CN113518058B - 异常登录行为检测方法、装置、存储介质和计算机设备 - Google Patents

异常登录行为检测方法、装置、存储介质和计算机设备 Download PDF

Info

Publication number
CN113518058B
CN113518058B CN202010275659.3A CN202010275659A CN113518058B CN 113518058 B CN113518058 B CN 113518058B CN 202010275659 A CN202010275659 A CN 202010275659A CN 113518058 B CN113518058 B CN 113518058B
Authority
CN
China
Prior art keywords
login behavior
login
abnormal
behavior
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010275659.3A
Other languages
English (en)
Other versions
CN113518058A (zh
Inventor
李映壮
王瑶
周政成
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Group Hainan Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Group Hainan Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Group Hainan Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN202010275659.3A priority Critical patent/CN113518058B/zh
Publication of CN113518058A publication Critical patent/CN113518058A/zh
Application granted granted Critical
Publication of CN113518058B publication Critical patent/CN113518058B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/231Hierarchical techniques, i.e. dividing or merging pattern sets so as to obtain a dendrogram

Landscapes

  • Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明实施例提供的一种异常登录行为检测方法、装置、存储介质和计算机设备的技术方案中,从多个日志数据源获取的第一用户登录行为信息中提取出与登录行为相关的第一登录行为特征值,对第一登录行为特征值进行量化处理,生成第一登录行为数据,通过层次聚类算法对第一登录行为数据进行训练,确定出至少一个异常登录行为检测基线,根据至少一个异常登录行为检测基线以及每个异常登录行为检测基线对应的预设的正常登录范围,检测出获取的第二用户登录行为信息是否属于异常登录行为,通过确定不同的异常登录行为检测基线,从而能够适用不同级别系统的异常登录检测,并且能够提高异常登录行为的检测速度,检测精度以及检测效率。

Description

异常登录行为检测方法、装置、存储介质和计算机设备
【技术领域】
本发明涉及网络安全技术领域,具体地涉及一种异常登录行为检测方法、装置、存储介质和计算机设备。
【背景技术】
信息系统攻击已经是当前社会的一种常态,不论是服务器、数据库,还是应用服务,攻击的关键步骤都有非法登陆,如果能在入侵攻击的同时实时检测出异常登录行为,对其权限加以限制甚至禁止操作,则在很大程度上可以减少系统损失。入侵者想要通过账号登录进行进一步的攻击行动,相比较于正常登录而言,可能在账号名、登录时间或者登录IP等维度上是有异常的,因此总体的异常登录行为检测方法就是将实时登录行为和日常登录基线进行比较,根据系统和数据基本进行正常或异常的检测。
在相关技术中的异常登录行为检测通常采用离线检测或者基于特定规则检测,然而这些方案无法实时发现异常登录行为,或者无法多场景应用、无法根据系统重要程度调整分级检测规则且无法自动按照系统的业务规模动态调参,从而造成异常登录行为检测效率低的问题。
【发明内容】
有鉴于此,本发明提供一种异常登录行为检测方法、装置、存储介质和计算机设备,通过层次聚类算法对第一登录行为数据进行训练,确定出至少一个异常登录行为检测基线,通过确定不同的异常登录行为检测基线,从而能够适用不同级别系统的异常登录检测,并且能够提高异常登录行为的检测速度,检测精度以及检测效率。
一方面,本发明实施例提供了一种异常登录行为检测方法,包括:
从多个日志数据源获取第一用户登录行为信息,并从所述第一用户登录行为信息中提取出与登录行为相关的第一登录行为特征值;
对所述第一登录行为特征值进行量化处理,生成第一登录行为数据;
通过层次聚类算法对所述第一登录行为数据进行训练,确定出至少一个异常登录行为检测基线;
根据所述至少一个异常登录行为检测基线以及每个异常登录行为检测基线对应的预设的正常登录范围,检测出获取的第二用户登录行为信息是否属于异常登录行为。
可选地,所述第一登录行为特征值包括用户ID、IP地址以及登录时间;
所述对所述第一登录行为特征值进行量化处理,生成第一登录行为数据,包括:
通过量化分析算法分别对所述用户ID、IP地址以及登录时间进行量化处理,生成第一登录行为数据,所述第一登录行为数据包括量化后的用户ID、IP地址以及登录时间。
可选地,在所述通过层次聚类算法对所述第一登录行为数据进行训练,确定出至少一个异常登录行为检测基线之前,还包括:
获取历史异常IP登录行为,所述历史异常IP登录行为包括异常IP地址;
从所述第一登录行为数据中剔除包括所述异常IP地址的第一登录行为数据。
可选地,所述通过层次聚类算法对所述第一登录行为数据进行训练,确定出至少一个异常登录行为检测基线,包括:
将所述第一登录行为数据作为第一登录行为对象,从多个所述第一登录行为对象中选取出两个第一登录行为对象,其中,所述两个第一登录行为对象之间的距离为最大距离;
将获取的所述两个第一登录行为对象之间的最大距离除以2,得到最大距离半径;
以所述两个第一登录行为对象之间的中点为圆心,所述最大距离半径为半径作圆,生成初始簇,所述初始簇包括全部的第一登录行为对象;
在所述初始簇中,通过层次聚类算法对所述最大距离半径以及多个所述第一登录行为对象进行多次分裂聚类,以生成多个簇,且每一次分裂聚类所生成的多个簇中均包括一个最大的簇,直至满足停止分裂条件时,停止分裂聚类,所述停止分裂条件包括a<b>c,其中,
Figure BDA0002444685500000031
Figure BDA0002444685500000032
Figure BDA0002444685500000033
将满足所述停止分裂条件时所生成的多个簇中的最大簇,确定为最优簇;
将所述最优簇对应的半径确定为最优半径;
根据所述最大距离半径所形成的初始簇以及最优半径所形成的最优簇,生成至少一个异常登录行为检测基线。
可选地,所述在所述初始簇中,通过层次聚类算法对所述最大距离半径以及多个所述第一登录行为对象进行多次分裂聚类,以生成多个簇,且每一次分裂聚类所生成的多个簇中均包括一个最大的簇,包括:
在所述初始簇中,以最大距离半径*x为半径作圆,对多个所述第一登录行为对象进行分裂聚类,以生成多个簇,且每一次分裂聚类所生成的多个簇中均包括一个最大的簇,其中,0<x<1且本次聚类x取值小于上次聚类的x取值。
可选地,所述根据所述最大距离半径所形成的初始簇以及最优半径所形成的最优簇,生成至少一个异常登录行为检测基线,包括:
将所述最大距离半径所形成的初始簇确定为第一敏感异常登录行为检测基线;
将所述最优半径*(1+x)所形成的簇确定为第二敏感异常登录行为检测基线,其中,0<x<1;
将所述最优半径所形成的最优簇确定为第三敏感异常登录行为检测基线;
将所述最优半径*(1-x)所形成的簇确定为第四敏感异常登录行为检测基线,其中,0<x<1。
可选地,所述根据所述至少一个异常登录行为检测基线以及每个异常登录行为检测基线对应的预设的正常登录范围,检测出获取的第二用户登录行为信息是否属于异常登录行为,包括:
从获取的第二用户登录行为信息中提取出与登录行为相关的第二登录行为特征值;
对所述第二登录行为特征值进行量化处理,生成第二登录行为数据;
将所述第二登录行为数据作为第二登录行为对象,并检测所述第二登录行为对象是否位于所述异常登录行为检测基线对应的预设的正常登录范围内;
若检测出所述第二登录行为对象位于所述异常登录行为检测基线对应的预设的正常登录范围内,则将所述第二登录行为对象所对应的第二用户登录行为信息确定为正常登录行为;
若检测出所述第二登录行为对象未位于所述异常登录行为检测基线对应的预设的正常登录范围内,则将所述第二登录行为对象所对应的第二用户登录行为信息确定为异常登录行为。
另一方面,本发明实施例提供了一种异常登录行为检测装置,所述装置包括:
获取模块,用于从多个日志数据源获取第一用户登录行为信息,并从所述第一用户登录行为信息中提取出与登录行为相关的第一登录行为特征值;
生成模块,用于对所述第一登录行为特征值进行量化处理,生成第一登录行为数据;
计算模块,用于通过层次聚类算法对所述第一登录行为数据进行训练,确定出至少一个异常登录行为检测基线;
检测模块,用于根据所述至少一个异常登录行为检测基线以及每个异常登录行为检测基线对应的预设的正常登录范围,检测出获取的第二用户登录行为信息是否属于异常登录行为。
另一方面,本发明实施例提供了一种存储介质,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行上述的异常登录行为检测方法。
另一方面,本发明实施例提供了一种计算机设备,包括存储器和处理器,所述存储器用于存储包括程序指令的信息,所述处理器用于控制程序指令的执行,所述程序指令被处理器加载并执行上述的异常登录行为检测方法的步骤。
本发明实施例提供的技术方案中,从多个日志数据源获取的第一用户登录行为信息中提取出与登录行为相关的第一登录行为特征值,对第一登录行为特征值进行量化处理,生成第一登录行为数据,通过层次聚类算法对第一登录行为数据进行训练,确定出至少一个异常登录行为检测基线,根据至少一个异常登录行为检测基线以及每个异常登录行为检测基线对应的预设的正常登录范围,检测出获取的第二用户登录行为信息是否属于异常登录行为,通过确定不同的异常登录行为检测基线,从而能够适用不同级别系统的异常登录检测,并且能够提高异常登录行为的检测速度,检测精度以及检测效率。
【附图说明】
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。
图1是本发明一实施例所提供的一种异常登录行为检测方法的流程图;
图2是本发明又一实施例所提供的一种异常登录行为检测方法的流程图;
图3是本发明一实施例所提供的一种层次聚类算法中的分裂法的结构示意图;
图4是本发明一实施例所提供的一种异常登录行为检测基线的结构示意图;
图5是本发明一实施例所提供的一种异常登录行为检测装置的结构示意图;
图6是本发明实施例提供的一种计算机设备的示意图。
【具体实施方式】
为了更好的理解本发明的技术方案,下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
应当理解,本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,甲和/或乙,可以表示:单独存在甲,同时存在甲和乙,单独存在乙这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
图1为本发明一实施例提供的一种异常登录行为检测方法的流程图,如图1所示,该方法包括:
步骤101、从多个日志数据源获取第一用户登录行为信息,并从第一用户登录行为信息中提取出与登录行为相关的第一登录行为特征值。
步骤102、对第一登录行为特征值进行量化处理,生成第一登录行为数据。
步骤103、通过层次聚类算法对第一登录行为数据进行训练,确定出至少一个异常登录行为检测基线。
步骤104、根据至少一个异常登录行为检测基线以及每个异常登录行为检测基线对应的预设的正常登录范围,检测出获取的第二用户登录行为信息是否属于异常登录行为。
本发明实施例提供的技术方案中,从多个日志数据源获取的第一用户登录行为信息中提取出与登录行为相关的第一登录行为特征值,对第一登录行为特征值进行量化处理,生成第一登录行为数据,通过层次聚类算法对第一登录行为数据进行训练,确定出至少一个异常登录行为检测基线,根据至少一个异常登录行为检测基线以及每个异常登录行为检测基线对应的预设的正常登录范围,检测出获取的第二用户登录行为信息是否属于异常登录行为,通过确定不同的异常登录行为检测基线,从而能够适用不同级别系统的异常登录检测,并且能够提高异常登录行为的检测速度,检测精度以及检测效率。
图2为本发明又一实施例提供的一种异常登录行为检测方法的流程图,如图2所示,该方法包括:
步骤201、从多个日志数据源获取第一用户登录行为信息,并从第一用户登录行为信息中提取出与登录行为相关的第一登录行为特征值。
本发明实施例中,多个日志数据源可包括Agent日志源、FTP日志源、Syslog日志源以及用户上传的日志文件。除此之外,还可以包括其他的日志数据源,本发明对此不做限定。本发明实施例中,第一用户登录行为信息包括历史用户登录新行为信息。
本发明实施例中,步骤201从多个日志数据源获取第一用户登录行为信息之后,还包括:对第一用户登录行为信息进行数据清洗,得到清洗后的第一用户登录行为信息。
本发明实施例中,通过数据清洗方式,能够剔除获取的第一用户登录行为信息中,冗余的第一用户登录行为信息以及无效的第一用户登录行为信息,并且将从清洗后的第一用户登录行为信息中提取出与登录行为相关的第一登录行为特征值,从而保证了能够从清洗后的第一用户登录行为信息中能够提取出与登录行为相关的第一登录行为特征值。其中,可通过Kafka工具以及Streamsets工具对获取的第一用户登录行为信息进行范式化的数据清理。其中,范式化(Normalization)是数据库设计中的一系列原理和技术,以减少数据库中数据冗余,增进数据的一致性。
本发明实施例中,除了执行上述过程之外,在执行步骤201中的从第一用户登录行为信息中提取出与登录行为相关的第一登录行为特征值之前,还包括:通过分布式文件系统(Hadoop Distributed File System,简称HDFS)对清洗后的第一用户登录行为信息进行数据持久化处理。其中,数据持久化用于指示将内存中的数据模型转换为存储模型。
本发明实施例中,与登录行为相关的第一登录行为特征值可通过用户登录模式确定,例如用户登录模块可包括用户登陆系统时采用的IP地址、采用的用户ID、登陆时间段,即用户在什么时间以什么身份用哪个IP地址进行登陆操作。因此在执行步骤201中的从第一用户登录行为信息中提取出与登录行为相关的第一登录行为特征值,可具体包括:从第一用户登录行为信息中提取出用户ID、IP地址以及登录时间,即第一登录行为特征值包括用户ID、IP地址以及登录时间。
步骤202、对第一登录行为特征值进行量化处理,生成第一登录行为数据。
本发明实施例中,由于第一登录行为特征值包括用户ID、IP地址以及登录时间。因此步骤202可具体包括:通过量化分析算法分别对用户ID、IP地址以及登录时间进行量化处理,生成第一登录行为数据,第一登录行为数据包括量化后的用户ID、IP地址以及登录时间。
本发明实施例中,为了衡量任意两个用户登陆行为之间的差别,需要定义能够实现两个用户登陆行为度量的方法。但是第一登录行为特征值中,包含IP地址、用户ID、登陆时间这三个特征均包含非数值型记录。因此为了能够实现聚类分析,需要通过量化分析算法对第一登录行为特征值进行量化处理,生成第一登录行为数据。其中,量化分析算法用于指示将一些不具体,模糊的因素用具体的数据来表示的算法。
本发明实施例中,通过量化分析算法分别对用户ID、IP地址以及登录时间进行量化处理,生成第一登录行为数据,第一登录行为数据包括量化后的用户ID、IP地址以及登录时间,可具体包括以下步骤:
步骤2021、通过量化分析算法对用户ID进行量化处理,生成量化后的用户ID。
本发明实施例中,由于正常情况下服务器的用户数量均为有限个数。因此根据用户ID的数量规模,用二进制数值表示每个用户的用户ID,其中,二进制数值可包括00000001、00000010或者00000100等,即每个用户ID均能够单独用二进制数值区别开。也就是说,量化后的用户ID包括一个二进制数值,且每个量化后的用户ID均不相同,例如,用户A的用户ID为00000001,用户B的用户ID为00000010。本发明实施例中,通过用二进制数值表示非数值型特征的用户ID,从而可通过增加或删除二进制数值实现对用户数量的增加或删除。
步骤2022、通过量化分析算法对IP地址进行量化处理,生成量化后的IP地址。
本发明实施例中,IP地址是用户登陆系统时的身份标识,通常情况下,同一用户ID在不同的IP地址的登陆通常被认定为异常登录行为。而在另一种情况中,动态主机配置协议(Dynamic Host Configuration Protocol,简称DHCP)采用的IP地址包括动态IP地址,为了避免同一用户ID使用动态IP地址被误判定为异常登录的行为,可通过将用户所处的IP网段确定为用户的IP地址,将用户所处的IP网段确定为用户的IP地址对应的值。例如,某单位共有16个部门,每个部门具有一个C段地址,每个C段地址分别可以用0001、0010等数值型数据表示。例如A部门的C段地址为0001、B部分的C段地址为0010,因此当用户所在的部门为A部门,且A部门使用的网段为:10.65.1.0/24,因此将10.65.1.0/24作为该用户的ip地址,将0001作为该用户的IP地址对应的值,也就是说,量化后的IP地址包括0001。
步骤2023、通过量化分析算法对登录时间进行量化处理,生成量化后的登录时间。
本发明实施例中,对于用户的登陆时间,可采用化简为整的方式确定出用户的登陆时间。具体地,将登录时间按照24小时进行划分,可分为24个小时段。例如,某个用户在21:30分产生了登录行为,则确定出用户的登陆时间为21点,即将用户的登录时间按照取整时段划分为小时。
本发明实施例中,在步骤202之后,还包括:
步骤202a、获取历史异常IP登录行为,历史异常IP登录行为包括异常IP地址。
本发明实施例中,例如,在获取的历史异常IP登录行为中,IP地址:192.168.1.1不是当前系统分配的IP地址,因此将该IP确定为异常IP地址。其中,异常IP登录行为可通过异常登录行为检测方法获取,例如,通过离线检测方式获取历史异常登录行为。除此之外还可以包括其他获取方式,本发明对历史异常登录行为的获取方式不做限定。
步骤202b、从第一登录行为数据中剔除包括异常IP地址的第一登录行为数据。
本发明实施例中,通过执行步骤202b,能够实现对第一登录行为数据的初步筛选,以便后续步骤对用户的第一登录行为数据进行聚类分析,以实现异常操作行为的挖掘,从而避免了对包括历史已知的异常IP地址的第一登录行为数据进行异常登录行为检测,造成检测资源浪费,检测效率降低的问题,因此通过本发明实施例提供的方案能够提高检测速度以及检测效率。
步骤203、将第一登录行为数据作为第一登录行为对象,从多个第一登录行为对象中选取出两个第一登录行为对象,其中,两个第一登录行为对象之间的距离为最大距离。
本发明实施例中,将第一登录行为数据作为第一登录行为对象,即第一登录行为对象可包括量化后的用户ID、IP地址以及登录时间。
本发明实施例中,可通过表达式p(User,IP,Hour)表示第一登录行为对象,其中,p表示为第一登录行为对象,User表示为量化后的用户ID,IP表示为量化后的IP地址,Hour表示为量化后的登录时间。通过设置表达式的目的是在于通过向量化的表达式表示第一登录行为对象,以便于能够将第一登录行为对象代入欧几里得距离函数进行计算。具体地,步骤203的具体执行过程,可包括:通过欧几里得距离函数
Figure BDA0002444685500000111
计算从多个第一登录行为对象中选取出任意两个第一登录行为对象之间的距离,其中,x1表示为任意两个第一登录行为对象中的一个第一登录行为对象的位置,xn表示为任意两个第一登录行为对象中的另一个第一登录行为对象的位置,n表示为计算次数的最大次数限制;从计算出的多个任意两个第一登录行为对象之间的距离中,选取出最大距离对应的两个第一登录行为对象。
本发明实施例中,从全部的第一登录行为数据中选取出两个第一登录行为对象,且这两个第一登录行为对象之间的距离为最大距离,以便于后续步骤能够根据该两个第一登录行为对象之间的最大距离确定出初始簇的半径,进而确定出初始簇,其中,该初始簇可包含全部的第一登录行为对象,也就是说,初始簇包括一个包含全部的第一登录行为对象的最大簇。
步骤204、将获取的两个第一登录行为对象之间的最大距离除以2,得到最大距离半径。
本发明实施例中,根据步骤203选取出两个第一登录行为对象,且两个第一登录行为对象之间的距离为最大距离,从而可根据该两个第一登录行为对象之间的最大距离确定出最大距离半径。当选取出最大距离对应的两个第一登录行为对象之后,通过执行步骤204,将获取的两个第一登录行为对象之间的最大距离除以2,得到最大距离半径。
本发明实施例中,在一种可选方案中,可将步骤203-步骤204的执行过程转化为通过公式:
Figure BDA0002444685500000112
计算出最大距离半径,其中,thresholdmax表示为最大距离半径,x1与xn表示为任意两个第一登录行为对象的位置,K表示为多个第一登录行为对象,n表示为计算次数的最大次数限制。
步骤205、以两个第一登录行为对象之间的中点为圆心,最大距离半径为半径作圆,生成初始簇,初始簇包括全部的第一登录行为对象。
本发明实施例中,层次聚类算法是递归地对数据对象进行合并或者分裂,直到满足某种迭代终止条件,例如最终类簇的个数为m或者簇与簇之间的距离不大于μ。根据层次的分解方式,层次聚类算法具体又可以分为合并发和分裂法两种方案,本发明实施例采用的是层次聚类算法中的分裂法,如图3所示,该分裂法是将所有对象置于同一个簇中,逐渐细分为越来越小的簇,直到每个对象自成一簇,或者达到了某个终止条件。因此根据分裂法的定义,通过执行步骤205,以最大距离半径作圆所生成的初始簇,能够包含全部的第一登录行为对象,即将全部的第一登录行为对象置于同一个簇,以实现后续步骤对初始簇进行分裂,以生成多个簇。
步骤206、在初始簇中,通过层次聚类算法对最大距离半径以及多个第一登录行为对象进行多次分裂聚类,以生成多个簇,且每一次分裂聚类所生成的多个簇中均包括一个最大的簇,直至满足停止分裂条件时,停止分裂聚类,停止分裂条件包括a<b>c,其中,
Figure BDA0002444685500000121
Figure BDA0002444685500000122
本发明实施例中,参数b中的预设的最大簇中第一登录行为对象的个数,可根据需求自行设定。例如,预设的最大簇中第一登录行为对象的个数为95个,全部的第一登录行为对象为100时,b=95%。本发明实施例中,第一登录行为对象可包括正常登录行为对象和异常登录行为对象,在步骤206中,将多个第一登录行为对象进行多次分裂聚类后,生成多个簇,且每一次分裂聚类所生成的多个簇中均包括一个最大的簇,从而可以判定出远离最大的簇的独立对象为异常登录行为对象,因此通过执行步骤206,能够快速定位正常登录行为对象和异常登录行为对象。
本发明实施例中,步骤206可具体包括:
步骤2061、在初始簇中,以最大距离半径*x为半径作圆,对多个第一登录行为对象进行分裂聚类,以生成多个簇,且每一次分裂聚类所生成的多个簇中均包括一个最大的簇,其中,0<x<1且本次聚类x取值小于上次聚类的x取值。
本发明实施例中,需要说明的是,位于同一簇内的第一登录行为对象具有类似访问行为。例如,同一簇内的第一登录行为对象使用临近的IP地址,相似的登录时间以及相同的用户ID登陆进入系统。而位于不同簇内的第一登录行为对象的访问行为存在较大的差别,例如,不同簇内的第一登录行为对象不在同一个C段IP地址,采用不同的用户ID在不同的登录时间登陆进入系统。因此,通过对初始簇进行分裂聚类,以生成多个簇,从而能够快速定位正常登录行为对象和异常登录行为对象。
步骤2062、当满足停止分裂条件时,停止分裂聚类,停止分裂条件包括a<b>c,其中,
Figure BDA0002444685500000131
Figure BDA0002444685500000132
本发明实施例中,通过层次聚类算法,能够实现无监督算法训练第一登录行为对象,通过获取多个日志数据源的第一用户登录行为信息,能够适应海量数据,从而能够提高检测的精度。具体地,通过使用层次聚类算法,通过对获取的第一用户登录行为信息进行特征提取,挖掘与登录行为相关的登录行为特征值,实现了对于用户登录行为数据的即时分类,并可提示异常登陆状况,解决了传统异常登陆行为检测方法检测类型单一、无法自适应调整停止分裂条件中参数等缺陷。
本发明实施例中,在步骤206之后,还包括:剔除噪音点,噪音点包括在生成多个簇的过程中远离最大的簇的独立点。
本发明实施例中,由于远离最大的簇的噪音点通常为异常登录行为对象,因此将该噪音点剔除,以便于后续步骤生成准确的异常登录行为检测基线。
步骤207、将满足停止分裂条件时所生成的多个簇中的最大簇,确定为最优簇。
步骤208、将最优簇对应的半径确定为最优半径。
步骤209、根据所述最大距离半径所形成的初始簇以及最优半径所形成的最优簇,生成至少一个异常登录行为检测基线。
本发明实施例中,至少一个异常登录行为检测基线可包括4个不同敏感程度的异常登录行为检测基线,具体地,通过以下步骤2091-步骤2094对4个不同敏感程度的异常登录行为检测基线进行说明。此外需要说明的是,对于确定异常登录行为检测基线的数量不做限定,可根据系统的级别以及需求自行设定,也就是说,除了以下4个不同敏感程度的异常登录行为检测基线之外,还可以确定出更多数量个不同敏感程度的异常登录行为检测基线,可根据需求设定。
本发明实施例中,步骤209可具体包括:
步骤2091、将最大距离半径所形成的初始簇确定为第一敏感异常登录行为检测基线。
本发明实施例中,初始簇包含全部的第一登录行为对象,因此初始簇所确定的第一敏感异常登录行为检测基线包括不敏感基线。也就是说,由于初始簇包含了全部的第一登录行为对象,而全部的第一登录行为对象包括正常登录行为对象和异常登录行为对象,因此初始簇所确定的第一敏感异常登录行为检测基线不能精确的确定出异常登录行为对象。该方案能够适用于数据量较小的系统。
步骤2092、将最优半径*(1+x)所形成的簇确定为第二敏感异常登录行为检测基线,其中,0<x<1。
本发明实施例中,最优半径*(1+x)所形成的簇小于初始簇且大于最优半径所形成的最优簇。该方案在步骤2091对应方案的基础上,能够较为精确的确定出异常登录行为对象,能够适用于数据量一般的系统。
步骤2093、将最优半径所形成的最优簇确定为第三敏感异常登录行为检测基线。
本发明实施例中,最优簇包含大多数的正常登录行为对象,因此最优簇所确定的第三敏感异常登录行为检测基线包括敏感基线。也就是说,由于最优簇包含了大多数的正常登录行为对象,因此最优簇所确定的第三敏感异常登录行为检测基线较为精确的确定出异常登录行为对象。该方案能够适用于大部分的系统。
步骤2094、将最优半径*(1-x)所形成簇确定为第四敏感异常登录行为检测基线,其中,0<x<1。
本发明实施例中,最优半径*(1-x)所形成簇中只包含正常登录行为对象,由于最优半径*(1-x)所形成簇范围更小,存在将正常登录行为对象也确定为异常登录行为的情况。因此最优半径*(1-x)所形成簇所确定的第四敏感异常登录行为检测基线包括极敏感基线。也就是说,由于最优半径*(1-x)所形成簇包含了只包含正常登录行为对象,因此最优半径*(1-x)所确定的第四敏感异常登录行为检测基线更为精确的确定出异常登录行为对象。该方案能够适用于对检测精度要求较高的系统。
本发明实施例中,通过上述步骤2091-步骤2094,通过确定出4个不同敏感程度的异常登录行为检测基线,由于每个异常登录行为检测基线的敏感程度不同,因此相当于对异常登录行为检测基线增加分级机制,从而能够增加检测调整空间同时,针对不同的业务系统承载的服务以及数据级别,通过层次聚类算法调整停止分裂条件,对不同级别系统的登录行为对象使用不同敏感程度的异常登录行为检测基线,从而实现了使用一套方案对不同级别系统的异常登录行为的实时检测,有效提高了检测效率,降低了成本。
步骤210、根据至少一个异常登录行为检测基线以及每个异常登录行为检测基线对应的预设的正常登录范围,检测出获取的第二用户登录行为信息是否属于异常登录行为。
本发明实施例中,第二用户登录行为信息可包括离线用户登录行为信息或者实时用户登录行为信息。在实现离线检测用户异常登录行为的同时,还实时在线检测实时异常登录行为,提高了该异常行为检测方法的适用性,满足检测需求。
本发明实施例中,步骤210可具体包括:
步骤2101、从获取的第二用户登录行为信息中提取出与登录行为相关的第二登录行为特征值。
本发明实施例中,通过获取第二用户登录行为信息提取出第二登录行为特征值,以实现对第二用户登录行为信息息的异常登录行为检测,步骤2101的具体执行过程可参见步骤201。
步骤2102、通过量化分析算法对第二登录行为特征值进行量化处理,生成第二登录行为数据。
本发明实施例中,通过获取的第二用户登录行为信息的量化处理,以实现对第二用户登录行为信息的异常登录行为检测,步骤2102的具体执行过程可参见步骤202。
本发明实施例中,在步骤2103之前,还包括:获取历史异常IP登录行为,历史异常IP登录行为包括异常IP地址;从第二登录行为数据中剔除包括异常IP地址的第二登录行为数据。该步骤的执行过程,具体可参见上述步骤202a-步骤202b。
步骤2103、将第二登录行为数据作为第二登录行为对象,并检测第二登录行为对象是否位于异常登录行为检测基线对应的预设的正常登录范围内,若是,执行步骤2104;若否,执行步骤2105。
本发明实施例中,预设的正常登录范围可根据异常登录行为检测基线自行设定,例如,如图4所示,圆线L表示为异常登录行为检测基线,圆S表示为预设的正常登录范围。若检测出第二登录行为对象位于异常登录行为检测基线对应的预设的正常登录范围内,表明该第二登录行为对象所对应的第二用户登录行为信息为正常登录行为;若检测出第二登录行为对象未位于异常登录行为检测基线对应的预设的正常登录范围内,表明该第二登录行为对象所对应的第二用户登录行为信息为异常登录行为。设置预设的正常登录范围的目的在于,避免了处于异常登录行为检测基线之外且位于异常登录行为检测基线边缘附近的第二登录行为对象被误作为异常登录行为的问题,从而进一步提高了异常登录行为的检测精度。
步骤2104、将第二登录行为对象所对应的第二用户登录行为信息确定为正常登录行为。
步骤2105、将第二登录行为对象所对应的第二用户登录行为信息确定为异常登录行为。
本发明实施例中,通过采用上述的异常登录行为检测的方法,相对于相关技术而言,本发明有效解决了面向大规模集群下海量登陆日志的异常登陆行为检测问题,通过对获取的第一用户登录行为信息进行特征提取,结合层次聚类算法,挖掘与登录行为相关的第一登录行为特征值,实现了对于用户第一登录行为数据的即时分类,并可提示异常登陆状况,解决了相关技术中异常登陆行为检测方法检测类型单一、无法自适应调整停止分裂条件中参数等缺陷,解决了面向大规模集群下海量用户登录行为信息的异常登陆行为实时检测问题。
本发明实施例中,可选地,该方法还包括:对满足停止分裂条件时所生成的多个簇依次进行异常登录行为验证。
本发明实施例中,具体地,针对满足停止分裂条件时所生成的多个簇中的最大簇,可根据上述步骤,根据所述最大距离半径所形成的初始簇以及最优半径所形成的最优簇,生成至少一个异常登录行为检测基线,从而进行异常登录行为的验证。而针对满足停止分裂条件时所生成的多个簇中的其他簇,其中,其他簇可包括第一登录行为对象的数量仅次于最大簇的簇,以及远离最大簇的独立点,若其他簇包括独立点时,执行上述步骤中的剔除噪音点,噪音点包括在生成多个簇的过程中远离最大的簇的独立点;若其他簇中包括第一登录行为对象的数量仅次于最大簇的簇,分别根据该其他簇生成对应的异常登录行为检测基线,并进行异常登录行为的验证,避免了直接剔除第一登录行为对象的数量仅次于最大的簇的簇,导致误判异常登录行为的问题,从而使得本系统能够适用不同级别系统的异常登录检测,从而提高了异常登录行为的检测速度,检测精度以及检测效率。
本发明实施例提供的技术方案中,从多个日志数据源获取的第一用户登录行为信息中提取出与登录行为相关的第一登录行为特征值,对第一登录行为特征值进行量化处理,生成第一登录行为数据,通过层次聚类算法对第一登录行为数据进行训练,确定出至少一个异常登录行为检测基线,根据至少一个异常登录行为检测基线以及每个异常登录行为检测基线对应的预设的正常登录范围,检测出获取的第二用户登录行为信息是否属于异常登录行为,通过确定不同的异常登录行为检测基线,从而能够适用不同级别系统的异常登录检测,并且能够提高异常登录行为的检测速度,检测精度以及检测效率。
图5是本发明一实施例所提供的一种异常登录行为检测装置的结构示意图,如图5所示,该装置包括:获取模块11、生成模块12、计算模块13以及检测模块14。
获取模块11用于从多个日志数据源获取第一用户登录行为信息,并从所述第一用户登录行为信息中提取出与登录行为相关的第一登录行为特征值。
生成模块12用于对所述第一登录行为特征值进行量化处理,生成第一登录行为数据。
计算模块13用于通过层次聚类算法对所述第一登录行为数据进行训练,确定出至少一个异常登录行为检测基线。
检测模块14用于根据所述至少一个异常登录行为检测基线以及每个异常登录行为检测基线对应的预设的正常登录范围,检测出获取的第二用户登录行为信息是否属于异常登录行为。
本发明实施例中,所述第一登录行为特征值包括用户ID、IP地址以及登录时间;
该装置生成模块12具体包括:通过量化分析算法分别对所述用户ID、IP地址以及登录时间进行量化处理,生成第一登录行为数据,所述第一登录行为数据包括量化后的用户ID、IP地址以及登录时间。
本发明实施例中,该装置还包括:剔除模块15。
所述获取模块11还用于获取历史异常IP登录行为,所述历史异常IP登录行为包括异常IP地址。
剔除模块15用于从所述第一登录行为数据中剔除包括所述异常IP地址的第一登录行为数据。
本发明实施例中,该装置的计算模块13具体包括:选取模块131、计算子模块132、生成子模块133、聚类子模块134、确定子模块135、
选取模块131用于将所述第一登录行为数据作为第一登录行为对象,从多个所述第一登录行为对象中选取出两个第一登录行为对象,其中,所述两个第一登录行为对象之间的距离为最大距离。
计算子模块132用于将获取的所述两个第一登录行为对象之间的最大距离除以2,得到最大距离半径。
生成子模块133用于以所述两个第一登录行为对象之间的中点为圆心,所述最大距离半径为半径作圆,生成初始簇,所述初始簇包括全部的第一登录行为对象。
聚类子模块134用于在所述初始簇中,通过层次聚类算法对所述最大距离半径以及多个所述第一登录行为对象进行多次分裂聚类,以生成多个簇,且每一次分裂聚类所生成的多个簇中均包括一个最大的簇,直至满足停止分裂条件时,停止分裂聚类,所述停止分裂条件包括a<b>c,其中,
Figure BDA0002444685500000191
Figure BDA0002444685500000192
确定子模块135用于将满足所述停止分裂条件时所生成的多个簇中的最大簇,确定为最优簇;将所述最优簇对应的半径确定为最优半径。
所述生成子模块133还用于根据所述最大距离半径所形成的初始簇以及最优半径所形成的最优簇,生成至少一个异常登录行为检测基线。
本发明实施例中,该装置的聚类子模块134具体包括:在所述初始簇中,以最大距离半径*x为半径作圆,对多个所述第一登录行为对象进行分裂聚类,以生成多个簇,且每一次分裂聚类所生成的多个簇中均包括一个最大的簇,其中,0<x<1且本次聚类x取值小于上次聚类的x取值。
本发明实施例中,该装置的生成子模块134具体包括:将所述最大距离半径所形成的初始簇确定为第一敏感异常登录行为检测基线;将所述最优半径*(1+x)所形成的簇确定为第二敏感异常登录行为检测基线,其中,0<x<1;将所述最优半径所形成的最优簇确定为第三敏感异常登录行为检测基线;将所述最优半径*(1-x)所形成的簇确定为第四敏感异常登录行为检测基线,其中,0<x<1。
本发明实施例中,该装置的检测模块14具体包括:提取子模块141、生成子模块142、检测子模块143、确定子模块144。
提取子模块141用于从获取的第二用户登录行为信息中提取出与登录行为相关的第二登录行为特征值。
生成子模块142用于对所述第二登录行为特征值进行量化处理,生成第二登录行为数据。
检测子模块143用于将所述第二登录行为数据作为第二登录行为对象,并检测所述第二登录行为对象是否位于所述异常登录行为检测基线对应的预设的正常登录范围内。
确定子模块144用于若检测子模块143检测出所述第二登录行为对象位于所述异常登录行为检测基线对应的预设的正常登录范围内,则将所述第二登录行为对象所对应的第二用户登录行为信息确定为正常登录行为;若检测子模块143检测出所述第二登录行为对象未位于所述异常登录行为检测基线对应的预设的正常登录范围内,则将所述第二登录行为对象所对应的第二用户登录行为信息确定为异常登录行为。
本发明实施例提供的技术方案中,从多个日志数据源获取的第一用户登录行为信息中提取出与登录行为相关的第一登录行为特征值,对第一登录行为特征值进行量化处理,生成第一登录行为数据,通过层次聚类算法对第一登录行为数据进行训练,确定出至少一个异常登录行为检测基线,根据至少一个异常登录行为检测基线以及每个异常登录行为检测基线对应的预设的正常登录范围,检测出获取的第二用户登录行为信息是否属于异常登录行为,通过确定不同的异常登录行为检测基线,从而能够适用不同级别系统的异常登录检测,并且能够提高异常登录行为的检测速度,检测精度以及检测效率。
本发明实施例提供了一种存储介质,存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行上述异常登录行为检测方法的实施例的各步骤,具体描述可参见上述异常登录行为检测方法的实施例。
本发明实施例提供了一种计算机设备,包括存储器和处理器,存储器用于存储包括程序指令的信息,处理器用于控制程序指令的执行,程序指令被处理器加载并执行时实现上述异常登录行为检测方法的步骤。具体描述可参见上述异常登录行为检测方法的实施例。
图6为本发明实施例提供的一种计算机设备的示意图。如图6所示,该实施例的计算机设备4包括:处理器41、存储器42以及存储在存储42中并可在处理器41上运行的计算机程序43,该计算机程序43被处理器41执行时实现实施例中的应用于异常登录行为检测方法,为避免重复,此处不一一赘述。或者,该计算机程序被处理器41执行时实现实施例中应用于异常登录行为检测装置中各模型/单元的功能,为避免重复,此处不一一赘述。
计算机设备4包括,但不仅限于,处理器41、存储器42。本领域技术人员可以理解,图6仅仅是计算机设备4的示例,并不构成对计算机设备4的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如计算机设备4还可以包括输入输出设备、网络接入设备、总线等。
所称处理器41可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器42可以是计算机设备4的内部存储单元,例如计算机设备4的硬盘或内存。存储器42也可以是计算机设备4的外部存储设备,例如计算机设备4上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(FlashCard)等。进一步地,存储器42还可以既包括计算机设备4的内部存储单元也包括外部存储设备。存储器42用于存储计算机程序以及计算机设备4所需的其他程序和数据。存储器42还可以用于暂时地存储已经输出或者将要输出的数据。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机装置(可以是个人计算机,服务器,或者网络装置等)或处理器(Processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。

Claims (9)

1.一种异常登录行为检测方法,其特征在于,包括:
从多个日志数据源获取第一用户登录行为信息,并从所述第一用户登录行为信息中提取出与登录行为相关的第一登录行为特征值;
对所述第一登录行为特征值进行量化处理,生成第一登录行为数据;
通过层次聚类算法对所述第一登录行为数据进行训练,确定出至少一个异常登录行为检测基线;
根据所述至少一个异常登录行为检测基线以及每个异常登录行为检测基线对应的预设的正常登录范围,检测出获取的第二用户登录行为信息是否属于异常登录行为;
所述通过层次聚类算法对所述第一登录行为数据进行训练,确定出至少一个异常登录行为检测基线,包括:
将所述第一登录行为数据作为第一登录行为对象,从多个所述第一登录行为对象中选取出两个第一登录行为对象,其中,所述两个第一登录行为对象之间的距离为最大距离;
将获取的所述两个第一登录行为对象之间的最大距离除以2,得到最大距离半径;
以所述两个第一登录行为对象之间的中点为圆心,所述最大距离半径为半径作圆,生成初始簇,所述初始簇包括全部的第一登录行为对象;
在所述初始簇中,通过层次聚类算法对所述最大距离半径以及多个所述第一登录行为对象进行多次分裂聚类,以生成多个簇,且每一次分裂聚类所生成的多个簇中均包括一个最大的簇,直至满足停止分裂条件时,停止分裂聚类,所述停止分裂条件包括a<b>c,其中,
Figure FDA0003835855280000011
Figure FDA0003835855280000012
Figure FDA0003835855280000021
将满足所述停止分裂条件时所生成的多个簇中的最大簇,确定为最优簇;
将所述最优簇对应的半径确定为最优半径;
根据所述最大距离半径所形成的初始簇或最优半径所形成的最优簇,生成至少一个异常登录行为检测基线。
2.根据权利要求1所述的方法,其特征在于,所述第一登录行为特征值包括用户ID、IP地址以及登录时间;
所述对所述第一登录行为特征值进行量化处理,生成第一登录行为数据,包括:
通过量化分析算法分别对所述用户ID、IP地址以及登录时间进行量化处理,生成第一登录行为数据,所述第一登录行为数据包括量化后的用户ID、IP地址以及登录时间。
3.根据权利要求2所述的方法,其特征在于,在所述通过层次聚类算法对所述第一登录行为数据进行训练,确定出至少一个异常登录行为检测基线之前,还包括:
获取历史异常IP登录行为,所述历史异常IP登录行为包括异常IP地址;
从所述第一登录行为数据中剔除包括所述异常IP地址的第一登录行为数据。
4.根据权利要求1所述的方法,其特征在于,所述在所述初始簇中,通过层次聚类算法对所述最大距离半径以及多个所述第一登录行为对象进行多次分裂聚类,以生成多个簇,且每一次分裂聚类所生成的多个簇中均包括一个最大的簇,包括:
在所述初始簇中,以最大距离半径*x为半径作圆,对多个所述第一登录行为对象进行分裂聚类,以生成多个簇,且每一次分裂聚类所生成的多个簇中均包括一个最大的簇,其中,0<x<1且本次聚类x取值小于上次聚类的x取值。
5.根据权利要求4所述的方法,其特征在于,所述根据所述最大距离半径所形成的初始簇以及最优半径所形成的最优簇,生成至少一个异常登录行为检测基线,包括:
将所述最大距离半径所形成的初始簇确定为第一敏感异常登录行为检测基线;
将所述最优半径*(1+x)所形成的簇确定为第二敏感异常登录行为检测基线,其中,0<x<1;
将所述最优半径所形成的最优簇确定为第三敏感异常登录行为检测基线;
将所述最优半径*(1-x)所形成的簇确定为第四敏感异常登录行为检测基线,其中,0<x<1。
6.根据权利要求5所述的方法,其特征在于,所述根据所述至少一个异常登录行为检测基线以及每个异常登录行为检测基线对应的预设的正常登录范围,检测出获取的第二用户登录行为信息是否属于异常登录行为,包括:
从获取的第二用户登录行为信息中提取出与登录行为相关的第二登录行为特征值;
对所述第二登录行为特征值进行量化处理,生成第二登录行为数据;
将所述第二登录行为数据作为第二登录行为对象,并检测所述第二登录行为对象是否位于所述异常登录行为检测基线对应的预设的正常登录范围内;
若检测出所述第二登录行为对象位于所述异常登录行为检测基线对应的预设的正常登录范围内,则将所述第二登录行为对象所对应的第二用户登录行为信息确定为正常登录行为;
若检测出所述第二登录行为对象未位于所述异常登录行为检测基线对应的预设的正常登录范围内,则将所述第二登录行为对象所对应的第二用户登录行为信息确定为异常登录行为。
7.一种异常登录行为检测装置,其特征在于,所述装置包括:
获取模块,用于从多个日志数据源获取第一用户登录行为信息,并从所述第一用户登录行为信息中提取出与登录行为相关的第一登录行为特征值;
生成模块,用于对所述第一登录行为特征值进行量化处理,生成第一登录行为数据;
计算模块,用于通过层次聚类算法对所述第一登录行为数据进行训练,确定出至少一个异常登录行为检测基线;
检测模块,用于根据所述至少一个异常登录行为检测基线以及每个异常登录行为检测基线对应的预设的正常登录范围,检测出获取的第二用户登录行为信息是否属于异常登录行为;
所述计算模块具体包括:选取模块、计算子模块、生成子模块、聚类子模块、确定子模块;
选取模块用于将所述第一登录行为数据作为第一登录行为对象,从多个所述第一登录行为对象中选取出两个第一登录行为对象,其中,所述两个第一登录行为对象之间的距离为最大距离;
计算子模块用于将获取的所述两个第一登录行为对象之间的最大距离除以2,得到最大距离半径;
生成子模块用于以所述两个第一登录行为对象之间的中点为圆心,所述最大距离半径为半径作圆,生成初始簇,所述初始簇包括全部的第一登录行为对象;
聚类子模块用于在所述初始簇中,通过层次聚类算法对所述最大距离半径以及多个所述第一登录行为对象进行多次分裂聚类,以生成多个簇,且每一次分裂聚类所生成的多个簇中均包括一个最大的簇,直至满足停止分裂条件时,停止分裂聚类,所述停止分裂条件包括a<b>c,其中,
Figure FDA0003835855280000041
Figure FDA0003835855280000051
Figure FDA0003835855280000052
确定子模块用于将满足所述停止分裂条件时所生成的多个簇中的最大簇,确定为最优簇;将所述最优簇对应的半径确定为最优半径;
所述生成子模块还用于根据所述最大距离半径所形成的初始簇或最优半径所形成的最优簇,生成至少一个异常登录行为检测基线。
8.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一可执行指令,所述可执行指令运行时控制所述存储介质所在设备执行权利要求1至6中任意一项所述的异常登录行为检测方法。
9.一种计算机设备,包括存储器和处理器,所述存储器用于存储包括程序指令的信息,所述处理器用于控制程序指令的执行,其特征在于,所述程序指令被处理器加载并执行时实现权利要求1至6任意一项所述的异常登录行为检测方法的步骤。
CN202010275659.3A 2020-04-09 2020-04-09 异常登录行为检测方法、装置、存储介质和计算机设备 Active CN113518058B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010275659.3A CN113518058B (zh) 2020-04-09 2020-04-09 异常登录行为检测方法、装置、存储介质和计算机设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010275659.3A CN113518058B (zh) 2020-04-09 2020-04-09 异常登录行为检测方法、装置、存储介质和计算机设备

Publications (2)

Publication Number Publication Date
CN113518058A CN113518058A (zh) 2021-10-19
CN113518058B true CN113518058B (zh) 2022-12-13

Family

ID=78060296

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010275659.3A Active CN113518058B (zh) 2020-04-09 2020-04-09 异常登录行为检测方法、装置、存储介质和计算机设备

Country Status (1)

Country Link
CN (1) CN113518058B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117390708B (zh) * 2023-12-11 2024-02-23 南京向日葵大数据有限公司 一种隐私数据安全保护方法及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106446076A (zh) * 2016-09-07 2017-02-22 南京理工大学 基于层次聚类的日志审计方法
CN107368516A (zh) * 2017-05-25 2017-11-21 全球能源互联网研究院 一种基于层次聚类的日志审计方法及装置
CN108809745A (zh) * 2017-05-02 2018-11-13 中国移动通信集团重庆有限公司 一种用户异常行为检测方法、装置及系统
CN109088869A (zh) * 2018-08-14 2018-12-25 北京科东电力控制系统有限责任公司 Apt攻击检测方法及装置
CN110300027A (zh) * 2019-06-29 2019-10-01 西安交通大学 一种异常登录检测方法
CN110472082A (zh) * 2019-08-02 2019-11-19 Oppo广东移动通信有限公司 数据处理方法、装置、存储介质及电子设备

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10536357B2 (en) * 2015-06-05 2020-01-14 Cisco Technology, Inc. Late data detection in data center
US10778716B2 (en) * 2017-12-20 2020-09-15 Paypal, Inc. Detecting webpages that share malicious content

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106446076A (zh) * 2016-09-07 2017-02-22 南京理工大学 基于层次聚类的日志审计方法
CN108809745A (zh) * 2017-05-02 2018-11-13 中国移动通信集团重庆有限公司 一种用户异常行为检测方法、装置及系统
CN107368516A (zh) * 2017-05-25 2017-11-21 全球能源互联网研究院 一种基于层次聚类的日志审计方法及装置
CN109088869A (zh) * 2018-08-14 2018-12-25 北京科东电力控制系统有限责任公司 Apt攻击检测方法及装置
CN110300027A (zh) * 2019-06-29 2019-10-01 西安交通大学 一种异常登录检测方法
CN110472082A (zh) * 2019-08-02 2019-11-19 Oppo广东移动通信有限公司 数据处理方法、装置、存储介质及电子设备

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"An Abnormal Login Detection Method Based on Multi-source Log Fusion Analysis";J. Tao等;《2019 IEEE International Conference on Big Knowledge (ICBK)》;20191130;全文 *
"基于内网用户异常行为安全管理研究";匡石磊等;《邮电设计技术》;20190420;全文 *

Also Published As

Publication number Publication date
CN113518058A (zh) 2021-10-19

Similar Documents

Publication Publication Date Title
CN112800116B (zh) 一种业务数据的异常检测方法及装置
KR102088509B1 (ko) 컴퓨터 시스템의 이상 행위 탐지 방법 및 장치
CN111027615A (zh) 基于机器学习的中间件故障预警方法和系统
CN111738351A (zh) 模型训练方法、装置、存储介质及电子设备
CN110928862A (zh) 数据清洗方法、数据清洗设备以及计算机存储介质
CN113438114B (zh) 互联网系统的运行状态监控方法、装置、设备及存储介质
CN113992340B (zh) 用户异常行为识别方法、装置、设备和存储介质
CN111416790B (zh) 基于用户行为的网络异常访问智能识别方法、装置、存储介质及计算机设备
CN115277189B (zh) 基于生成式对抗网络的无监督式入侵流量检测识别方法
CN112839014A (zh) 建立识别异常访问者模型的方法、系统、设备及介质
CN113518058B (zh) 异常登录行为检测方法、装置、存储介质和计算机设备
CN117370548A (zh) 用户行为风险识别方法、装置、电子设备及介质
CN112463564A (zh) 确定影响主机状态的关联指标的方法及装置
US11914956B1 (en) Unusual score generators for a neuro-linguistic behavioral recognition system
CN116257885A (zh) 基于联邦学习的隐私数据通信方法、系统和计算机设备
CN116126807A (zh) 一种日志分析方法及相关装置
CN117391214A (zh) 模型训练方法、装置及相关设备
CN115080745A (zh) 基于人工智能的多场景文本分类方法、装置、设备及介质
CN111209567B (zh) 提高检测模型鲁棒性的可知性判断方法及装置
CN113535458A (zh) 异常误报的处理方法及装置、存储介质、终端
CN115461740A (zh) 一种行为控制方法及装置、存储介质
CN112861120A (zh) 识别方法、设备及存储介质
CN112968968B (zh) 基于无监督聚类的物联网设备流量指纹识别方法和装置
CN117540372B (zh) 智能学习的数据库入侵检测与响应系统
CN117978461B (zh) 基于孤立森林的异常登录检测方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant