CN114048455A - 异常登录检测方法、装置、终端设备及存储介质 - Google Patents

异常登录检测方法、装置、终端设备及存储介质 Download PDF

Info

Publication number
CN114048455A
CN114048455A CN202111376247.XA CN202111376247A CN114048455A CN 114048455 A CN114048455 A CN 114048455A CN 202111376247 A CN202111376247 A CN 202111376247A CN 114048455 A CN114048455 A CN 114048455A
Authority
CN
China
Prior art keywords
user
operation behavior
illegal
terminal equipment
login
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111376247.XA
Other languages
English (en)
Inventor
关佳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202111376247.XA priority Critical patent/CN114048455A/zh
Publication of CN114048455A publication Critical patent/CN114048455A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本申请涉及一种异常登录检测方法、装置、终端设备及存储介质,该方法应用于终端设备,包括:当检测到某一用户登录所述终端设备后,获取当前用户针对所述终端设备的操作行为;判断所述操作行为是否为违规操作行为;若是,对所述当前用户的登录进行处理。本申请通过对登录终端设备后的用户的操作行为进行分析、判断,可以准确识别出其中的违规操作,及时发现非法用户的登录行为;同时,本申请只限制特定用户,不会限制对终端设备的正常登陆管理,可在一定程度上解决多点登录带来的误判,提高异常登录检测、识别的准确性。

Description

异常登录检测方法、装置、终端设备及存储介质
技术领域
本申请涉及网络安全技术领域,具体涉及一种异常登录检测方法、装置、终端设备及存储介质。
背景技术
网络安全设备,例如防火墙、网闸、堡垒机等,其中的关键配置直接关系到网络安全,这些配置如果遭到恶意破坏,轻则会出现网络不通,重则会出现严重的安全问题。因此,对于登录网络安全设备的管理员进行管理、行为分析显得格外重要。
现有技术中,对管理员进行管理、行为分析通常包括:1)通过提高管理员登录密码的复杂度,或是采用证书认证结合密码的方式登录网络安全设备,减少密码被盗的风险,减少恶意分子管理网络安全设备的可能性;2)对管理员分级,赋予不同安全级别的管理员不同的管理权限;3)启用或是禁用某个或某类管理员,使其无法登陆管理设备;4)通过监控管理员账号登录、账号操作来限制管理员登录。
现有技术在最大范围内减少密码被盗的风险,减少不法分子登陆网络安全设备的可能性,但是,缺少在造成安全隐患之前进行管理员行为分析的过程,在造成安全隐患后,未能及时弥补损失。例如,在禁用某个或某类管理员后,设备的正常登陆管理也可能会受到限制。通过监控管理员账号登录、账号操作来限制管理员,未考虑到管理员多点登录或是网络状态不好的可能性,存在一定程度的误判,影响用户使用。例如,通过监控管理员账号登录次数、账号操作次数,如果超出某个阈值即对账号进行封停处理,虽然在一定程度上可以使系统资源得到较好的利用,但是未能充分考虑到账号安全和账号正常登录的情况。如果有不法分子通过窃取账号登录后,在密码试探阶段不能识别出异常,便可能会使安全设备存在安全隐患;如果是正常情况下的多点登录,将有可能账号封停;如果用户所处的网络环境不佳,或是系统服务器压力过大时,可能存在多次请求不能应答或是应答较慢的情况,这样有可能账号封停;另外,如果不法分子恶意修改了重要信息,导致账号封停后,不能还原修改内容。
发明内容
鉴于现有技术存在的上述问题,本申请的目的在于提供一种异常登录检测方法、装置、终端设备及存储介质,能够快速查找出登录终端设备的非法用户,且不会影响正常用户的登录,同时,能够对设备的配置信息进行回滚。
为了实现上述目的,本申请实施例提供一种异常登录检测方法,应用于终端设备,所述方法包括:
当检测到某一用户登录所述终端设备后,获取当前用户针对所述终端设备的操作行为;
判断所述操作行为是否为违规操作行为;
若是,对所述当前用户的登录进行处理。
在一些实施例中,所述判断所述操作行为是否为违规操作行为,包括:
判断向所述终端设备输入的操作指令是否为非法指令;和/或
判断第一预设时间内在所述终端设备上输入预设操作指令的次数是否大于预设阈值。
在一些实施例中,判断向所述终端设备输入的操作指令是否为非法指令,包括:
判断向所述终端设备输入的操作指令是否为破坏性指令和/或未授权的关键配置项操作指令。
在一些实施例中,所述对所述当前用户的登录进行处理,包括:
将登录所述终端设备的所述当前用户强制下线;和/或
对违规操作的所述当前用户进行自动预警,并在第二预设时间内终止所述当前用户的操作权限。
在一些实施例中,若所述操作行为为违规操作行为,所述方法还包括:
获取所述当前用户的登录信息,其中,所述登录信息包括所述当前用户的用户名、ip地址或mac地址中的至少一种;
基于所述用户的登录信息生成用户黑名单。
在一些实施例中,所述方法还包括:
根据所述操作行为生成至少一个日志文件,不同的所述日志文件对应的所述操作行为不同;
若所述操作行为为违规操作行为,将所述违规操作行为对应的日志文件与所述当前用户的预设配置文件进行比较,确定是否存在待回滚的配置信息;
若存在,对所述配置信息进行回滚。
在一些实施例中,对所述配置信息进行回滚,包括:
将所述配置信息中的删除操作以添加操作恢复;
将所述配置信息中的添加操作以删除操作恢复;
将所述配置信息中的修改操作以添加操作恢复。
本申请实施例还提供一种异常登录检测装置,包括:
获取模块,配置为当检测到某一用户登录所述终端设备后,获取当前用户针对所述终端设备的操作行为;
判断模块,配置为判断所述操作行为是否为违规操作行为;
处理模块,配置为若所述操作行为是违规操作行为,对所述当前用户的登录进行处理。
本申请实施例还提供一种终端设备,包括:
存储器,所述存储器存储计算机执行指令;
处理器,所述处理器执行所述存储器存储的计算机执行指令时实现上述的方法。
本申请实施例还提供一种计算机可读存储介质,其上存储有计算机执行指令,所述计算机执行指令被处理器执行时实现上述的方法。
与现有技术相比较,本申请实施例提供的异常登录检测方法、装置、终端设备及存储介质,通过对登录终端设备后的用户的操作行为进行分析、判断,可以准确识别出其中的违规操作,及时发现非法用户的登录行为;同时,本申请只限制特定用户,不会限制对终端设备的正常登陆管理,可在一定程度上解决多点登录带来的误判,提高异常登录检测、识别的准确性。
附图说明
在不一定按比例绘制的附图中,相同的附图标记可以在不同的视图中描述相似的部件。具有字母后缀或不同字母后缀的相同附图标记可以表示相似部件的不同实例。附图大体上通过举例而不是限制的方式示出各种实施例,并且与说明书以及权利要求书一起用于对所申请的实施例进行说明。在适当的时候,在所有附图中使用相同的附图标记指代同一或相似的部分。这样的实施例是例证性的,而并非旨在作为本装置或方法的穷尽或排他实施例。
图1为本申请实施例的异常登录检测方法的流程图;
图2为本申请实施例的异常登录检测方法的另一流程图;
图3为本申请实施例的异常登录检测方法的又一流程图;
图4为本申请实施例的用户登录行为的检测装置的结构示意图。
具体实施方式
下面,结合附图对本申请的具体实施例进行详细的描述,但不作为本申请的限定。
应理解的是,可以对此处公开的实施例做出各种修改。因此,上述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本申请的范围和精神内的其他修改。
包含在说明书中并构成说明书的一部分的附图示出了本申请的实施例,并且与上面给出的对本申请的大致描述以及下面给出的对实施例的详细描述一起用于解释本申请的原理。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本申请的这些和其它特征将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本申请进行了描述,但本领域技术人员能够确定地实现本申请的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。
当结合附图时,鉴于以下详细说明,本申请的上述和其他方面、特征和优势将变得更为显而易见。
此后参照附图描述本申请的具体实施例;然而,应当理解,所公开的实施例仅仅是本申请的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本申请模糊不清。因此,本文所公开的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本申请。
图1为本申请实施例的异常登录检测方法的流程图。如图1所示,本申请实施例提供了一种异常登录检测方法,应用于终端设备,所述方法包括:
S101:当检测到某一用户登录所述终端设备后,获取当前用户针对所述终端设备的操作行为。
终端设备可实时检测用户登录终端设备的行为,在检测到用户登录终端设备后,获取当前用户针对所述终端设备的操作行为。本实施例中,终端设备优选为网络安全设备。
用户可以为拥有终端设备的登录权限的管理员,可以在通过密码验证、采用证书认证或采用证书认证结合密码的方式验证后登录终端设备。用户也可以为非法用户,例如,窃取终端设备的登录账号和密码后,登录终端设备的用户。
用户登录终端设备后,获取的当前用户针对所述终端设备的操作行为可以为针对终端设备的任意操作行为,例如,可以为开启终端设备中应用程序的密码试探操作,也可以为对终端设备的配置信息进行修改的修改操作。
S102:判断所述操作行为是否为违规操作行为。
S103:若是,对所述当前用户的登录进行处理。
获取当前用户针对所述终端设备的操作行为后,判断该操作行为是否为违规操作,若是,可以确定登录终端设备的用户为非法用户,对其登录行为进行处理,保证终端设备的安全性,即在非法分子登陆终端设备时,以及登录终端设备后,能及时分析其行为,尽早发现异常。
在当前用户为管理员等合法用户的情况下,若所述操作行为为违规操作行为,可以确定管理员进行了超出其权限的非法操作等,因此,可以对合法登入终端设备的管理员的登录进行处理,保证其在合法的权限内进行操作;同时,通过判断操作行为是否为违规操作行为,可以识别出所述操作行为是否为正常情况下的多点登录,避免对正常登录的用户造成影响。即上述操作行为可能仅仅是由于用户所处的网络环境不佳,或是系统服务器压力过大时而进行的多点操作,可能存在多次请求不能应答或是应答较慢的情况,并不是针对终端设备的违规操作。
本申请实施例提供的异常登录检测方法通过对登录终端设备后的用户的操作行为进行分析、判断,可以准确识别出其中的违规操作,及时发现非法用户的登录行为;同时,本申请只限制特定用户,不会限制对终端设备的正常登陆管理,可在一定程度上解决多点登录带来的误判,提高异常登录检测、识别的准确性。
在一些实施例中,步骤S102中,判断所述操作行为是否为违规操作行为,包括:
S1021:判断向终端设备输入的操作指令是否为非法指令;和/或
S1022:判断第一预设时间内在终端设备上输入预设操作指令的次数是否大于预设阈值。
可选地,步骤S1021中,判断向所述终端设备输入的操作指令是否为非法指令,包括:
判断向终端设备输入的操作指令是否为破坏性指令和/或未授权的关键配置项操作指令。
其中,破坏性指令为对终端设备下发破坏性的指令,例如对终端设备进行sql注入、在终端设备运行恶意代码等。通过判断向终端设备输入的操作指令是否为破坏性指令,主要用于判断登录终端设备的当前用户是否为非法用户,即当前用户的操作行为是否为非法用户的操作行为。
未授权的关键配置项操作指令指的是未经许可的对网络安全设备执行关键性命令,例如重置、重启、清空终端设备的配置或修改重要配置等。未授权的关键配置项操作指令既可以判断登录终端设备的当前用户是否为非法用户(操作行为是否为非法用户的违规操作),也可以判断管理员等合法登录用户是否进行超出其权限的操作(操作行为是否为合法登录用户的违规操作)。
步骤S1022中,判断第一预设时间内在终端设备上输入预设操作指令的次数是否大于预设阈值,可以用于判断非法用户。
预设操作指令可以为密码试探指令,可以通过判断在设备上短时间多次进行命令试探操作(例如密码试探操作)的次数是否超过预设阈值,判断当前用户是否为非法用户。当用户所处的网络环境不佳,或是系统服务器压力过大时,虽然可能会进行多次命令试探操作,但是,各命令试探操作的时间间隔一般较长,因此,可以通过步骤S1022来判断操作行为是非法用户的操作还是合法登录用户的正常操作。
可以理解的是,上述步骤S1021和S1022可以单独执行,也可以结合执行。如图2所示,在一具体实施例中,违规操作行为的判断具体包括如下步骤:
S201:当检测到某一用户登录所述终端设备后,获取当前用户针对所述终端设备的操作行为;
S202:判断向所述终端设备输入的操作指令是否为非法指令;
S203:若是,确定所述操作行为为违规操作行为;
S204:若否,判断第一预设时间内在终端设备上输入的预设操作指令是否错误;
S205:若错误,判断第一预设时间内在终端设备上输入预设操作指令的错误次数是否大于预设阈值;
S206:若所述第一预设时间内在终端设备上输入预设操作指令的错误次数大于预设阈值,确定所述操作行为为违规操作行为;若所述第一预设时间内在终端设备上输入预设操作指令的错误次数小于或等于预设阈值,确定所述操作行为为非违规操作行为;
S207:若步骤S205中,第一预设时间内在终端设备上输入的预设操作指令正确,判断向终端设备输入的操作指令是否为未授权的关键配置项操作指令;
S208:若是,通过确认码再次判断所述向终端设备输入的操作指令是否为未授权的关键配置项操作指令;
S209:若步骤S207中,向终端设备输入的操作指令不是未授权的关键配置项操作指令,确定所述操作行为为非违规操作行为;
S210:若步骤S208中,所述确认码验证通过,判断第一预设时间内在终端设备上输入预设操作指令后,所述终端设备执行所述预设操作指令的执行次数是否大于预设阈值;
S211:若所述终端设备执行所述预设操作指令的执行次数是否大于预设阈值,确定所述操作行为为违规操作行为;若所述终端设备执行所述预设操作指令的执行次数小于或等于预设阈值,确定所述操作行为为非违规操作行为;
S212:若步骤S208中,所述确认码验证未通过,确认所述操作行为为违规操作行为。
步骤208中,确认码可以是用于确定关键配置项操作指令的密码,也可以是随机码等,只要能够二次判断所述向终端设备输入的操作指令是否为未授权的关键配置项操作指令即可。
步骤211中,预设操作指令为执行关键配置的命令,预设操作指令的执行次数即为管理员等当前用户执行关键配置的次数,本实施例中,可以将执行配置重置的最大次数设为5次,可以将执行设备重启的次数是0次(即登录后若进行重启则确定当前用户进行非法操作)。
由上可知,在进行违规操作行为判断时,可以将多种判断方式结合,以提高违规操作行为判断的准确性,具体的判断方式可以根据实际需要确定,本申请不具体限定。
在一些实施例中,步骤S103中,对所述当前用户的登录进行处理,包括:
S1031:将登录所述终端设备的所述当前用户强制下线;和/或
S1032:对违规操作的所述当前用户进行自动预警,并在第二预设时间内终止所述当前用户的操作权限。
无论是非法用户还是合法用户,在确定出当前用户的操作行为为违规操作时,均可以将登录终端设备的当前用户强制下线,以保证终端设备的安全性。
在一些实施例中,当当前用户为管理员等合法用户时,可以不将其强制下线,而是对前用户进行自动预警,并在第二预设时间内终止所述当前用户的操作权限,即对合法用户超出其权限的操作行为进行处理,如此,仅对违规操作进行处理,可以避免对管理员的正常合法操作造成影响。
在一些实施例中,若S102中所述操作行为为违规操作行为,所述方法还包括:
若S104:获取所述当前用户的登录信息,其中,所述登录信息包括所述当前用户的用户名、ip地址或mac地址中的至少一种;
若S105:基于所述用户的登录信息生成用户黑名单。
当前用户的登录信息可以在用户登录终端设备后预先获取,并在确定所述操作行为为违规操作行为后,调用该登录信息,从而确定登录终端设备的用户。当确定操作行为为违规操作行为时,基于用户的登录信息动态生成用户黑名单,以限制非法用户再次以相同的用户名、或相同的终端登录该终端设备。合法的正常用户依然可以使用该用户名或终端(例如电子笔)登录终端设备。
在一些实施例中,如图3所示,所述方法还包括:
S301:根据所述操作行为生成至少一个日志文件,其中,不同的所述日志文件对应的所述操作行为不同;
S302:若所述操作行为为违规操作行为,将所述违规操作行为对应的日志文件与所述当前用户的预设配置文件进行比较,确定是否存在待回滚的配置信息;
S303:若存在,对所述配置信息进行回滚。
本实施例中,可以根据针对终端设备的操作行为实时生成操作行为对应的日志文件,在确定操作行为为违规操作行为后,从终端设备中提取出当前用户对应的预设配置文件,例如,管理员以某个用户名登录终端设备,系统会提取出一份该用户名对应的当前配置文件作为预设配置文件(对比文件),之后开始记录管理员对终端设备的操作行为并生成日志文件。如果该用户因违规操作被强制下线,那么该用户之前对终端设备进行的所有操作将回滚,将终端设备的配置恢复成该管理员登录前的配置。
在进行回滚之前,将生成日志文件与预设配置文件对比,确定是否存在待回滚的配置信息,若存在,对待回滚的配置信息进行回滚,将当前用户对应的配置信息恢复至默认配置信息;若不存在,可以确定当前的配置信息即为默认的配置信息,如此,可以减小数据处理量。
本实施例中,通过回滚操作,可以在非法用户恶意修改重要配置信息后,还原修改内容,保证终端设备的安全性。
在一些实施例在,步骤S303中,对所述配置信息进行回滚,包括:
将所述配置信息中的删除操作以添加操作恢复;
将所述配置信息中的添加操作以删除操作恢复;
将所述配置信息中的修改操作以添加操作恢复。
具体来说,网络安全设备有其自有的特征,管理员通过下发配置实现网络的管理,配置包括增加、删除、修改、查看等,并且配置的增加、删除、修改有通过特殊的关键字进行确认,例如增加(add)、删除(delete)、修改(modify),同时,策略名称在配置中也是唯一存在的。当管理员登录终端设备后,终端设备的后台系统开始记录管理员对终端设备下发的命令(针对终端设备的操作行为),例如,存在以下使用场景:
用户A以管理员user1登录终端设备,登录终端设备使用的pc的ip地址和mac地址分别是ipA、macA;用户B以管理员user2登录终端设备,登录终端设备使用的pc的ip地址和mac地址分别是ipB、macB;用户C以管理员user1登录终端设备,登录终端设备使用的pc的ip地址和mac地址分别是ipC、macC。
当用户A、用户B、用户C登录后,系统先提取出当前运行的三个文件(生成的日志文件):currentconfig_user1_ipA_macA、currentconfig_user2_ipB_macB、currentconfig_user1_ipC_macC,三个用户对终端设备预先进行了如下配置,并以modifyconfig_user1_ipA_macA、modifyconfig_user2_ipB_macB、modifyconfig_user1_ipC_macC三个文件记录下来,如表1所示。
表1
Figure BDA0003363959590000111
假设用户A存在违规操作,通过对比currentconfig_user1_ipA_macA和modifyconfig_user1_ipA_macA文件,得到两处不同:
<qos channel modify name 1.1 enable no priority low iceil 100000irate100000 eceil 100000 erate 100000 ip-iceil 0 ip-eceil 0 sarea none saddrnone daddr none role none service none schedule none app none log on
<define host add name 1.1.1.2
---
>qos channel add name 1.1 enable no priority low iceil 1000 irate100eceil 100 erate 100 ip-iceil 0 ip-eceil 0 sarea none saddr none daddr nonerole none service none schedule none app none log on
根据不同点,确定这两处不同点需要进行配置恢复,删除操作以添加操作恢复,添加操作以删除操作恢复,修改操作以添加操作恢复。对于上述例子,得到恢复后的配置信息,并通过输入操作指令的方式传递至终端设备,恢复后的配置信息可以表示为:
qos channel add name 1.1 enable no priority low iceil 1000 irate100eceil 100 erate 100 ip-iceil 0 ip-eceil 0 sarea none saddr none daddr nonerole none service none schedule none app none log on
qos channel delete name 1.1
通过上述回滚操作,既可以恢复用户A对终端设备配置的更改,又不影响其他用户对终端设备配置的变更,满足不同用户的使用。
图4为本申请实施例的异常登录检测装置的结构示意图。如图4所示,基于上述的异常登录检测方法,本申请实施例提供一种异常登录检测装置,包括:
获取模块401,配置为当检测到某一用户登录所述终端设备后,获取当前用户针对所述终端设备的操作行为;
判断模块402,配置为判断所述操作行为是否为违规操作行为;
处理模块403,配置为若所述操作行为是违规操作行为,对所述当前用户的登录进行处理。
在一些实施例中,判断模块402具体配置为:
判断向所述终端设备输入的操作指令是否为非法指令;和/或
判断第一预设时间内在所述终端设备上输入预设操作指令的次数是否大于预设阈值。
在一些实施例中,判断模块402进一步配置为:
判断向所述终端设备输入的操作指令是否为破坏性指令和/或未授权的关键配置项操作指令。
在一些实施例中,处理模块403具体配置为:
将登录所述终端设备的所述当前用户强制下线;和/或
对违规操作的所述当前用户进行自动预警,并在第二预设时间内终止所述当前用户的操作权限。
在一些实施例中,若所述操作行为为违规操作行为,
获取模块401还配置为:获取所述当前用户的登录信息,其中,所述登录信息包括所述当前用户的用户名、ip地址或mac地址中的至少一种;
处理模块403还配置为:基于所述用户的登录信息生成用户黑名单。
在一些实施例中,异常登录检测装置还包括:
生成模块,配置为根据所述操作行为生成至少一个日志文件,不同的所述日志文件对应的所述操作行为不同;
确定模块,配置为若所述操作行为为违规操作行为,将所述违规操作行为对应的日志文件与所述当前用户的预设配置文件进行比较,确定是否存在待回滚的配置信息;
回滚模块,配置为若存在,对所述配置信息进行回滚。
在一些实施例中,回滚模块进一步配置为:
将所述配置信息中的删除操作以添加操作恢复;
将所述配置信息中的添加操作以删除操作恢复;
将所述配置信息中的修改操作以添加操作恢复。
需要说明的是,本申请实施例提供的异常登录检测装置与上述实施例中异常登录检测方法相对应,基于上述的异常登录检测方法,本领域的技术人员能够了解本申请实施例中异常登录检测装置具体实施方式以及其各种变化形式,异常登录检测方法实施例中的任何可选项也适用于异常登录检测装置,在此不再赘述。
本申请实施例提供一种终端设备,包括:
存储器,所述存储器中存储有计算机程序指令;
处理器,所述处理器执行所述存储器存储的计算机执行指令时实现上述的异常登录检测方法。
存储器可能包括易失性存储器(例如,随机存取存储器(random-access memory,RAM),其可包括易失性RAM、磁性RAM、铁电RAM以及任何其他适合的形式),也可能包括非易失性存储器(例如,磁盘存储器、闪速存储器、可擦除可编程只读存储器(erasableprogrammable read-only memory,EPROM)、电可擦除可编程只读存储器(electricallyerasable programmable read-only memory,EEPROM)、基于忆阻器的非易失性固态存储器等)。
处理器可以是通用处理器,包括中央处理器CPU、网络处理器(networkprocessor,NP)等;还可以是数字信号处理器DSP、专用集成电路ASIC、现场可编程门阵列FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
终端设备可以包括服务器、网络安全设备、计算机、智能车载终端等固定终端设备;还可以包括智能手机(如Android手机、iOS手机、Windows Phone手机等)、平板电脑、掌上电脑、笔记本电脑、移动互联网设备MID(Mobile Internet Devices,简称:MID)或穿戴式设备等可移动终端设备。
本领域技术人员可以理解,终端设备可以包括更多或更少的部件,例如,还可包括通信接口等,或者组合某些部件,或者不同的部件布置。
本申请实施例还提供了一种计算机可读存储介质,其上存储有计算机可执行指令,所述计算机可执行指令由处理器执行时,实现上述的异常登录检测方法。
以上实施例仅为本申请的示例性实施例,不用于限制本申请,本申请的保护范围由权利要求书限定。本领域技术人员可以在本申请的实质和保护范围内,对本申请做出各种修改或等同替换,这种修改或等同替换也应视为落在本申请的保护范围内。

Claims (10)

1.一种异常登录检测方法,应用于终端设备,其特征在于,所述方法包括:
当检测到某一用户登录所述终端设备后,获取当前用户针对所述终端设备的操作行为;
判断所述操作行为是否为违规操作行为;
若是,对所述当前用户的登录进行处理。
2.根据权利要求1所述的方法,其特征在于,所述判断所述操作行为是否为违规操作行为,包括:
判断向所述终端设备输入的操作指令是否为非法指令;和/或
判断第一预设时间内在所述终端设备上输入预设操作指令的次数是否大于预设阈值。
3.根据权利要求2所述的方法,其特征在于,所述判断向所述终端设备输入的操作指令是否为非法指令,包括:
判断向所述终端设备输入的操作指令是否为破坏性指令和/或未授权的关键配置项操作指令。
4.根据权利要求1所述的方法,其特征在于,所述对所述当前用户的登录进行处理,包括:
将登录所述终端设备的所述当前用户强制下线;和/或
对违规操作的所述当前用户进行自动预警,并在第二预设时间内终止所述当前用户的操作权限。
5.根据权利要求4所述的方法,其特征在于,若所述操作行为为违规操作行为,所述方法还包括:
获取所述当前用户的登录信息,其中,所述登录信息包括所述当前用户的用户名、ip地址或mac地址中的至少一种;
基于所述用户的登录信息生成用户黑名单。
6.根据权利要求4所述的方法,其特征在于,所述方法还包括:
根据所述操作行为生成至少一个日志文件,不同的所述日志文件对应的所述操作行为不同;
若所述操作行为为违规操作行为,将所述违规操作行为对应的日志文件与所述当前用户的预设配置文件进行比较,确定是否存在待回滚的配置信息;
若存在,对所述配置信息进行回滚。
7.根据权利要求6所述的方法,其特征在于,对所述配置信息进行回滚,包括:
将所述配置信息中的删除操作以添加操作恢复;
将所述配置信息中的添加操作以删除操作恢复;
将所述配置信息中的修改操作以添加操作恢复。
8.一种异常登录检测装置,其特征在于,包括:
获取模块,配置为当检测到某一用户登录所述终端设备后,获取当前用户针对所述终端设备的操作行为;
判断模块,配置为判断所述操作行为是否为违规操作行为;
处理模块,配置为若所述操作行为是违规操作行为,对所述当前用户的登录进行处理。
9.一种终端设备,其特征在于,包括:
存储器,所述存储器存储计算机执行指令;
处理器,所述处理器执行所述存储器存储的计算机执行指令时实现如权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机执行指令,所述计算机执行指令被处理器执行时实现如权利要求1-7中任一项所述的方法。
CN202111376247.XA 2021-11-19 2021-11-19 异常登录检测方法、装置、终端设备及存储介质 Pending CN114048455A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111376247.XA CN114048455A (zh) 2021-11-19 2021-11-19 异常登录检测方法、装置、终端设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111376247.XA CN114048455A (zh) 2021-11-19 2021-11-19 异常登录检测方法、装置、终端设备及存储介质

Publications (1)

Publication Number Publication Date
CN114048455A true CN114048455A (zh) 2022-02-15

Family

ID=80210154

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111376247.XA Pending CN114048455A (zh) 2021-11-19 2021-11-19 异常登录检测方法、装置、终端设备及存储介质

Country Status (1)

Country Link
CN (1) CN114048455A (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107959673A (zh) * 2017-11-17 2018-04-24 广东省信息安全测评中心 异常登录检测方法、装置、存储介质和计算机设备
CN109727027A (zh) * 2018-06-01 2019-05-07 平安普惠企业管理有限公司 账户识别方法、装置、设备及存储介质
CN111224920A (zh) * 2018-11-23 2020-06-02 珠海格力电器股份有限公司 一种防止非法登录的方法、装置、设备及计算机存储介质
CN113282474A (zh) * 2021-05-31 2021-08-20 长沙市到家悠享家政服务有限公司 基于堡垒机的用户行为监控方法、系统、设备及介质
CN113556338A (zh) * 2021-07-20 2021-10-26 龙海 一种计算机网络安全异常操作拦截方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107959673A (zh) * 2017-11-17 2018-04-24 广东省信息安全测评中心 异常登录检测方法、装置、存储介质和计算机设备
CN109727027A (zh) * 2018-06-01 2019-05-07 平安普惠企业管理有限公司 账户识别方法、装置、设备及存储介质
CN111224920A (zh) * 2018-11-23 2020-06-02 珠海格力电器股份有限公司 一种防止非法登录的方法、装置、设备及计算机存储介质
CN113282474A (zh) * 2021-05-31 2021-08-20 长沙市到家悠享家政服务有限公司 基于堡垒机的用户行为监控方法、系统、设备及介质
CN113556338A (zh) * 2021-07-20 2021-10-26 龙海 一种计算机网络安全异常操作拦截方法

Similar Documents

Publication Publication Date Title
US20200329058A1 (en) System and Method for Cyber Security Threat Detection
US10264104B2 (en) Systems and methods for malicious code detection accuracy assurance
US10893068B1 (en) Ransomware file modification prevention technique
CN108268354B (zh) 数据安全监控方法、后台服务器、终端及系统
CN107659583B (zh) 一种检测事中攻击的方法及系统
US10462173B1 (en) Malware detection verification and enhancement by coordinating endpoint and malware detection systems
US10148693B2 (en) Exploit detection system
CN111274583A (zh) 一种大数据计算机网络安全防护装置及其控制方法
CN105939326B (zh) 处理报文的方法及装置
CN108932426B (zh) 越权漏洞检测方法和装置
CN113660224B (zh) 基于网络漏洞扫描的态势感知防御方法、装置及系统
US10542044B2 (en) Authentication incident detection and management
US10142343B2 (en) Unauthorized access detecting system and unauthorized access detecting method
US20170208075A1 (en) Smart Lockout
CN108092970B (zh) 一种无线网络维护方法及其设备、存储介质、终端
CN112565266A (zh) 一种信息泄露攻击检测方法、装置、电子设备及存储介质
US9479521B2 (en) Software network behavior analysis and identification system
JP2015225500A (ja) 認証用情報の窃取検知方法、認証用情報の窃取検知装置、及びプログラム
CN111800405A (zh) 检测方法及检测设备、存储介质
CN112532631A (zh) 一种设备安全风险评估方法、装置、设备及介质
CN112668005A (zh) webshell文件的检测方法及装置
CN113411297A (zh) 基于属性访问控制的态势感知防御方法及系统
CN113660222A (zh) 基于强制访问控制的态势感知防御方法及系统
RU2673711C1 (ru) Способ обнаружения аномальных событий на основании набора сверток безопасных событий
CN115883170A (zh) 网络流量数据监测分析方法、装置及电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination