施例中的步骤,因此,可以实现本申请如图1对应的实施例中的步骤所能实现的有益效果,详见前面的说明,在此不再赘述。
以上对本申请提供的一种检测用户登录风险的方法、装置、处理设备及计算机可读存储介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
本发明实施例提供一种检测用户登录风险装置,用于执行上述检测用户登录风险方法。
本发明实施例提供了一种计算机程序,所述计算机程序可被处理器调用使处理设备执行上述任意方法实施例中的检测用户登录风险方法。
本发明实施例提供了一种计算机程序产品,计算机程序产品包括存储在计算机可读存储介质上的计算机程序,计算机程序包括程序指令,当程序指令在计算机上运行时,使得所述计算机执行上述任意方法实施例中的检测用户登录风险方法。
在此提供的算法或显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明实施例也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本发明并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。
本领域技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。上述实施例中的步骤,除有特殊说明外,不应理解为对执行顺序的限定。
Claims (10)
1.一种检测用户登录风险的方法,其特征在于,所述方法包括:
接收终端发送的用户请求,所述用户请求携带用户登录应用系统时的用户登录数据,所述用户请求用于认证用户的登录信息;
获取所述用户登录所述应用系统的历史用户登录数据;
若按照预设风险规则确定所述用户登录数据与所述历史用户登录数据的相似度低于预设相似度,则确定所述用户本次登录所述应用系统存在登录风险;
从所述用户登录数据中获取存在登录风险的异常数据并输出。
2.根据权利要求1所述的方法,其特征在于,所述预设风险规则为基于用户活跃时间特征的行为检测方式;所述若按照预设风险规则确定所述用户登录数据与所述历史用户登录数据的相似度低于预设相似度,则确定所述用户本次登录所述应用系统存在登录风险,包括:
从所述用户登录数据中获取所述用户在第一时间单位内的第一活跃数据,以及获取所述用户在第二时间单位内的第二活跃数据;其中,所述第一时间单位为所述第二时间单位的整数倍;
获取所述历史用户登录数据中所述用户在所述第一时间单位内的第一历史活跃数据,以及获取所述用户在所述第二时间单位内的第二历史活跃数据;
若所述第一活跃数据与所述第一历史活跃数据不匹配,且所述第二活跃数据与所述第二历史活跃数据匹配,则确定存在登录风险;
若所述第一活跃数据与所述第一历史活跃数据匹配,且所述第二活跃数据与所述第二历史活跃数据不匹配,则确定存在登录风险。
3.根据权利要求1所述的方法,其特征在于,所述预设风险规则为基于用户活动区域的行为检测方式;所述若按照预设风险规则确定所述用户登录数据与所述历史用户登录数据的相似度低于预设相似度,则确定所述用户本次登录所述应用系统存在登录风险,包括:
从所述用户登录数据中获取所述用户的用户定位数据;
获取历史用户活跃区域,所述历史用户活跃区域根据所述历史用户登录数据中的历史用户定位数据得到;
若确定所述用户定位数据落入所述历史用户活跃区域,则确定存在登录风险。
4.根据权利要求1所述的方法,其特征在于,所述预设风险规则为基于内网异常网段的行为检测方式;所述若按照预设风险规则确定所述用户登录数据与所述历史用户登录数据的相似度低于预设相似度,则确定所述用户本次登录所述应用系统存在登录风险,包括:
从所述用户登录数据中获取所述用户登录所述应用系统的登录地址,以及从所述历史用户登录数据中获取所述用户登录所述应用系统的常用办公点;
根据内网网络地址列表解析所述登录地址,得到所述登录地址映射的办公地点;
若确定所述办公地点未包含在所述常用办公点中,则确定存在登录风险。
5.根据权利要求1所述的方法,其特征在于,所述预设风险规则为基于异常设备的行为检测方式;所述若按照预设风险规则确定所述用户登录数据与所述历史用户登录数据的相似度低于预设相似度,则确定所述用户本次登录所述应用系统存在登录风险,包括:
从所述用户登录数据中获取所述用户登录所述应用系统的设备硬件数据,以及从所述历史用户登录数据中获取所述用户登录所述应用系统的常用设备硬件数据;
若确定所述设备硬件数据未包含在所述常用设备硬件数据中,则确定存在登录风险。
6.根据权利要求1所述的方法,其特征在于,所述预设风险规则为基于异常网络地址身份的行为检测方式;所述若按照预设风险规则确定所述用户登录数据与所述历史用户登录数据的相似度低于预设相似度,则确定所述用户本次登录所述应用系统存在登录风险,包括:
从所述用户登录数据中获取所述用户登录所述应用系统的网络地址;
根据预设网络地址画像对所述网络地址进行攻击风险分析;
若确定所述网络地址满足预设攻击风险条件,则确定存在登录风险。
7.根据权利要求1所述的方法,其特征在于,所述预设风险规则为基于用户行为特征的行为检测方式;所述若按照预设风险规则确定所述用户登录数据与所述历史用户登录数据的相似度低于预设相似度,则确定所述用户本次登录所述应用系统存在登录风险,包括:
从所述用户登录数据中获取所述用户的用户行为特征;
将所述用户行为特征与历史用户群体的历史用户行为特征进行匹配;
若匹配到与所述用户行为特征匹配度高于预设匹配度的历史用户行为特征,则确定存在登录风险。
8.一种用户登录风险检测装置,其特征在于,所述用户登录风险检测装置包括:
输入输出模块,用于接收终端发送的用户请求,所述用户请求携带用户登录应用系统时的用户登录数据,所述用户请求用于认证用户的登录信息;
处理模块,用于获取所述用户登录所述应用系统的历史用户登录数据;若按照预设风险规则确定所述用户登录数据与所述历史用户登录数据的相似度低于预设相似度,则确定所述用户本次登录所述应用系统存在登录风险;
所述处理模块还用于从所述用户登录数据中获取存在登录风险的异常数据并通过所述输入输出模块输出。
9.一种处理设备,其特征在于,包括处理器和存储器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时执行如权利要求1至7任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有多条指令,所述指令适于处理器进行加载,以执行权利要求1至7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110779648.3A CN113497807A (zh) | 2021-07-09 | 2021-07-09 | 检测用户登录风险的方法、装置及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110779648.3A CN113497807A (zh) | 2021-07-09 | 2021-07-09 | 检测用户登录风险的方法、装置及计算机可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113497807A true CN113497807A (zh) | 2021-10-12 |
Family
ID=77996105
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110779648.3A Pending CN113497807A (zh) | 2021-07-09 | 2021-07-09 | 检测用户登录风险的方法、装置及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113497807A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114510704A (zh) * | 2022-04-20 | 2022-05-17 | 深圳竹云科技股份有限公司 | 风险检测方法、装置、计算设备及计算机存储介质 |
| CN114915439A (zh) * | 2021-10-27 | 2022-08-16 | 杭州拼便宜网络科技有限公司 | 电商平台身份验证的方法、装置、电子设备及存储介质 |
| CN115022014A (zh) * | 2022-05-30 | 2022-09-06 | 平安银行股份有限公司 | 登录风险识别方法、装置、设备及存储介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120304260A1 (en) * | 2011-05-27 | 2012-11-29 | Microsoft Corporation | Protection from unfamiliar login locations |
| CN103532797A (zh) * | 2013-11-06 | 2014-01-22 | 网之易信息技术(北京)有限公司 | 一种用户登录异常监测方法和装置 |
| CN106529288A (zh) * | 2016-11-16 | 2017-03-22 | 智者四海(北京)技术有限公司 | 一种帐号风险识别方法及装置 |
| CN107172104A (zh) * | 2017-07-17 | 2017-09-15 | 顺丰科技有限公司 | 一种登录异常检测方法、系统及设备 |
| CN108768943A (zh) * | 2018-04-26 | 2018-11-06 | 腾讯科技(深圳)有限公司 | 一种检测异常账号的方法、装置及服务器 |
| CN109218170A (zh) * | 2018-10-18 | 2019-01-15 | 杭州安恒信息技术股份有限公司 | 一种基于ip地址的邮件异常登录检测方法及系统 |
| CN109922032A (zh) * | 2017-12-13 | 2019-06-21 | 百度在线网络技术(北京)有限公司 | 用于确定登录账户的风险的方法和装置 |
| CN110300027A (zh) * | 2019-06-29 | 2019-10-01 | 西安交通大学 | 一种异常登录检测方法 |
| CN110889094A (zh) * | 2019-11-18 | 2020-03-17 | 中国银行股份有限公司 | 登录认证方法及装置 |
| CN111552933A (zh) * | 2020-03-30 | 2020-08-18 | 西安交大捷普网络科技有限公司 | 一种账号异常登录的识别方法与装置 |
| CN112417439A (zh) * | 2019-08-21 | 2021-02-26 | 北京达佳互联信息技术有限公司 | 账号检测方法、装置、服务器及存储介质 |
-
2021
- 2021-07-09 CN CN202110779648.3A patent/CN113497807A/zh active Pending
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120304260A1 (en) * | 2011-05-27 | 2012-11-29 | Microsoft Corporation | Protection from unfamiliar login locations |
| CN103532797A (zh) * | 2013-11-06 | 2014-01-22 | 网之易信息技术(北京)有限公司 | 一种用户登录异常监测方法和装置 |
| CN106529288A (zh) * | 2016-11-16 | 2017-03-22 | 智者四海(北京)技术有限公司 | 一种帐号风险识别方法及装置 |
| CN107172104A (zh) * | 2017-07-17 | 2017-09-15 | 顺丰科技有限公司 | 一种登录异常检测方法、系统及设备 |
| CN109922032A (zh) * | 2017-12-13 | 2019-06-21 | 百度在线网络技术(北京)有限公司 | 用于确定登录账户的风险的方法和装置 |
| CN108768943A (zh) * | 2018-04-26 | 2018-11-06 | 腾讯科技(深圳)有限公司 | 一种检测异常账号的方法、装置及服务器 |
| CN109218170A (zh) * | 2018-10-18 | 2019-01-15 | 杭州安恒信息技术股份有限公司 | 一种基于ip地址的邮件异常登录检测方法及系统 |
| CN110300027A (zh) * | 2019-06-29 | 2019-10-01 | 西安交通大学 | 一种异常登录检测方法 |
| CN112417439A (zh) * | 2019-08-21 | 2021-02-26 | 北京达佳互联信息技术有限公司 | 账号检测方法、装置、服务器及存储介质 |
| CN110889094A (zh) * | 2019-11-18 | 2020-03-17 | 中国银行股份有限公司 | 登录认证方法及装置 |
| CN111552933A (zh) * | 2020-03-30 | 2020-08-18 | 西安交大捷普网络科技有限公司 | 一种账号异常登录的识别方法与装置 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114915439A (zh) * | 2021-10-27 | 2022-08-16 | 杭州拼便宜网络科技有限公司 | 电商平台身份验证的方法、装置、电子设备及存储介质 |
| CN114510704A (zh) * | 2022-04-20 | 2022-05-17 | 深圳竹云科技股份有限公司 | 风险检测方法、装置、计算设备及计算机存储介质 |
| CN114510704B (zh) * | 2022-04-20 | 2022-08-16 | 深圳竹云科技股份有限公司 | 风险检测方法、装置、计算设备及计算机存储介质 |
| CN115022014A (zh) * | 2022-05-30 | 2022-09-06 | 平安银行股份有限公司 | 登录风险识别方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2017071551A1 (zh) | 一种防止恶意访问登录/注册接口的行为的方法和装置 | |
| EP3780541B1 (en) | Identity information identification method and device | |
| CN113497807A (zh) | 检测用户登录风险的方法、装置及计算机可读存储介质 | |
| EP3029593B1 (en) | System and method of limiting the operation of trusted applications in the presence of suspicious programs | |
| US9282112B2 (en) | System and method for determining category of trust of applications performing interface overlay | |
| CN107465648B (zh) | 异常设备的识别方法及装置 | |
| US10740411B2 (en) | Determining repeat website users via browser uniqueness tracking | |
| RU2651196C1 (ru) | Способ обнаружения аномальных событий по популярности свертки события | |
| CN108924118B (zh) | 一种撞库行为检测方法及系统 | |
| CN106992981B (zh) | 一种网站后门检测方法、装置和计算设备 | |
| CN104866770B (zh) | 敏感数据扫描方法和系统 | |
| CN111385270A (zh) | 基于waf的网络攻击检测方法及装置 | |
| WO2019148815A1 (en) | Method and apparatus for identity authentication, server and computer readable medium | |
| CN111953665B (zh) | 服务器攻击访问识别方法及系统、计算机设备、存储介质 | |
| Hupperich et al. | Leveraging sensor fingerprinting for mobile device authentication | |
| TWI697860B (zh) | 資訊分享方法、裝置和電子設備 | |
| WO2019187107A1 (ja) | 情報処理装置、制御方法、及びプログラム | |
| RU2673711C1 (ru) | Способ обнаружения аномальных событий на основании набора сверток безопасных событий | |
| CN113794731B (zh) | 识别基于cdn流量伪装攻击的方法、装置、设备和介质 | |
| CN111784355B (zh) | 一种基于边缘计算的交易安全性验证方法及装置 | |
| CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
| US9172719B2 (en) | Intermediate trust state | |
| CN112910905A (zh) | 安全验证方法和装置 | |
| CN111209552A (zh) | 一种基于用户行为的身份认证方法及装置 | |
| CN112580038A (zh) | 反病毒数据的处理方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20211012 |