CN113810327B - 异常账户检测方法、装置及存储介质 - Google Patents
异常账户检测方法、装置及存储介质 Download PDFInfo
- Publication number
- CN113810327B CN113810327B CN202010530738.4A CN202010530738A CN113810327B CN 113810327 B CN113810327 B CN 113810327B CN 202010530738 A CN202010530738 A CN 202010530738A CN 113810327 B CN113810327 B CN 113810327B
- Authority
- CN
- China
- Prior art keywords
- account
- risk
- address
- accounts
- taking
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种异常账户检测方法、装置及存储介质,涉及网络安全领域。本发明的方法包括:对各账户的登录失败次数分别进行统计,当存在登录失败次数大于第一预设值L时,将所述账户作为第一风险账户;获取所述第一风险账户进行登录操作的各个IP地址,当所述各个IP地址中存在登录失败次数大于第二预设值M的IP地址时,将所述IP地址作为风险IP地址;获取基于所述风险IP地址进行登录操作的各账户信息,当存在登录失败次数大于第三预设值N的账户时,将所述账户作为第二风险账户;基于各所述第一风险账户和各所述第二风险账户,确定目标风险账户。本发明能够提升账户异常分析结果的准确性。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种异常账户检测方法、装置及存储介质。
背景技术
随着计算机技术的高速发展及互联网的广泛普及,电子邮件越来越多地应用于社会生产、生活、学习的各个方面,发挥着举足轻重的作用。人们在享受电子邮件带来便利、快捷的同时,又必须面对互联网的开放性、计算机软件漏洞等所带来的电子邮件安全问题。
邮件账户是网络攻击中最具有针对性的来源之一。攻击者寻求一切可能的方式进行账户破解,寻找一切有价值的信息资源。因此能够在海量的邮件日志中高效、准确的识别出异常的账户,并采取相关措施,保障邮件系统的安全性变得尤为重要。
发明内容
本发明的实施例提供一种异常账户检测方法、装置及存储介质,能够对海量账户中的异常情况进行检测。
为达到上述目的,本发明的实施例采用如下技术方案:
第一方面,本发明的实施例提供一种异常账户检测方法,包括:
对各账户的登录失败次数分别进行统计,当存在登录失败次数大于第一预设值L时,将所述账户作为第一风险账户;
获取所述第一风险账户进行登录操作的各个IP地址,当所述各个IP地址中存在登录失败次数大于第二预设值M的IP地址时,将所述IP地址作为风险IP地址;
获取基于所述风险IP地址进行登录操作的各账户信息,当存在登录失败次数大于第三预设值N的账户时,将所述账户作为第二风险账户;
基于各所述第一风险账户和各所述第二风险账户,确定目标风险账户。
结合第一方面,在第一方面的第一种可能的实现方式中,所述L、M和N均为正整数;其中,所述L大于N。
结合第一方面,在第一方面的第二种可能的实现方式中,所述基于各所述第一风险账户和各所述第二风险账户,确定目标风险账户,包括:
将第一风险账户集和第二风险账户集的交集,作为所述目标风险账户;或,
将第一风险账户集和第二风险账户集的并集,作为所述目标风险账户;
其中,所述第一风险账户集为各所述第一风险账户构成的集和,所述第二风险账户集为各所述第二风险账户构成的集和。
结合第一方面,在第一方面的第三种可能的实现方式中,所述基于各所述第一风险账户和各所述第二风险账户,确定目标风险账户,包括:
基于各所述第一风险账户和各所述第二风险账户,以及第一风险账户和第二风险账户分别对应的权重值,确定所述目标风险账户。
结合第一方面,在第一方面的第四种可能的实现方式中,所述方法还包括:
对所述目标风险账户进行安全通报;或,
将所述风险IP地址加入IP地址黑名单,所述IP地址黑名单用于限制基于IP地址的邮件操作。
第二方面,本发明的实施例提供一种异常账户检测装置,包括:
第一账户分析模块,用于对各账户的登录失败次数分别进行统计,当存在登录失败次数大于第一预设值L时,将所述账户作为第一风险账户;
IP地址分析模块,用于获取所述第一风险账户进行登录操作的各个IP地址,当所述各个IP地址中存在登录失败次数大于第二预设值M的IP地址时,将所述IP 地址作为风险IP地址;
第二账户分析模块,用于获取基于所述风险IP地址进行登录操作的各账户信息,当存在登录失败次数大于第三预设值N的账户时,将所述账户作为第二风险账户;
第三账户分析模块,用于基于各所述第一风险账户和各所述第二风险账户,确定目标风险账户。
结合第二方面,在第二方面的第一种可能的实现方式中,所述L、M和N均为正整数;其中,所述L大于N。
结合第二方面,在第二方面的第二种可能的实现方式中,
所述第三账户分析模块,还用于将第一风险账户集和第二风险账户集的交集,作为所述目标风险账户;或,将第一风险账户集和第二风险账户集的并集,作为所述目标风险账户;其中,所述第一风险账户集为各所述第一风险账户构成的集和,所述第二风险账户集为各所述第二风险账户构成的集和。
结合第二方面,在第二方面的第三种可能的实现方式中,
所述第三账户分析模块,还用于基于各所述第一风险账户和各所述第二风险账户,以及第一风险账户和第二风险账户分别对应的权重值,确定所述目标风险账户。
结合第二方面,在第二方面的第四种可能的实现方式中,所述装置还包括:
安全模块,用于对所述目标风险账户进行安全通报;或,将所述风险IP地址加入IP地址黑名单,所述IP地址黑名单用于限制基于IP地址的邮件操作。
第三方面,本发明的实施例提供一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现第一方面提供的方法的步骤。
本发明实施例提供的异常账户检测方法、装置及存储介质,通过对各账户的登录失败次数分别进行统计,当存在登录失败次数大于第一预设值L时,将所述账户作为第一风险账户;获取所述第一风险账户进行登录操作的各个IP地址,当所述各个IP地址中存在登录失败次数大于第二预设值M的IP地址时,将所述IP 地址作为风险IP地址;获取基于所述风险IP地址进行登录操作的各账户信息,当存在登录失败次数大于第三预设值N的账户时,将所述账户作为第二风险账户;基于各所述第一风险账户和各所述第二风险账户,确定目标风险账户。能够基于账户和IP地址协同分析的思想进行账户异常分析,通过首先确定可疑账户,然后通过可疑账户获取疑似攻击的IP节点,最后通过疑似的IP攻击节点,找出通该节点登陆的账户,最终形成一个高风险账户和高风险IP黑名单,以实现通过账户和登录IP地址两个纬度进行异常账户分析,通过账户-IP-账户的分析逻辑,进而提升账户异常分析结果的准确性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是本发明实施例的异常账户检测方法的流程示意图;
图2是本发明实施例的异常账户检测方法的另一流程示意图;
图3是本发明实施例的异常账户检测装置结构示意图;
图4是本发明实施例的异常账户检测装置的另一结构示意图;
图5是本发明实施例的异常账户检测装置500的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明一实施例提供一种异常账户检测方法,如图1所示,所述方法包括:
101、对各账户的登录失败次数分别进行统计,当存在登录失败次数大于第一预设值L时,将所述账户作为第一风险账户。
102、获取所述第一风险账户进行登录操作的各个IP地址,当所述各个IP地址中存在登录失败次数大于第二预设值M的IP地址时,将所述IP地址作为风险IP 地址。
对于本发明实施例,对第一风险账户进行登录操作的IP地址数量为大于或的等于1,当登录该第一风险账户的IP地址大于1时,即表示通过多个IP地址进行该第一风险账户的登录操作,并且登录失败。
103、获取基于所述风险IP地址进行登录操作的各账户信息,当存在登录失败次数大于第三预设值N的账户时,将所述账户作为第二风险账户。
对于本发明实施例,基于风险IP地址进行登录操作的账户信息数量为大于或的等于1,当基于该风险IP地址进行登录操作的账户信息大于1时,即表示通过该风险IP地址进行登录操作的账户信息有多个,并且登录失败。
104、基于各所述第一风险账户和各所述第二风险账户,确定目标风险账户。
其中,所述L、M和N均为正整数。
对于本发明实施例,所述L大于N。基于此,既可以通过直接统计登录异常次数的方式,得到各第一风险账户,还可以通过账户-IP-账户关联统计的方式,得到第二风险账户,并且该第二风险账户为通过直接统计的方式所遗漏的异常账户信息。从而可以在避免通过步骤101中L值设置过低而导致异常误判的同时,能够通过步骤102及步骤103中通过IP地址关联查找到风险账户。
示例性地,L等于8,M等于15,N等于5。通过步骤101,对将登录失败次数大于8的账户作为第一风险账户;通过步骤102,对该第一风险账户进行登录的各IP地址的登录失败次数进行统计,并将失败次数大于15的IP地址作为风险IP地址;通过步骤103,对基于风险IP地址的进行登录操作的各账户的登录失败次数进行统计,并将失败次数大于5的账户作为第二风险账户。
一种可选地实施例中,L为大于N的正整数,例如L等于10,并且N等于6;另一种可选地实施例中,L为N的2倍,例如L等于8,并且N等于4。
与现有技术相比,本发明实施例能够基于账户和IP地址协同分析的思想进行账户异常分析,通过首先确定可疑账户,然后通过可疑账户获取疑似攻击的IP 节点,最后通过疑似的IP攻击节点,找出通该节点登陆的账户,最终形成一个高风险账户和高风险IP黑名单,以实现通过账户和登录IP地址两个纬度进行异常账户分析,通过账户-IP-账户的分析逻辑,进而提升账户异常分析结果的准确性。
本发明又一实施例提供一种异常账户检测方法,如图2所示,所述方法包括:
201、对各账户的登录失败次数分别进行统计,当存在登录失败次数大于第一预设值L时,将所述账户作为第一风险账户。
202、获取所述第一风险账户进行登录操作的各个IP地址,当所述各个IP地址中存在登录失败次数大于第二预设值M的IP地址时,将所述IP地址作为风险IP 地址。
对于本发明实施例,对第一风险账户进行登录操作的IP地址数量为大于或的等于1,当登录该第一风险账户的IP地址大于1时,即表示通过多个IP地址进行该第一风险账户的登录操作,并且登录失败。
203、获取基于所述风险IP地址进行登录操作的各账户信息,当存在登录失败次数大于第三预设值N的账户时,将所述账户作为第二风险账户。
对于本发明实施例,基于风险IP地址进行登录操作的账户信息数量为大于或的等于1,当基于该风险IP地址进行登录操作的账户信息大于1时,即表示通过该风险IP地址进行登录操作的账户信息有多个,并且登录失败。
其中,所述L、M和N均为正整数。
对于本发明实施例,所述L大于N。基于此,既可以通过直接统计登录异常次数的方式,得到各第一风险账户,还可以通过账户-IP-账户关联统计的方式,得到第二风险账户,并且该第二风险账户为通过直接统计的方式所遗漏的异常账户信息。从而可以在避免通过步骤101中L值设置过低而导致异常误判的同时,能够通过步骤102及步骤103中通过IP地址关联查找到风险账户。
示例性地,L等于8,M等于15,N等于5。通过步骤101,对将登录失败次数大于8的账户作为第一风险账户;通过步骤102,对该第一风险账户进行登录的各IP地址的登录失败次数进行统计,并将失败次数大于15的IP地址作为风险IP地址;通过步骤103,对基于风险IP地址的进行登录操作的各账户的登录失败次数进行统计,并将失败次数大于5的账户作为第二风险账户。
一种可选地实施例中,L为大于N的正整数,例如L等于10,并且N等于6;另一种可选地实施例中,L为N的2倍,例如L等于8,并且N等于4。
204、基于各所述第一风险账户和各所述第二风险账户,确定目标风险账户。
可选地,步骤204可以为:将第一风险账户集和第二风险账户集的交集,作为所述目标风险账户;其中,所述第一风险账户集为各所述第一风险账户构成的集和,所述第二风险账户集为各所述第二风险账户构成的集和。
通过异常行为次数确定可疑账户,再通过可疑账户登录的IP地址频率,确定可疑IP地址。该技术不局限于现有技术中直接针对具体某一个账户进行异常分析,而是在宏观上对大批量的账户行为数据进行统计分析。同时加上多次的递归计算,逐步缩小嫌疑用户与嫌疑IP的范围,确定异常用户和异常IP,从而可以提升分析结果的精准度。
可选地,步骤204可以为:将第一风险账户集和第二风险账户集的并集,作为所述目标风险账户;其中,所述第一风险账户集为各所述第一风险账户构成的集和,所述第二风险账户集为各所述第二风险账户构成的集和。
通过异常行为次数确定可疑账户,再通过可疑账户登录的IP地址频率,确定可疑IP地址。该技术不局限于现有技术中直接针对具体某一个账户进行异常分析,而是在宏观上对大批量的账户行为数据进行统计分析。同时加上多次的递归计算,逐步扩大嫌疑用户与嫌疑IP的范围,确定异常用户和异常IP,从而可以提升分析结果的精准度。
可选地,步骤204可以为:基于各所述第一风险账户和各所述第二风险账户,以及第一风险账户和第二风险账户分别对应的权重值,确定所述目标风险账户。
205、对所述目标风险账户进行安全通报。
206、将所述风险IP地址加入IP地址黑名单,所述IP地址黑名单用于限制基于IP地址的邮件操作。
可选地,上述步骤205及步骤206可以并行执行,也可以顺序执行,还可以在步骤205和步骤206中择一执行,本发明实施例不做限制。
与现有技术相比,本发明实施例能够基于账户和IP地址协同分析的思想进行账户异常分析,通过首先确定可疑账户,然后通过可疑账户获取疑似攻击的IP 节点,最后通过疑似的IP攻击节点,找出通该节点登陆的账户,最终形成一个高风险账户和高风险IP黑名单,以实现通过账户和登录IP地址两个纬度进行异常账户分析,通过账户-IP-账户的分析逻辑,进而提升账户异常分析结果的准确性。
本发明又一实施例提供一种异常账户检测装置,如图3所示,所述装置包括:
第一账户分析模块31,用于对各账户的登录失败次数分别进行统计,当存在登录失败次数大于第一预设值L时,将所述账户作为第一风险账户;
IP地址分析模块32,用于获取所述第一风险账户进行登录操作的各个IP地址,当所述各个IP地址中存在登录失败次数大于第二预设值M的IP地址时,将所述IP 地址作为风险IP地址;
第二账户分析模块33,用于获取基于所述风险IP地址进行登录操作的各账户信息,当存在登录失败次数大于第三预设值N的账户时,将所述账户作为第二风险账户;
第三账户分析模块34,用于基于各所述第一风险账户和各所述第二风险账户,确定目标风险账户。
对于本发明实施例,所述L、M和N均为正整数;其中,所述L大于N。
所述第三账户分析模块,还用于将第一风险账户集和第二风险账户集的交集,作为所述目标风险账户;或,将第一风险账户集和第二风险账户集的并集,作为所述目标风险账户;其中,所述第一风险账户集为各所述第一风险账户构成的集和,所述第二风险账户集为各所述第二风险账户构成的集和。
所述第三账户分析模块,还用于基于各所述第一风险账户和各所述第二风险账户,以及第一风险账户和第二风险账户分别对应的权重值,确定所述目标风险账户。
进一步的,如图4所示,所述装置还包括:
安全模块41,用于对所述目标风险账户进行安全通报;或,将所述风险IP 地址加入IP地址黑名单,所述IP地址黑名单用于限制基于IP地址的邮件操作。
与现有技术相比,本发明实施例能够基于账户和IP地址协同分析的思想进行账户异常分析,通过首先确定可疑账户,然后通过可疑账户获取疑似攻击的IP 节点,最后通过疑似的IP攻击节点,找出通该节点登陆的账户,最终形成一个高风险账户和高风险IP黑名单,以实现通过账户和登录IP地址两个纬度进行异常账户分析,通过账户-IP-账户的分析逻辑,进而提升账户异常分析结果的准确性。
本发明实施例还提供另一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中的存储器中所包含的计算机可读存储介质;也可以是单独存在,未装配入终端中的计算机可读存储介质。所述计算机可读存储介质存储有一个或者一个以上程序,所述一个或者一个以上程序被一个或者一个以上的处理器用来执行图1、图2所示实施例提供的异常账户检测方法。
本发明实施例提供的异常账户检测装置可以实现上述提供的方法实施例,具体功能实现请参见方法实施例中的说明,在此不再赘述。本发明实施例提供的异常账户检测方法、装置及存储介质可以适用于对电子邮箱账户的异常情况进行分析检测,但不仅限于此。
如图5所示,异常账户检测装置500可以是移动电话,计算机,数字广播终端,消息收发设备,游戏控制台,平板设备,个人数字助理等。
参照图5,异常账户检测装置500可以包括以下一个或多个组件:处理组件 502,存储器504,电源组件506,多媒体组件508,音频组件510,输入/输出(I/O) 的接口512,传感器组件514,以及通信组件516。
处理组件502通常控制无人机控制装置500的整体操作,诸如与显示,电话呼叫,数据通信,相机操作和记录操作相关联的操作。处理组件502可以包括一个或多个处理器520来执行指令。
此外,处理组件502可以包括一个或多个模块,便于处理组件502和其他组件之间的交互。例如,处理组件502可以包括多媒体模块,以方便多媒体组件508 和处理组件502之间的交互。
存储器504被配置为存储各种类型的数据以支持在无人机控制装置500的操作。这些数据的示例包括用于在无人机控制装置500上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。存储器504可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
电源组件506为无人机控制装置500的各种组件提供电力。电源组件506可以包括电源管理系统,一个或多个电源,及其他与为无人机控制装置500生成、管理和分配电力相关联的组件。
多媒体组件508包括在所述无人机控制装置500和用户之间的提供一个输出接口的屏幕。在一些实施例中,屏幕可以包括液晶显示器(LCD)和触摸面板 (TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中,多媒体组件 508包括一个前置摄像头和/或后置摄像头。当无人机控制装置500处于操作模式,如拍摄模式或视频模式时,前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
音频组件510被配置为输出和/或输入音频信号。例如,音频组件510包括一个麦克风(MIC),当无人机控制装置500处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器504或经由通信组件516发送。在一些实施例中,音频组件510还包括一个扬声器,用于输出音频信号。
I/O接口512为处理组件502和外围接口模块之间提供接口,上述外围接口模块可以是键盘,点击轮,按钮等。这些按钮可包括但不限于:主页按钮、音量按钮、启动按钮和锁定按钮。
传感器组件514包括一个或多个传感器,用于为无人机控制装置500提供各个方面的状态评估。例如,传感器组件514可以检测到无人机控制装置500的打开/关闭状态,组件的相对定位,例如所述组件为无人机控制装置500的显示器和小键盘,传感器组件514还可以检测无人机控制装置500或无人机控制装置500一个组件的位置改变,用户与无人机控制装置500接触的存在或不存在,无人机控制装置500方位或加速/减速和无人机控制装置500的温度变化。传感器组件514 可以包括接近传感器,被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件514还可以包括光传感器,如CMOS或CCD图像传感器,用于在成像应用中使用。在一些实施例中,该传感器组件514还可以包括加速度传感器,陀螺仪传感器,磁传感器,压力传感器或温度传感器。
通信组件516被配置为便于无人机控制装置500和其他设备之间有线或无线方式的通信。无人机控制装置500可以接入基于通信标准的无线网络,如WiFi, 2G或3G,或它们的组合。在一个示例性实施例中,通信组件516经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,所述通信组件516还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
在示例性实施例中,无人机控制装置500可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(RandomAccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (9)
1.一种异常账户检测方法,其特征在于,包括:
对各账户的登录失败次数分别进行统计,当存在登录失败次数大于第一预设值L时,将所述账户作为第一风险账户;
获取所述第一风险账户进行登录操作的各个IP地址,当所述各个IP地址中存在登录失败次数大于第二预设值M的IP地址时,将所述IP地址作为风险IP地址;
获取基于所述风险IP地址进行登录操作的各账户信息,当存在登录失败次数大于第三预设值N的账户时,将所述账户作为第二风险账户;
基于各所述第一风险账户和各所述第二风险账户,确定目标风险账户;
所述L、M和N均为正整数;其中,所述L大于N。
2.根据权利要求1所述的异常账户检测方法,其特征在于,所述基于各所述第一风险账户和各所述第二风险账户,确定目标风险账户,包括:
将第一风险账户集和第二风险账户集的交集,作为所述目标风险账户;或,
将第一风险账户集和第二风险账户集的并集,作为所述目标风险账户;
其中,所述第一风险账户集为各所述第一风险账户构成的集和,所述第二风险账户集为各所述第二风险账户构成的集和。
3.根据权利要求1所述的异常账户检测方法,其特征在于,所述基于各所述第一风险账户和各所述第二风险账户,确定目标风险账户,包括:
基于各所述第一风险账户和各所述第二风险账户,以及第一风险账户和第二风险账户分别对应的权重值,确定所述目标风险账户。
4.根据权利要求1所述的异常账户检测方法,其特征在于,所述方法还包括:
对所述目标风险账户进行安全通报;或,
将所述风险IP地址加入IP地址黑名单,所述IP地址黑名单用于限制基于IP地址的邮件操作。
5.一种异常账户检测装置,其特征在于,包括:
第一账户分析模块,用于对各账户的登录失败次数分别进行统计,当存在登录失败次数大于第一预设值L时,将所述账户作为第一风险账户;
IP地址分析模块,用于获取所述第一风险账户进行登录操作的各个IP地址,当所述各个IP地址中存在登录失败次数大于第二预设值M的IP地址时,将所述IP地址作为风险IP地址;
第二账户分析模块,用于获取基于所述风险IP地址进行登录操作的各账户信息,当存在登录失败次数大于第三预设值N的账户时,将所述账户作为第二风险账户;
第三账户分析模块,用于基于各所述第一风险账户和各所述第二风险账户,确定目标风险账户;
所述L、M和N均为正整数;其中,所述L大于N。
6.根据权利要求5所述的异常账户检测装置,其特征在于,
所述第三账户分析模块,还用于将第一风险账户集和第二风险账户集的交集,作为所述目标风险账户;或,将第一风险账户集和第二风险账户集的并集,作为所述目标风险账户;其中,所述第一风险账户集为各所述第一风险账户构成的集和,所述第二风险账户集为各所述第二风险账户构成的集和。
7.根据权利要求5所述的异常账户检测装置,其特征在于,
所述第三账户分析模块,还用于基于各所述第一风险账户和各所述第二风险账户,以及第一风险账户和第二风险账户分别对应的权重值,确定所述目标风险账户。
8.根据权利要求5所述的异常账户检测装置,其特征在于,所述装置还包括:
安全模块,用于对所述目标风险账户进行安全通报;或,将所述风险IP地址加入IP地址黑名单,所述IP地址黑名单用于限制基于IP地址的邮件操作。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现权利要求1-4所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010530738.4A CN113810327B (zh) | 2020-06-11 | 2020-06-11 | 异常账户检测方法、装置及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010530738.4A CN113810327B (zh) | 2020-06-11 | 2020-06-11 | 异常账户检测方法、装置及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113810327A CN113810327A (zh) | 2021-12-17 |
CN113810327B true CN113810327B (zh) | 2023-08-22 |
Family
ID=78892012
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010530738.4A Active CN113810327B (zh) | 2020-06-11 | 2020-06-11 | 异常账户检测方法、装置及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113810327B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106209862A (zh) * | 2016-07-14 | 2016-12-07 | 微梦创科网络科技(中国)有限公司 | 一种盗号防御实现方法及装置 |
CN107046550A (zh) * | 2017-06-14 | 2017-08-15 | 微梦创科网络科技(中国)有限公司 | 一种异常登录行为的检测方法及装置 |
CN108989150A (zh) * | 2018-07-19 | 2018-12-11 | 新华三信息安全技术有限公司 | 一种登录异常检测方法及装置 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105656867B (zh) * | 2014-12-02 | 2018-10-16 | 阿里巴巴集团控股有限公司 | 盗窃账号事件的监控方法及装置 |
CN107992738B (zh) * | 2017-11-16 | 2020-11-27 | 北京奇艺世纪科技有限公司 | 一种账号登录异常检测方法、装置及电子设备 |
CN108092975B (zh) * | 2017-12-07 | 2020-09-22 | 上海携程商务有限公司 | 异常登录的识别方法、系统、存储介质和电子设备 |
CN111224920B (zh) * | 2018-11-23 | 2021-04-20 | 珠海格力电器股份有限公司 | 一种防止非法登录的方法、装置、设备及计算机存储介质 |
CN110264326B (zh) * | 2019-05-24 | 2023-03-24 | 创新先进技术有限公司 | 识别异常账户集合和风险账户集合的方法、装置及设备 |
-
2020
- 2020-06-11 CN CN202010530738.4A patent/CN113810327B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106209862A (zh) * | 2016-07-14 | 2016-12-07 | 微梦创科网络科技(中国)有限公司 | 一种盗号防御实现方法及装置 |
CN107046550A (zh) * | 2017-06-14 | 2017-08-15 | 微梦创科网络科技(中国)有限公司 | 一种异常登录行为的检测方法及装置 |
CN108989150A (zh) * | 2018-07-19 | 2018-12-11 | 新华三信息安全技术有限公司 | 一种登录异常检测方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN113810327A (zh) | 2021-12-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108632081B (zh) | 网络态势评估方法、装置及存储介质 | |
EP3113466B1 (en) | Method and device for warning | |
CN106170004B (zh) | 处理验证码的方法及装置 | |
EP3151117B1 (en) | Method and device for delaying information broadcasting | |
EP3179397A1 (en) | Methods and devices for managing automatic parallel login and logout in several applications | |
CN109521918B (zh) | 一种信息分享方法、装置、电子设备及存储介质 | |
CN110191085B (zh) | 基于多分类的入侵检测方法、装置及存储介质 | |
CN109842612B (zh) | 基于图库模型的日志安全分析方法、装置及存储介质 | |
CN110262692B (zh) | 一种触摸屏扫描方法、装置及介质 | |
US10313392B2 (en) | Method and device for detecting web address hijacking | |
CN107959757B (zh) | 用户信息处理方法、装置、app服务器和终端设备 | |
CN108052822B (zh) | 终端控制方法、装置及系统 | |
US10263925B2 (en) | Method, device and medium for sending message | |
CN107171938B (zh) | 屏蔽社交好友的方法和装置 | |
CN110928425A (zh) | 信息监控方法及装置 | |
CN106960026B (zh) | 搜索方法、搜索引擎和电子设备 | |
CN110213062B (zh) | 处理消息的方法及装置 | |
CN113810327B (zh) | 异常账户检测方法、装置及存储介质 | |
CN112953916B (zh) | 异常检测方法和装置 | |
CN113839852B (zh) | 邮件账号异常检测方法、装置及存储介质 | |
RU2672716C2 (ru) | Способ и устройство для ввода информации | |
CN110149310B (zh) | 流量入侵检测方法、装置及存储介质 | |
CN113810328A (zh) | 异常账户确定方法、装置及存储介质 | |
CN112333233B (zh) | 事件信息的上报方法、装置、电子设备及存储介质 | |
CN114124866A (zh) | 会话处理方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |