CN114065187B - 异常登录检测方法、装置、计算设备及存储介质 - Google Patents
异常登录检测方法、装置、计算设备及存储介质 Download PDFInfo
- Publication number
- CN114065187B CN114065187B CN202210051220.1A CN202210051220A CN114065187B CN 114065187 B CN114065187 B CN 114065187B CN 202210051220 A CN202210051220 A CN 202210051220A CN 114065187 B CN114065187 B CN 114065187B
- Authority
- CN
- China
- Prior art keywords
- login operation
- detection
- type
- user data
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Computer Hardware Design (AREA)
- Evolutionary Computation (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明实施例涉及计算机技术领域,特别涉及一种异常登录检测方法、装置、计算设备及存储介质,该方法包括:基于待登录的账号信息,从数据库中得到与账号信息对应的预先训练的至少两个检测模型;数据库存储有多个账号信息和多个检测模型,每个账号信息均对应有至少两个检测模型,每个检测模型均用于检测与该检测模型对应的一个类型的用户数据;从当前登录的电脑终端中,获取当前登录操作过程中产生的至少两个类型的用户数据;将每一个类型的用户数据分别输入到与该类型对应的检测模型中,确定当前登录操作是否为异常登录操作;若是,则基于对获取到的用户数据的检测结果,确定当前登录操作的异常理由。本方案能够提高异常登录检测的准确率。
Description
技术领域
本发明实施例涉及计算机技术领域,特别涉及一种异常登录检测方法、装置、计算设备及存储介质。
背景技术
随着计算机技术的发展,因账号异常登录导致的安全事件越来越多,这对用户的个人资产和隐私信息造成了极大的威胁。目前,账号登录的方式包括:基于移动终端(例如手机、平板电脑等)的登录方式和基于电脑终端的登录方式。
对于基于移动终端的登录方式而言,该登录方式是可以通过移动终端的一些采集模块(例如指纹采集模块、摄像头采集模块等)采集到的用户信息(例如指纹信息、人脸信息等)作为异常登录检测的数据,因此该登录方式的异常登录检测的准确率较高。
然而,对于基于电脑终端的登录方式而言,由于电脑终端一般不具备指纹采集模块和摄像头采集模块,因此该登录方式的异常登录检测的准确率不高。
因此,目前亟待需要一种异常登录检测方法、装置、计算设备及存储介质来解决上述技术问题。
发明内容
为了提高基于电脑终端的登录方式的异常登录检测的准确率,本发明实施例提供了一种异常登录检测方法、装置、计算设备及存储介质。
第一方面,本发明实施例提供了一种异常登录检测方法,包括:
基于待登录的账号信息,从数据库中得到与所述账号信息对应的预先训练的至少两个检测模型;其中,所述数据库存储有多个账号信息和多个检测模型,每个账号信息均对应有至少两个检测模型,每个检测模型均用于检测与该检测模型对应的一个类型的用户数据;
从当前登录的电脑终端中,获取当前登录操作过程中产生的至少两个类型的用户数据;
将每一个类型的用户数据分别输入到与该类型对应的检测模型中,确定当前登录操作是否为异常登录操作;
若是,则基于对获取到的用户数据的检测结果,确定当前登录操作的异常理由。
在一种可能的设计中,所述检测模型是通过如下方式训练的:
针对登录电脑终端的操作,获取多个用户在历史时间段内的用户数据;
将获取到的任一个用户对应的用户数据作为正样本,其他用户对应的用户数据作为负样本;
将所述正样本和负样本分别按照时间顺序进行排序,得到用户数据序列;
将所述用户数据序列以特征向量的方式输入到预先设置的神经网络模型中,得到所述检测模型。
在一种可能的设计中,所述类型包括软件信息类型、硬件信息类型和网络环境信息类型。
在一种可能的设计中,在所述基于待登录的账号信息,从数据库中得到与所述账号信息对应的预先训练的至少两个检测模型之后,还包括:
基于所述账号信息对应的账号类别,确定与所述账号信息对应的至少两个检测模型的权重;
所述将每一个类型的用户数据分别输入到与该类型对应的检测模型中,确定当前登录操作是否为异常登录操作,包括:
将每一个类型的用户数据分别输入到与该类型对应的检测模型中,得到与当前类型对应的第一分数;
基于每一个类型对应的第一分数和与该类型对应的检测模型的权重,得到与当前类型对应的第二分数;
将当前登录操作过程中的所有类型对应的第二分数累加,得到当前登录操作的目标分数;
基于所述目标分数和预设的异常登录分数阈值,确定当前登录操作是否为异常登录操作。
在一种可能的设计中,所述基于对获取到的用户数据的检测结果,确定当前登录操作的异常理由,包括:
按照所述第二分数的分数高低顺序对所述至少两个检测模型进行降序排列;
将位于前预设个数的检测模型作为目标检测模型;
基于所述目标检测模型对应的类型,确定当前登录操作的异常理由。
在一种可能的设计中,在确定当前登录操作是异常登录操作之后,还包括:
按照所述目标分数的分数高低顺序对多个异常登录操作进行降序排列;
将位于前预设个数的异常登录操作作为目标异常登录操作,以对所述目标异常登录操作进行操作限制;
在接收到一个目标异常登录操作的作业反馈时,对该目标异常登录操作进行二次检测;
如果检测出该目标异常登录操作为正常登录操作,则利用该目标异常登录操作的用户数据训练所述至少两个检测模型。
在一种可能的设计中,在确定当前登录操作是正常登录操作之后,还包括:
对正常登录操作进行二次检测;
如果检测出所述正常登录操作为异常登录操作,则利用所述正常登录操作的用户数据训练所述至少两个检测模型。
第二方面,本发明实施例还提供了一种异常登录检测装置,包括:
模型获得模块,用于基于待登录的账号信息,从数据库中得到与所述账号信息对应的预先训练的至少两个检测模型;其中,所述数据库存储有多个账号信息和多个检测模型,每个账号信息均对应有至少两个检测模型,每个检测模型均用于检测与该检测模型对应的一个类型的用户数据;
获取模块,用于从当前登录的电脑终端中,获取当前登录操作过程中产生的至少两个类型的用户数据;
第一确定模块,用于将每一个类型的用户数据分别输入到与该类型对应的检测模型中,确定当前登录操作是否为异常登录操作;
第二确定模块,用于若是,则基于对获取到的用户数据的检测结果,确定当前登录操作的异常理由。
第三方面,本发明实施例还提供了一种计算设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现如上述任一项所述的方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行上述任一项所述的方法
本发明实施例提供了一种异常登录检测方法、装置、计算设备及存储介质,通过对每个账号信息建立相关联的至少两个检测模型,将从当前登录的电脑终端中获取到的至少两个类型的用户数据输入到对应的检测模型中,确定当前登录操作是否为异常登录操作。如此设置,无需在电脑终端设置指纹采集模块和摄像头采集模块,而是可以从当前登录的电脑终端中获得的用户数据,从而可以有效提高基于电脑终端的登录方式的异常登录检测的准确率。此外,基于对获取到的用户数据的检测结果,得到当前登录操作的异常理由,则能够利用得到的异常理由进行相关服务,例如在确定为异常的登录操作进行作业反馈时,作业部门可以将该异常理由发送给执行该登录操作的用户,以向用户进行产生异常理由的说明分析,从而提高了作业的服务质量。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种异常登录检测方法流程图;
图2是本发明一实施例提供的一种计算设备的硬件架构图;
图3是本发明一实施例提供的一种异常登录检测装置的结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参考图1,本发明实施例提供了一种异常登录检测方法,包括:
步骤100:基于待登录的账号信息,从数据库中得到与账号信息对应的预先训练的至少两个检测模型;其中,数据库存储有多个账号信息和多个检测模型,每个账号信息均对应有至少两个检测模型,每个检测模型均用于检测与该检测模型对应的一个类型的用户数据;
步骤102:从当前登录的电脑终端中,获取当前登录操作过程中产生的至少两个类型的用户数据;
步骤104:将每一个类型的用户数据分别输入到与该类型对应的检测模型中,确定当前登录操作是否为异常登录操作;
步骤106、若是,则基于对获取到的用户数据的检测结果,确定当前登录操作的异常理由。
本发明实施例中,通过对每个账号信息建立相关联的至少两个检测模型,将从当前登录的电脑终端中获取到的至少两个类型的用户数据输入到对应的检测模型中,确定当前登录操作是否为异常登录操作。如此设置,无需在电脑终端设置指纹采集模块和摄像头采集模块,而是可以从当前登录的电脑终端中获得的用户数据,从而可以有效提高基于电脑终端的登录方式的异常登录检测的准确率。
在现有技术中,通常只是对异常登录操作进行检测,无法获取到登录操作异常的理由。而如果无法获取登录操作异常的理由,则会限制作业(例如用户的本职工作)的正常运行,降低作业的可信度。通常而言,在检测出一个登录操作为异常登录操作之后,会对执行该登录操作的用户进行限制,例如限制该用户在一周之内不能进行登录操作。然而,在很多作业场景中,在对执行该登录操作的用户进行限制后,该用户会进行作业反馈,例如反馈对其进行的异常检测时错误的,即其自身的登录操作是正常登录操作。针对这个问题,作业部分往往不能有效地向确定为异常登录操作的用户进行异常理由的说明分析,这就会降低作业的服务质量。
在该实施例中,通过基于对获取到的用户数据的检测结果,得到当前登录操作的异常理由,如此可以利用得到的异常理由进行相关服务,例如在确定为异常的登录操作进行作业反馈时,作业部门可以将该异常理由发送给执行该登录操作的用户,以向用户进行产生异常理由的说明分析,从而提高了作业的服务质量。
下面描述图1所示的各个步骤的执行方式。
针对步骤100,例如用户打开电脑终端的登录页面的网页,当将用户的账号信息输入到账号一栏中,则电脑终端将携带账号信息的请求发送给服务器,以从服务器的数据库中读取与该账号信息对应的预先训练的至少两个检测模型。
在一些实施方式中,检测模型是通过如下方式训练的:
针对登录电脑终端的操作,获取多个用户在历史时间段内的用户数据;
将获取到的任一个用户对应的用户数据作为正样本,其他用户对应的用户数据作为负样本;
将正样本和负样本分别按照时间顺序进行排序,得到用户数据序列;
将用户数据序列以特征向量的方式输入到预先设置的神经网络模型中,得到检测模型。
也就是说,在对每一个检测模型进行训练时,输入的正样本是该账号对应的合法用户的用户数据,而不是该账户对应的用户数据则是负样本,将用户数据序列以特征向量输入到预先设置的神经网络模型中,进行训练,正样本对应输出1,负样本对应输出0。
在一些实施方式中,预先设置的神经网络模型为LSTM(LongShort-TermMemory,长短期记忆网络)模型,通过分类器输出检测结果(即下文提及的第一分数和第二分数)。LSTM的特点在于,输入序列不论长短都会被编码成一个固定长度的向量表示,而解码则受限与该固定长度的向量表示。具体的正常运行过程可参见现有技术中的LSTM的正常运行过程,在此不再赘述。
针对步骤102,类型包括软件信息类型、硬件信息类型和网络环境信息类型。
其中,软件信息例如可以包括终端设备系统信息、虚拟机标识、特殊进程ID标识、进程列表等;硬件信息包括CPU型号及ID、硬盘型号及ID、网卡型号及ID、显卡型号及ID等;网络环境信息包括通信协议、用户操作环境IP等。
可以理解的是,上述这些信息无需在电脑终端设置硬件采集模块(例如指纹采集模块和摄像头采集模块),从而节省了成本,而例如可以采用调用API接口的方式来获得这些信息。
在步骤100之后,上述方法还包括:基于账号信息对应的账号类别,确定与账号信息对应的至少两个检测模型的权重。通过账号信息就能够确定账号类别,例如在用户首次登录网页时,电脑终端就将用户首次输入的唯一账号信息和该登录网页对应的类型(例如财务、聊天、邮件等)建立了关联关系。
举例来说,当账号类别为财务类型时,网络环境信息类型对应的检测模型的权重则相对更高,这是因为在进行资金交易时,往往IP地址相比硬件信息和软件信息更易被篡改,因此有必要提高网络环境信息类型对应的检测模型的权重。也就是说,根据账号信息对应的账号类别,对各检测模型的权重进行调整。
针对步骤104,在一些实施方式中,该步骤具体可以包括:
将每一个类型的用户数据分别输入到与该类型对应的检测模型中,得到与当前类型对应的第一分数;
基于每一个类型对应的第一分数和与该类型对应的检测模型的权重,得到与当前类型对应的第二分数;
将当前登录操作过程中的所有类型对应的第二分数累加,得到当前登录操作的目标分数;
基于目标分数和预设的异常登录分数阈值,确定当前登录操作是否为异常登录操作。
在该实施例中,通过基于各检测模型的权重和输出的第一分数,得到第二分数,再对所有类型对应的第二分数进行累加,以将累加得到的目标分束和预设的异常登录分数阈值进行比较,从而可以精确地确定当前登录操作是否为异常登录操作,即确定执行当前登录操作的用户是否处于异常状态。
举例来说,预先训练出三个检测模型(当然可以更多,例如软件信息类型对应的检测模型可以进一步包括终端设备系统信息类型对应的检测模型、虚拟机标识类型对应的检测模型、特殊进程ID标识类型对应的检测模型、进程列表类型对应的检测模型,在此不进行赘述),可以根据确定出的账号类别,得到该账号类别对应的每一个检测模型的权重;其中,所有权重相加为1。比如对于财务类型,可以设置软件信息类型对应的检测模型的权重相对较小(例如为0.1),硬件信息类型对应的检测模型的权重也相对较小(例如为0.2),而网络环境信息类型对应的检测模型的权重则相对较大(例如为0.7)。当用户数据输入到上述三个检测模型后,得到的第一分数例如分别为30分、50分和80分,基于上述权重和第一分数,得到第二分数分别为3分、10分和56分,目标分数为69分。假设,异常登录分数阈值为60分,则目标分数大于异常登录分数阈值,因此可以确定当前登录操作是否为异常登录操作,即确定执行当前登录操作的用户是否处于异常状态。
针对步骤106,在一些实施方式中,该步骤具体可以包括:
按照第二分数的分数高低顺序对至少两个检测模型进行降序排列;
将位于前预设个数的检测模型作为目标检测模型;
基于目标检测模型对应的类型,确定当前登录操作的异常理由。
在该实施例中,通过对至少两个检测模型进行降序排列,以得到目标检测模型,这样就能够基于目标检测模型对应的类型,确定当前登录操作的异常理由,从而在异常的登录操作进行作业反馈时,作业部门可以将该异常理由发送给执行该登录操作的用户,以向用户进行产生异常理由的说明分析,从而提高了作业的服务质量。
举例来说,对于前述实施例提到的三个检测模型,分别得到了三个第二分数,按照第二分数的分数高低顺序来降序排列依次为:网络环境信息类型对应的检测模型、硬件信息类型对应的检测模型和软件信息类型对应的检测模型。排列顺序可以说明在得出登录操作为异常时的导致异常理由的重要性,如此可以利用排在前面预设个数(例如第一个)的类型信息作为当前登录操作的异常理由。
在本发明实施例中,可以通过不断的迭代来更新训练出的各检测模型,具体有如下两种情形。
情形一:
在步骤106之后,具体而言,在确定当前登录操作是异常登录操作之后,还包括:
按照目标分数的分数高低顺序对多个异常登录操作进行降序排列;
将位于前预设个数的异常登录操作作为目标异常登录操作,以对目标异常登录操作进行操作限制;
在接收到一个目标异常登录操作的作业反馈时,对该目标异常登录操作进行二次检测;
如果检测出该目标异常登录操作为正常登录操作,则利用该目标异常登录操作的用户数据训练至少两个检测模型。
在该实施例中,如果接收到被限制的一个产生异常登录操作的用户的作业反馈,则对该用户进行二次检测(例如专业人员检测),如果检测出该异常登录操作为正常的登录操作,则说明之前的检测模型有待优化。此时,可以将该登录操作的用户数据重新训练上述至少两个检测模型,从而通过迭代的方式优化检测模型的检测精度。
情形二:
在步骤106之后,具体而言,在确定当前登录操作是正常登录操作之后,还包括:
对正常登录操作进行二次检测;
如果检测出正常登录操作为异常登录操作,则利用正常登录操作的用户数据训练至少两个检测模型。
在该实施例中,对于确定为正常登录操作的用户也可以进行二次检测,如果检测出该正常登录操作为异常的登录操作,则说明之前的检测模型有待优化。此时,可以将该登录操作的用户数据重新训练上述至少两个检测模型,从而通过迭代的方式优化检测模型的检测精度。
可以理解的是,二次检测可以是算法检测,也可以是人工(即专业人员)检测,在此不进行具体限定。在此,想要说明的是,二次检测的结果可以认为是准确的,从而将之前训练模型阶段用到的用户数据进行重新迭代,以提高检测模型的检测精度。
如图2和图3所示,本发明实施例提供了一种异常登录检测装置。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图2所示,为本发明实施例提供的一种异常登录检测装置所在计算设备的一种硬件架构图,除了图2所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的计算设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图3所示,作为一个逻辑意义上的装置,是通过其所在计算设备的CPU将非易失性存储器中对应的计算机程序读取到内存中运行形成的。
如图3所示,本实施例提供的一种异常登录检测装置,包括:
模型获得模块300,用于基于待登录的账号信息,从数据库中得到与账号信息对应的预先训练的至少两个检测模型;其中,数据库存储有多个账号信息和多个检测模型,每个账号信息均对应有至少两个检测模型,每个检测模型均用于检测与该检测模型对应的一个类型的用户数据;
获取模块302,用于从当前登录的电脑终端中,获取当前登录操作过程中产生的至少两个类型的用户数据;
第一确定模块304,用于将每一个类型的用户数据分别输入到与该类型对应的检测模型中,确定当前登录操作是否为异常登录操作;
第二确定模块306,用于若是,则基于对获取到的用户数据的检测结果,确定当前登录操作的异常理由。
在本发明实施例中,模型获得模块300可用于执行上述方法实施例中的步骤100,获取模块302可用于执行上述方法实施例中的步骤102,第一确定模块304可用于执行上述方法实施例中的步骤104,第二确定模块306可用于执行上述方法实施例中的步骤106。
在本发明的一个实施例中,检测模型是通过如下方式训练的:
针对登录电脑终端的操作,获取多个用户在历史时间段内的用户数据;
将获取到的任一个用户对应的用户数据作为正样本,其他用户对应的用户数据作为负样本;
将正样本和负样本分别按照时间顺序进行排序,得到用户数据序列;
将用户数据序列以特征向量的方式输入到预先设置的神经网络模型中,得到检测模型。
在本发明的一个实施例中,类型包括软件信息类型、硬件信息类型和网络环境信息类型。
在本发明的一个实施例中,还包括:第三确定模块;
第三确定模块,用于基于账号信息对应的账号类别,确定与账号信息对应的至少两个检测模型的权重;
第一确定模块,用于执行如下操作:
将每一个类型的用户数据分别输入到与该类型对应的检测模型中,得到与当前类型对应的第一分数;
基于每一个类型对应的第一分数和与该类型对应的检测模型的权重,得到与当前类型对应的第二分数;
将当前登录操作过程中的所有类型对应的第二分数累加,得到当前登录操作的目标分数;
基于目标分数和预设的异常登录分数阈值,确定当前登录操作是否为异常登录操作。
在本发明的一个实施例中,第二确定模块,用于执行如下操作:
按照第二分数的分数高低顺序对至少两个检测模型进行降序排列;
将位于前预设个数的检测模型作为目标检测模型;
基于目标检测模型对应的类型,确定当前登录操作的异常理由。
在本发明的一个实施例中,还包括:第一二次检测模块;
第一二次检测模块,用于执行如下操作:
按照目标分数的分数高低顺序对多个异常登录操作进行降序排列;
将位于前预设个数的异常登录操作作为目标异常登录操作,以对目标异常登录操作进行操作限制;
在接收到一个目标异常登录操作的作业反馈时,对该目标异常登录操作进行二次检测;
如果检测出该目标异常登录操作为正常登录操作,则利用该目标异常登录操作的用户数据训练至少两个检测模型。
在本发明的一个实施例中,还包括:第二二次检测模块;
第二二次检测模块,用于执行如下操作:
对正常登录操作进行二次检测;
如果检测出正常登录操作为异常登录操作,则利用正常登录操作的用户数据训练至少两个检测模型。
可以理解的是,本发明实施例示意的结构并不构成对一种异常登录检测装置的具体限定。在本发明的另一些实施例中,一种异常登录检测装置可以包括比图示更多或者更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
上述装置内的各模块之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
本发明实施例还提供了一种计算设备,包括存储器和处理器,存储器中存储有计算机程序,处理器执行计算机程序时,实现本发明任一实施例中的一种异常登录检测方法。
本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序在被处理器执行时,使处理器执行本发明任一实施例中的一种异常登录检测方法。
具体地,可以提供配有存储介质的系统或者装置,在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。
在这种情况下,从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上下载程序代码。
此外,应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。
此外,可以理解的是,将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中,随后基于程序代码的指令使安装在扩展板或者扩展模块上的CPU等来执行部分和全部实际操作,从而实现上述实施例中任一实施例的功能。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个…”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (8)
1.一种异常登录检测方法,其特征在于,包括:
基于待登录的账号信息,从数据库中得到与所述账号信息对应的预先训练的至少两个检测模型;其中,所述数据库存储有多个账号信息和多个检测模型,每个账号信息均对应有至少两个检测模型,每个检测模型均用于检测与该检测模型对应的一个类型的用户数据;
从当前登录的电脑终端中,获取当前登录操作过程中产生的至少两个类型的用户数据;
将每一个类型的用户数据分别输入到与该类型对应的检测模型中,确定当前登录操作是否为异常登录操作;
若是,则基于对获取到的用户数据的检测结果,确定当前登录操作的异常理由,以将该异常理由发送给执行该登录操作的用户;
在所述基于待登录的账号信息,从数据库中得到与所述账号信息对应的预先训练的至少两个检测模型之后,还包括:
基于所述账号信息对应的账号类别,确定与所述账号信息对应的至少两个检测模型的权重;其中,所述账号类别包括财务、聊天和邮件;
所述将每一个类型的用户数据分别输入到与该类型对应的检测模型中,确定当前登录操作是否为异常登录操作,包括:
将每一个类型的用户数据分别输入到与该类型对应的检测模型中,得到与当前类型对应的第一分数;
基于每一个类型对应的第一分数和与该类型对应的检测模型的权重,得到与当前类型对应的第二分数;
将当前登录操作过程中的所有类型对应的第二分数累加,得到当前登录操作的目标分数;
基于所述目标分数和预设的异常登录分数阈值,确定当前登录操作是否为异常登录操作;
所述基于对获取到的用户数据的检测结果,确定当前登录操作的异常理由,包括:
按照所述第二分数的分数高低顺序对所述至少两个检测模型进行降序排列;
将位于前预设个数的检测模型作为目标检测模型;
基于所述目标检测模型对应的类型,确定当前登录操作的异常理由。
2.根据权利要求1所述的方法,其特征在于,所述检测模型是通过如下方式训练的:
针对登录电脑终端的操作,获取多个用户在历史时间段内的用户数据;
将获取到的任一个用户对应的用户数据作为正样本,其他用户对应的用户数据作为负样本;
将所述正样本和负样本分别按照时间顺序进行排序,得到用户数据序列;
将所述用户数据序列以特征向量的方式输入到预先设置的神经网络模型中,得到所述检测模型。
3.根据权利要求1所述的方法,其特征在于,所述类型包括软件信息类型、硬件信息类型和网络环境信息类型。
4.根据权利要求1所述的方法,其特征在于,在确定当前登录操作是异常登录操作之后,还包括:
按照所述目标分数的分数高低顺序对多个异常登录操作进行降序排列;
将位于前预设个数的异常登录操作作为目标异常登录操作,以对所述目标异常登录操作进行操作限制;
在接收到一个目标异常登录操作的作业反馈时,对该目标异常登录操作进行二次检测;
如果检测出该目标异常登录操作为正常登录操作,则利用该目标异常登录操作的用户数据训练所述至少两个检测模型。
5.根据权利要求1所述的方法,其特征在于,在确定当前登录操作是正常登录操作之后,还包括:
对正常登录操作进行二次检测;
如果检测出所述正常登录操作为异常登录操作,则利用所述正常登录操作的用户数据训练所述至少两个检测模型。
6.一种异常登录检测装置,其特征在于,包括:
模型获得模块,用于基于待登录的账号信息,从数据库中得到与所述账号信息对应的预先训练的至少两个检测模型;其中,所述数据库存储有多个账号信息和多个检测模型,每个账号信息均对应有至少两个检测模型,每个检测模型均用于检测与该检测模型对应的一个类型的用户数据;
获取模块,用于从当前登录的电脑终端中,获取当前登录操作过程中产生的至少两个类型的用户数据;
第一确定模块,用于将每一个类型的用户数据分别输入到与该类型对应的检测模型中,确定当前登录操作是否为异常登录操作;
第二确定模块,用于若是,则基于对获取到的用户数据的检测结果,确定当前登录操作的异常理由,以将该异常理由发送给执行该登录操作的用户;
第三确定模块,用于基于账号信息对应的账号类别,确定与账号信息对应的至少两个检测模型的权重;其中,所述账号类别包括财务、聊天和邮件;
所述第一确定模块,用于执行如下操作:
将每一个类型的用户数据分别输入到与该类型对应的检测模型中,得到与当前类型对应的第一分数;
基于每一个类型对应的第一分数和与该类型对应的检测模型的权重,得到与当前类型对应的第二分数;
将当前登录操作过程中的所有类型对应的第二分数累加,得到当前登录操作的目标分数;
基于目标分数和预设的异常登录分数阈值,确定当前登录操作是否为异常登录操作;
所述第二确定模块,用于执行如下操作:
按照第二分数的分数高低顺序对至少两个检测模型进行降序排列;
将位于前预设个数的检测模型作为目标检测模型;
基于目标检测模型对应的类型,确定当前登录操作的异常理由。
7.一种计算设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现如权利要求1-5中任一项所述的方法。
8.一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行权利要求1-5中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210051220.1A CN114065187B (zh) | 2022-01-18 | 2022-01-18 | 异常登录检测方法、装置、计算设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210051220.1A CN114065187B (zh) | 2022-01-18 | 2022-01-18 | 异常登录检测方法、装置、计算设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114065187A CN114065187A (zh) | 2022-02-18 |
CN114065187B true CN114065187B (zh) | 2022-04-08 |
Family
ID=80231204
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210051220.1A Active CN114065187B (zh) | 2022-01-18 | 2022-01-18 | 异常登录检测方法、装置、计算设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114065187B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117272292B (zh) * | 2023-10-26 | 2024-02-27 | 腾讯科技(深圳)有限公司 | 一种数据处理方法、装置、设备及计算机可读存储介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111698247A (zh) * | 2020-06-11 | 2020-09-22 | 腾讯科技(深圳)有限公司 | 异常账号检测方法、装置、设备及存储介质 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10885165B2 (en) * | 2017-05-17 | 2021-01-05 | Forescout Technologies, Inc. | Account monitoring |
CN109241711B (zh) * | 2018-08-22 | 2023-04-18 | 平安科技(深圳)有限公司 | 基于预测模型的用户行为识别方法及装置 |
CN110443274B (zh) * | 2019-06-28 | 2024-05-07 | 平安科技(深圳)有限公司 | 异常检测方法、装置、计算机设备及存储介质 |
CN110489964A (zh) * | 2019-08-21 | 2019-11-22 | 北京达佳互联信息技术有限公司 | 账号检测方法、装置、服务器及存储介质 |
CN113468510A (zh) * | 2021-07-15 | 2021-10-01 | 中国银行股份有限公司 | 异常登录行为数据检测方法及装置 |
-
2022
- 2022-01-18 CN CN202210051220.1A patent/CN114065187B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111698247A (zh) * | 2020-06-11 | 2020-09-22 | 腾讯科技(深圳)有限公司 | 异常账号检测方法、装置、设备及存储介质 |
Non-Patent Citations (1)
Title |
---|
社交网络异常用户检测技术研究进展;曲强;于洪涛;黄瑞阳;;《网络与信息安全学报》;20180315(第03期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN114065187A (zh) | 2022-02-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112417439B (zh) | 账号检测方法、装置、服务器及存储介质 | |
CN109063920B (zh) | 一种交易风险识别方法、装置、及计算机设备 | |
CN105590055B (zh) | 用于在网络交互系统中识别用户可信行为的方法及装置 | |
US11763145B2 (en) | Article recommendation method and apparatus, computer device, and storage medium | |
CN110442712B (zh) | 风险的确定方法、装置、服务器和文本审理系统 | |
CN111343162B (zh) | 系统安全登录方法、装置、介质及电子设备 | |
CN112581259B (zh) | 账户风险识别方法及装置、存储介质、电子设备 | |
CN109947408B (zh) | 消息推送方法及装置、存储介质和电子设备 | |
CN110135590B (zh) | 信息处理方法、装置、介质及电子设备 | |
CN110768875A (zh) | 一种基于dns学习的应用识别方法及系统 | |
US20160283853A1 (en) | Fingerprinting and matching log streams | |
CN112883990A (zh) | 数据分类方法及装置、计算机存储介质、电子设备 | |
CN112435137A (zh) | 一种基于社团挖掘的欺诈信息检测方法及系统 | |
US20160283854A1 (en) | Fingerprinting and matching log streams | |
CN114065187B (zh) | 异常登录检测方法、装置、计算设备及存储介质 | |
CN111931048A (zh) | 基于人工智能的黑产账号检测方法及相关装置 | |
CN111126071A (zh) | 提问文本数据的确定方法、装置和客服群的数据处理方法 | |
CN110955890B (zh) | 恶意批量访问行为的检测方法、装置和计算机存储介质 | |
CN111177725A (zh) | 一种检测恶意刷点击操作的方法、装置、设备及存储介质 | |
CN113010785A (zh) | 用户推荐方法及设备 | |
CN117112855A (zh) | 一种基于在线智能的企业信息咨询管理系统 | |
CN113220949B (zh) | 一种隐私数据识别系统的构建方法及装置 | |
CN115774762A (zh) | 即时通讯信息处理方法、装置、设备及存储介质 | |
CN111209391A (zh) | 信息识别模型的建立方法及系统、拦截方法及系统 | |
CN115567283A (zh) | 一种身份认证方法、装置、电子设备、系统及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |