CN114389871A - 一种账号异常登录自动分析方法和装置 - Google Patents

Abstract

本发明实施例提供一种账号异常登录自动分析方法和装置，通过关联分析多个登录验证系统的日志信息能够发现传统账号密码登录认证无法发现的异常登录行为，降低了非法用户使用正确的账号和密码进行恶意登录的风险。

Description

一种账号异常登录自动分析方法和装置

技术领域

本发明涉及计算机应用技术领域，尤其涉及一种账号异常登录自动分析方法和装置。

背景技术

现有技术方案通道机服务器账号登录，是通过从用户名与密码对应的正确对应关系来判定用户登录的合法性，通过输入正确的用户名、密码、动态密码作为账号能正常登录的判定依据。现有服务器登录认证流程是，用户通过SSH登录通道机服务器(即JumpServer，即跳板机)，通道认证机服务通过用户名密码进行认证、返回给登录终端二维码扫描进行进行确认登录，服务器登录者通过手机上的移动办公认证系统，扫二维码进行确认登录，如果扫描认证通过，返回需要登录服务器的终端操作提示符。现有技术方案没有更多的再确认机制，没有考虑即使使用了正确的用户名与密码，依然存在非法取得用户名账号信息，冒名非法进入系统的风险。

在实现本发明过程中，申请人发现现有技术中至少存在如下问题：

现有技术的用户登录验证过程仍存在冒名非法登录系统的风险。

发明内容

本发明实施例提供一种账号异常登录自动分析方法和装置，改进了现有的用户登录验证过程，降低了非法用户冒名登录系统的风险。

为达上述目的，一方面，本发明实施例提供一种账号异常登录自动分析方法，包括：

收集指定账号的登录操作相关的多个登录验证系统各自的登录验证日志；其中，各登录验证系统相互通信协同完成所述登录操作；

获取各登录验证日志记录的预先指定的至少一种敏感指标信息；

对所述至少一种敏感指标信息进行安全威胁评价，得到至少一个评价积分；

将所有评价积分进行加权累加，得到评价总积分；

如果所述评价总积分与指定分数阈值满足指定大小关系，则将所述指定账号的登录操作判定为异常登录。

另一方面，本发明实施例提供一种账号异常登录自动分析装置，包括：

日志收集单元，用于收集指定账号的登录操作相关的多个登录验证系统各自的登录验证日志；其中，各登录验证系统相互通信协同完成所述登录操作；

敏感指标获取单元，用于获取各登录验证日志记录的预先指定的至少一种敏感指标信息；

评价积分获取单元，用于对所述至少一种敏感指标信息进行安全威胁评价，得到至少一个评价积分；

总积分获取单元，用于将各评价积分进行加权累加，得到评价总积分；

异常判定单元，用于如果所述评价总积分与指定分数阈值满足指定大小关系，则将所述指定账号的登录操作判定为异常登录。

上述技术方案具有如下有益效果：本发明实施例通过关联分析多个登录验证系统的日志信息能够发现传统账号密码登录认证无法发现的异常登录行为，降低了非法用户使用正确的账号和密码进行恶意登录的风险。进一步地，本发明技术方案在使用用户密码确认用户的身份是否是正常的情况的同时，关联其他纬度的日志数据，能获得更多的设备信息、威胁情报信息、地理位置信息，围绕用户的历史登录过程中相关数据、历史数据等用户操作的指纹信息，在密码信息之外，以更多的纬度确认用户登录的合法性。保证用户账号资产的安全。具体的，本发明技术方案对用户连接到通道机系统的客户端IP，对应的地理位置信息、移动设备登录二次确认时，移动设备IP地址位置信息、用户的移动设备ID的历史信息、用户登录密码撞库行为的信息、IP威胁情报库信息、人脸识别信息进行关联。关联分析得出冒名账号异常登录、危险撞库异常登录、危险IP异常登录、陌生设备异常登录、异地城市异常登录行为，进行评估打分，对于分数据大于事前设定阈值，起动人脸识别机制，进行唯一性身份认定，通过用户异常登录时，各种相关数据，所表现的异常特征，关联分析出账号登录异常时的问题。并根据异常结果决定是否进行人脸信息识别的再确认过程。通过以上机制，保证用户账号登录的安全性，一旦发生潜在账号异常登录，进行身份确认，并即时通知用户与安全运营人员，通过相关人员，快速响应与安全应急，对于重点账号的保护，也有深化加强保护的意义。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例之一的账号异常登录自动分析方法的一种流程图；

图2是本发明实施例之一的账号异常登录自动分析装置的一种架构图；

图3是本发明实施例之一的账号异常登录自动分析方法的另一种工作流程图；

图4是本发明实施例之一的一种应用账号异常登录自动分析装置的系统结构图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

发明人对现有技术进行分析发现，现有技术在用户登录时，通常进行动态密码认证、扫描二维码登录认证；但只做动态码认证时，无论采用什么方式，只要非法用户得到正常用户的手机，就有可以使用移动设备完成动态认证；只做二维码认证时，同样地，手机认证设备和静态密码被非法用户取得后，可以收到登录认证推送，即可执行认证；发明人发现若从登录者地理位置异常、登录IP异常、登录设备异异常角度考虑，并且进行关联威胁情报信息分析，对同组织但不同归属人的设备ID访问相同账号、共享账号、冒名登录的风险进行分析，可有效发现非法用户的登录操作，显著降低非法用户登录系统的几率或显著延长非法用户成功登录的尝试时间。进一步地，在被判定是异常登录时，进行人脸识别联动的登录认证，进行再确认的认证过程，可进一步避免非法登录用户账户。

缺少人脸识别认证，人脸识别信息作为更难被窃取的认证凭证，没有关于关联认证分析，再次确认登录认证防护手段。

缺少对用登录用户设备管理信息的、历史登录信息的记录，没有对同组织同一个人的所有设备，登录其他用户ID的异常分析判定过程，冒名登录，没有建立此检查机制。

一方面，如图1所示，本发明实施例提供一种账号异常登录自动分析方法，包括：

步骤S100，收集指定账号的登录操作相关的多个登录验证系统各自的登录验证日志；其中，各登录验证系统相互通信协同完成所述登录操作；

步骤S101，获取各登录验证日志记录的预先指定的至少一种敏感指标信息；

步骤S102，对所述至少一种敏感指标信息进行安全威胁评价，得到至少一个评价积分；

步骤S103，将所有评价积分进行加权累加，得到评价总积分；

步骤S104，如果所述评价总积分与指定分数阈值满足指定大小关系，则将所述指定账号的登录操作判定为异常登录。

在一些实施例中，当指定账号执行登录操作时，通过各登录验证系统相互通信协同完成登录操作，同时会在多个登录验证系统的登录验证日志中生成与登录操作有关的日志信息；例如登录验证系统包括但不限于通道机系统、用户登录认证系统和移动办公认证系统等。用户先通过SSH登录通道机系统，通道机系统在用户登录后，会向用户登录认证系统发出认证请求，用户登录认证系统可以通过两种途径进行用户认证，第一种是用户登录认证系统通过通道机系统在用户使用的通道机系统中的客户端上要求用户输入指定账号的账号、密码、以及动态验证码，第二种是用户登录认证系统会向通道机系统返回一个验证二维码，通道机系统会将验证二维码显示在用户使用的通道机系统的客户端上，用户需要通过输入指定账号的账号和密码登录移动办公认证系统中的移动客户端，并使用移动客户端扫描该验证二维码，扫描后，移动办公认证系统会将指定账号和密码发送给用户登录认证系统进行验证。在各系统都要确认成功后才能成功登入指定账号。在此过程中，用户的登录指定账号的登录操作在通道系统、用户登录认证系统、移动办公认证系统各自的日志中都生成了相关的登录验证日志信息。登录验证日志记录表示在各系统的日志中与登录操作有关的日志。可以通过常见的多种日志信息收集组件收集相关信息，并从各登录验证系统相应的登录验证日志中提取出预先指定的至少一种敏感指标信息，并使用多种常见的数据库存储相关敏感指标信息；例如Graylog是一个开源的日志聚合、分析、审计、显示和预警工具；Rsyslog是一个日志管理工具；各登录验证系统可以使用Graylog日志中心创建一个UDP协议的网络监听服务，并通过Rsyslog服务程序将各登录验证系统产生的日志转发给日志中心，日志中心收到日志数据后，对日志数据进行格式化并将格式化后的日志数据保存到数据库例如ElasticSearch集中数据库中。敏感指标信息的确定可通过对登录验证系统的历史运行情况进行统计分析确定对异常登录判定存在敏感性的相关指标。提取得到的敏感指标信息可以是格式化的信息，并且可以保存在数据库中。对敏感指标信息进行安全威胁评价时，可以针对敏感指标信息的特点选择适合的具体的安全威胁评价方法，并且经安全威胁评价后，可以得到相应的评价积分，评价积分的具体值可以通过预先对历史数据的分析，根据相关敏感指标信息与异常登录的紧密程度设置。优选地，对所述至少一种敏感指标信息进行安全威胁评价，还可以得到相应的威胁信息，并且威胁信息与评价积分一一对应。威胁信息用于明确表示出评价积分所量化的威胁的详细信息，威胁信息还用于被发送给指定的报警接收端，例如管理人员的邮箱等；管理人员可根据威胁信息分析异常登录的具体情况，并作出进一步地处理。将得到的所有评价积分按照针对各评价积分预先指定的权重计算加权累加和，得到评价总积分，并比较评价总积分与指定分数阈值是否满足指定大小关系，若所述评价总积分与指定分数阈值满足指定大小关系，则将所述指定账号的登录操作判定为异常登录。各评价积分的权重可以预先指定或通过包括但不限于变异系数法等方法计算获得。指定分数阈值可根据历史数据进行统计分析得到针对具体项目的合理数值；指定大小关系可以根据具体项目中对评价积分的具体定义确定，例如在有些实施例中，评价积分越高，表示威胁越大，此时指定大小关系可以定义为评价总积分大于或等于指定分数阈值；在另一些实施例中，评价积分越低，表示威胁越大，此时指定大小关系可以定义为评价总积分小于或等于指定分数阈值。以通道机系统、用户登录认证系统和移动办公认证系统为例，通过上述方法对通道机系统日志信息、用户认证登录系统日志信息、移动办公认证系统日志信息进行聚合，通过对日志数据中的关键字段(即敏感指标信息)与其他相关数据进行比对与关联分析，识别日志的数据特征从而判断用户的登录行为是否存在着恶意登录，账号是否被盗用，被爆破等多种情况，进一步地，如果发生相关威胁现象，可以唤醒移动办公系统的人脸识确认机制，并通知安全运维人员要，可以对指定账号的非法登录行为，对威胁进行告警，并及时对应处理。上述举例不作为对本发明技术方案的限制，登录验证系统包含的具体系统及相互关系需根据具体的需求或实际项目确定。

本发明实施例具有如下技术效果：用户为登录指定账号执行登录操作时，会在一个或多个登录验证系统上各自生成相应的日志信息，通过从各系统的日志信息中提取得到敏感指标信息，并对得到的敏感指标信息进行分析，将对任一登录验证系统以及任一敏感指标的个体安全威胁评价与对多个登录验证系统以及多个敏感指标信息的联合安全威胁评价相结合，将获得的评价积分进一步通过加权计算累加和得到评价总积分，根据评价总积分判定登录操作是否异常，实现了对登录操作过程的日志信息进行关联分析，显著降低了非法用户成功登录的几率。

进一步地，所述对所述至少一种敏感指标信息进行安全威胁评价，得到至少一个评价积分，包括：

分别对每种敏感指标信息进行独立的安全威胁评价，得到该敏感指标信息对应的评价积分。

在一些实施例中，对来自各登录验证系统的登录验证日志中记录的敏感指标信息独立地进行安全威胁评价，即不考虑各敏感指标信息之间的相互关系。例如敏感指标信息包括但不限于客户端IP地址、登录时间、登录地点、客户端设备ID例如MAC地址等，根据敏感指标信息各自对应的正常取值范围或异常取值范围，判断该敏感指标信息是否存在异常。例如客户端IP地址可以与预先创建的IP威胁情报库进行匹配，若客户端IP地址在IP威胁情报库中，则认为使用该客户端IP的登录操作存在异常；再例如，若某些账号存在习惯性的登录时间区间，若发现登录时间不在习惯性的登录时间区间，则认为该登录时间相应的登录操作异常。可根据对具体的敏感指标信息在登录操作中起到的作用，可能存在的异常表现制定具体的安全威胁评价方法。

进一步地，所述对所述至少一种敏感指标信息进行安全威胁评价，得到至少一个评价积分，包括：

对关联敏感指标组合进行安全威胁评价，得到该关联敏感指标组合对应的评价积分；

其中，关联敏感指标组合包括：所述至少一种敏感指标信息中预先选定的部分或全部敏感指标信息。

在一些实施例中，根据来自某登录验证系统内的相关敏感指标信息之间的关系或者来自各登录验证系统之间的相关敏感指标信息之间的关系，进行安全威胁评价，得到相应的评价积分。

本发明实施例具有如下技术效果：实现了多种敏感指标信息的联合关联分析，多种敏感指标可以部分或全部来自同一种登录验证系统或来自不同种类的登录验证系统，达到更加全面的分析异常登录情况，减少对异常登录的漏判以及对正常登录的误判，更好的避免非法用户登录账号。

进一步地，所述将所述指定账号的登录操作判定为异常登录之后，还包括：

通过指定的验证方式进行二次验证；如果所述二次验证的结果为正常，则允许登录；如果所述二次验证的结果为异常，则不允许登录。

在一些实施例中，当判定针对指定账号的登录操作为异常登录后，为了进一步避免因误判导致正常用户无法登录指定账号，可以要求用户进行额外的更加严格的二次验证，例如进行人脸验证，若二次验证通过，则允许用户正常登录指定账号，否则不允许登录指定账号；进一步地，在判定针对指定账号的登录操作为异常登录后，或者在二次验证结果为异常后，可以向指定报警接收端发送威胁信息和与各威胁信息对应的评价积分，用于管理人员对异常登录进行进一步地分析处理。

本发明实施例具有如下技术效果：在自动判定登录操作为异常登录后，允许进行二次验证，避免因误判导致的正常用户无法登录账号，从而在确保登录安全的前提下，保持了好的用户体验。

进一步地，所述登录验证系统，包括：通道机系统；所述至少一种敏感指标信息，包括：所述登录操作使用的通道机客户端IP地址；

所述分别对每种敏感指标信息进行独立的安全威胁评价，得到该敏感指标信息对应的评价积分，包括：

将所述通道机系统的登录验证日志中记录的所述登录操作使用的通道机客户端IP地址与IP威胁情报库中的每条IP地址进行对比；

如果所述登录操作使用的通道机客户端IP地址与所述IP威胁情报库中的某个IP地址匹配，则将所述登录操作使用的通道机客户端IP地址对应的第一评价积分的值设置为指定的第一积分值；

其中，所述IP威胁情报库包括：预先收集的至少一个威胁IP地址。

在一些实施例中，用户在用SSH(即Secure Shell，即安全外壳协议)客户端程序，登录到通道机系统中的通道机服务器的SSH服务端口时，会日志中产生用户登录信息，此信息包含但不限于用户登录通道机服务器时客户端主机的网络IP(即通道机客户端IP地址)、用户名、时间戳等信息；通过Graylog和Rsyslog服务程序，将用户登录通道机SSH服务，产生的日志数据，转发给日志中心创建的日志数接收监听服务，日志中心服务程序，接收到日志数据后，对日志数据进行整形，日志数据进行统一的格式化，然后保存到ElasticSearch集群数据库中；例如用户登录通道机系统时，从登录验证日志中后去用户针对指定账号的登录操作使用的通道机客户端IP地址的相关信息格式化后包括以下字段：用户IP、用户名、成功失败标志和时间戳，其中，此处的用户IP即通道机客户端IP地址；在写入ElasticSearch数据库时，包括如下字段：索引名、用户IP、用户名、成功失败标志和时间戳；其中索引名是指ElasticSearch的表索引名，相当于MYSQL中的表名；基于用户通过SSH登录通道机服务器产生的关于登录操作使用的通道机客户端IP地址的记录信息即通道机系统日志中的用户设备登录的IP即前述通道机系统的日志中获取到的用户IP即通道机客户端IP地址与IP威胁情报库中的IP地址字段进行字典性质的查询比对，如果发现通道机客户端IP地址明确在IP威胁情报库中有相关的威胁名称、和/或威胁类型和/或威胁等级的记载，则将得到的威胁信息和通道机客户端IP地址相关信息按以下字段格式保存：用户IP、用户名、威胁名称和/或威胁类型和/或威胁等级和安全积分值，其中，此处的安全积分值即第一评价积分的值，并且被设置为指定的第一积分，第一积分的大小可以通过预先对历史数据的分析，根据相关敏感指标信息与异常登录的紧密程度设置。此处，威胁信息包括威胁名称、和/或威胁类型、和/或威胁等级，可作为作业邮件内容数据用于通知安全运维人员。

本发明实施例具有如下技术效果：IP威胁情报库是开源的第三方提供的威胁IP的集合；将通道机客户端IP地址与IP威胁情报库中的威胁IP对比可快速验证登录操作是否存在异常。

进一步地，所述登录验证系统，包括：移动办公认证系统；所述至少一种敏感指标信息，包括：所述登录操作使用的移动客户端设备ID；

所述分别对每种敏感指标信息进行独立的安全威胁评价，得到该敏感指标信息对应的评价积分，包括：

获取所述移动办公认证系统的登录验证日志中记录的所述登录操作使用的移动客户端设备ID；

获取所述移动办公认证系统的登录验证日志中记录的所述指定账号使用过的所有历史移动客户端设备ID；

如果所述指定账号使用过的所有历史移动客户端设备ID中不存在所述登录操作使用的移动客户端设备ID，则将所述登录操作使用的移动客户端设备ID对应的第二评价积分的值设置为指定的第二积分值。

在一些实施例中，移动办公认证系统用户信息，是用户在登录手机移动办公系统时与用户认证系统相关联产生的日志数据。日志中心创建日志数据接收监听服务，由手机移动办公系统服务程序中的日志输出软件模块，负责向日志中心发送Syslog日志数据，由日志中心接收数据，并对日志中心进行统一的格式化整理，再将整理后的日志数数据，保存到数据库中。用户在通过通道机服务器，作为跳板登录到真正内网服务器的时候，需要在移动办公系统上进行二次确认认证登录、或是二维码扫描，才能完成通道机服务器的登录流程，用户在这个与移动办公系统交互的过程中，会产生日志数据，移动办公认证系统会将用户登录确认的日志信息，通过Syslog日志格式发送给日志中心的日志接收监听服务，日志的格式包括以下字段：移动设备ID、用户名、移动设备IP、登录确认成功失败标志和时间戳，其中，移动设备ID即移动客户端设备ID；将格式化的日志信息写入ElasticSearch数据库索引表中保存，形成下面信息日志包括字段：索引名、移动设备ID、用户名、移动设备IP、登录确认成功失败标志和时间戳等，其中索引名指ElasticSearch的表索引名，相当于MYSQL中的表名。基于当前用户的用户名即指定账号在移动办公认证系统日志信息查找，指定账号当前的登录操作对应的移动客户端设备ID是否存在于与该指定账号对应的所有历史移动客户端设备ID，如果当前的登录操作使用的移动客户端设备ID不在所有历史移动客户端设备ID，说明当前的登录操作使用的是新设备，则生成陌生设备登录的威胁信息，并设置第二评价积分的值为指定的第二积分值。

本发明实施例具有如下技术效果：用户登录账号时，通常使用同一移动设备，当发现用户使用陌生设备登录时，有可能存在异常登录，通过设置第二评价积分对异常情况进行量化，以便通过评价总积分将陌生设备登录的情况联合其他情况共同评价登录操作是否异常，达到更全面准确分析的效果。

进一步地，所述登录验证系统，包括：移动办公认证系统；所述至少一种敏感指标信息，包括：所述登录操作使用的移动客户端设备ID；

所述分别对每种敏感指标信息进行独立的安全威胁评价，得到该敏感指标信息对应的评价积分，包括：

获取所述移动办公认证系统的登录验证日志中记录的所述登录操作使用的移动客户端设备ID；

获取所述移动办公认证系统的登录验证日志中记录的所有账号使用过的所有历史移动客户端设备ID；

在所有账号使用过的所有历史移动客户端设备ID中查找所述登录操作使用的移动客户端设备ID；

如果找到与所述登录操作使用的移动客户端设备ID相同的移动客户端设备ID，并且该相同的移动客户端设备ID对应的账号不是所述指定账号，则将所述登录操作使用的移动客户端设备ID对应的第三评价积分的值设置为指定的第三积分值；

在一些实施例中，移动办公认证系统用户信息，是用户在登录手机移动办公系统时与用户认证系统相关联产生的日志数据。日志中心创建日志数据接收监听服务，由手机移动办公系统服务程序中的日志输出软件模块，负责向日志中心发送Syslog日志数据，由日志中心接收数据，并对日志中心进行统一的格式化整理，再将整理后的日志数数据，保存到数据库中。用户在通过通道机服务器，作为跳板登录到真正内网服务器的时候，需要在移动办公系统上进行二次确认认证登录、或是二维码扫描，才能完成通道机服务器的登录流程，用户在这个与移动办公系统交互的过程中，会产生日志数据，移动办公认证系统会将用户登录确认的日志信息，通过Syslog日志格式发送给日志中心的日志接收监听服务，日志的格式包括以下字段：移动设备ID、用户名、移动设备IP、登录确认成功失败标志和时间戳，其中，移动设备ID即移动客户端设备ID；将格式化的日志信息写入ElasticSearch数据库索引表中保存，形成下面信息日志，包括以下字段：索引名、移动设备ID、用户名、移动设备IP、登录确认成功失败标志和时间戳，其中索引名是指ElasticSearch的表索引名，相当于MYSQL中的表名。基于当前用户名即指定账号的移动设备ID与所有账号的移动设备ID进行比对，查找确认是否存在用其他账号的设备登录指定账号的情况，即判断是否有人用自己的设备，登录其他员工的账号。当发现此情况时，生成包含如下字段的记录：移动设备IP、用户名、冒名账号登录、安全积分值，其中用户名即指定账号，冒名账号登录即与第三评价积分对应的威胁信息，此处的安全积分值即第三评价积分，设置为指定的第三积分值。

本发明实施例具有如下技术效果：本发明实施例可以判断出是否使用其他设备冒名登录指定账号，并建立第三评价积分，以便与其他敏感指标联合判定是否是异常登录，保证判定的全面和准确性。

进一步地，所述登录验证系统，包括：用户登录认证系统；所述至少一种敏感指标信息，包括：登录认证失败次数和登录认证密码；

所述对关联敏感指标组合进行安全威胁评价，得到该关联敏感指标组合对应的评价积分，包括：

获取所述用户登录认证系统的登录验证日志中记录的所述登录操作所使用的客户端IP地址在第一指定时间范围内对应的登录认证记录；

获取所述登录认证记录中记录的登录认证失败时使用的所有登录认证密码和登录认证失败次数；

如果所述登录认证失败次数大于或等于指定登录次数阈值，则将每个登录认证密码与指定弱口令密码库中的密码进行比对；

如果与所述指定弱口令密码库中的密码匹配成功的登录认证密码占所述所有登录认证密码的比率大于或等于指定弱口令比率，则将由登录认证失败次数和登录认证密码组成的关联敏感指标组合对应的第四评价积分的值设置为指定的第四积分值。

在一些实施例中，用户认证登录信息是通过RSyslog的日志形式收集的，将用户通过通道机服务器登录到用户认证系统的相关IP信息、用户名信息、登录的时间戳、等日志信息进行收集，在日志中心上创建Syslog日志监听服务，用于接收发送通道机发送过来的用户登录的Syslog日志数据，通过日志中心的数据格式整理程序，对日志进行格式的统一调整后，并保存到数据库中。Graylog日志中心创建一个UDP协议的网络监听服务，认证系统将用户通过通道机登录到用户认证系统时产生的Syslog登录日志信息转发给日志中心创建的日志数接收监听服务，日志中心服务程序，接收到日志数据后，对日志数据进行整形，日志数据进行统一的格式化，然后保存到ElasticSearch集群数据库中，格式化后的日志包括以下字段：客户端IP、用户名、密码、成功失败标志、时间戳，其中，客户端IP即用户在执行登录操作时，在用户登录认证系统的日志记录的用户执行登录操作使用的客户端的IP地址，例如当通过通道机系统输入用户登录认证系统的指定账号、相应密码和动态验证码时，该客户端IP就是通道机系统中，指定账号的登录操作使用的通道机客户端IP地址；当通过移动办公认证系统中的移动客户端扫码或输入指定账号和密码时，客户端IP就是移动办公系统中的指定账号的登录操作当前使用的移动客户端的IP地址。将格式化的日志数据写入ElasticSearch数据库索引表中保存，形成下面信息日志，包含字段如下：索引名、客户端IP、用户名、登录认证密码、成功失败标志、和时间戳，其中，此处，用户名即指定账号，登录认证密码即在登录指定账号时输入的密码，索引名是指ElasticSearch的表索引名，相当于MYSQL中的表名。查询数据库中的记录，按第一指定时间范围，具体的可根据需要设定第一指定时间范围的长度，例如可以按1分钟时长为周期，查询用户登录认证系统信息上，当前的登录操作使用的客户端IP在用户录登录认证系统日志中产生的记录条目数，如果成功失败标志表示登录失败的次数即登录认证失败次数大于指定登录次数阈值，则将当前的客户端IP使用的登录密码即登录认证密码与弱口令密码库进行多对多的密码比对，如果发现当前客户端IP对应的账号在试探弱口令登录即如果与所述指定弱口令密码库中的密码匹配成功的登录认证密码占所述所有登录认证密码的比率大于或等于指定弱口令比率，则生成包含如下字段的数据：客户端IP、用户名、弱口令爆破和安全积分值，其中弱口令爆破即针对本次安全威胁评价生成的威胁信息，安全积分值即第四评价积分的值，被设置为指定的第四积分值，指定弱口令比率可根据历史经验指定。

本发明实施例具有如下技术效果：通过对用户输入密码的动态过程以及对失败登录使用的密码具体组成的动态变化进行分析，达到全面准确判定登录操作是否存在异常的目的。

进一步地，所述登录验证系统，包括：通道机系统和移动办公认证系统；所述至少一种敏感指标信息，包括：所述登录操作使用的通道机客户端IP地址和移动客户端IP地址；

所述对关联敏感指标组合进行安全威胁评价，得到该关联敏感指标组合对应的评价积分，包括：

获取所述通道机系统的登录验证日志中记录的所述登录操作使用的通道机客户端IP地址；

获取所述移动办公认证系统的登录验证日志中记录的所述登录操作使用的所述移动客户端IP地址；

查询IP地理位置信息库获取所述登录操作使用的通道机客户端IP地址对应的地理位置作为所述登录操作的当前通道机客户端位置；

查询IP地理位置信息库获取所述登录操作使用的移动客户端IP地址对应的地理位置作为所述登录操作的当前移动客户端位置；

获取所述通道机系统的登录验证日志中记录的所述指定账号在所述登录操作发生之前的第二指定时间范围内使用过的所有历史通道机客户端IP地址；

获取所述移动办公认证系统的登录验证日志中记录的所述指定账号在所述登录操作发生之前的第二指定时间范围内使用过的所有历史的移动客户端IP地址；

查询IP地理位置信息库获取所有历史通道机客户端IP地址对应的地理位置组成历史通道机客户端位置集合；

查询IP地理位置信息库获取所有历史的移动客户端IP地址对应的地理位置作为历史移动客户端位置集合；

如果所述当前通道机客户端位置不属于历史通道机客户端位置集合，并且所述当前移动客户端位置不属于历史移动客户端位置集合，则将由所述登录操作使用的通道机客户端IP地址和移动客户端IP地址组成的关联敏感指标组合对应的第五评价积分的值设置为指定的第五积分值。

在一些实施例中，基于指定账号的当前的登录操作在通道机系统的登录验证日志信息中记录的通道机客户端IP地址与该登录操作在移动办公认证系统的登录验证日志信息中记录的移动客户端IP地址分别根据IP地理位置信息库确定IP所在的国家和城市，即分别确定通道机客户端IP地址和移动客户端IP地址各自相应的地理位置信息；再查询指定账号在第二指定时间范围内例如在指定的N个月内N为大于等于1的正整数，曾经使用过的所有历史通道机客户端IP地址和移动客户端IP地址对应的地理位置信息即历史通道机客户端位置集合和历史移动客户端位置集合；如果所述当前通道机客户端位置不属于历史通道机客户端位置集合，并且所述当前移动客户端位置不属于历史移动客户端位置集合，则针对由所述登录操作使用的通道机客户端IP地址和移动客户端IP地址组成的关联敏感指标组生成包含如下字段的数据：用户IP、用户名、异地登录、国家、城市和安全积分值；此处用户IP包括通道机客户端IP地址和/或移动客户端IP地址，此处用户IP优选记录通道机客户端IP地址，用户名即指定账号，异地登录、国家和城市即针对本次安全威胁评价生成的威胁信息，此处的安全积分值即第五评价积分的值，被设置为指定的第五积分值。

本发明实施例具有如下技术效果：综合分析登录操作涉及的两个相关联的登录验证系统各自的敏感指标信息之间的相互关系，得到全面准确判定登录是否异常的效果。

另一方面，如图2所示，本发明实施例提供一种账号异常登录自动分析装置，包括：

日志收集单元200，用于收集指定账号的登录操作相关的多个登录验证系统各自的登录验证日志；其中，各登录验证系统相互通信协同完成所述登录操作；

敏感指标获取单元201，用于获取各登录验证日志记录的预先指定的至少一种敏感指标信息；

评价积分获取单元202，用于对所述至少一种敏感指标信息进行安全威胁评价，得到至少一个评价积分；

总积分获取单元203，用于将各评价积分进行加权累加，得到评价总积分；

异常判定单元204，用于如果所述评价总积分与指定分数阈值满足指定大小关系，则将所述指定账号的登录操作判定为异常登录。

进一步地，所述评价积分获取单元202，包括：

独立评价模块，用于分别对每种敏感指标信息进行独立的安全威胁评价，得到该敏感指标信息对应的评价积分。

进一步地，所述评价积分获取单元202，包括：

联合评价模块，用于对关联敏感指标组合进行安全威胁评价，得到该关联敏感指标组合对应的评价积分；

其中，关联敏感指标组合包括：所述至少一种敏感指标信息中预先选定的部分或全部敏感指标信息。

进一步地，所述装置，还包括：

二次验证单元，用于通过指定的验证方式进行二次验证；如果所述二次验证的结果为正常，则允许登录；如果所述二次验证的结果为异常，则不允许登录。

进一步地，所述登录验证系统，包括：通道机系统；所述至少一种敏感指标信息，包括：所述登录操作使用的通道机客户端IP地址；

所述独立评价模块，包括：

通道机客户端IP对比模块，用于将所述通道机系统的登录验证日志中记录的所述登录操作使用的通道机客户端IP地址与IP威胁情报库中的每条IP地址进行对比；

第一评价积分获取模块，用于如果所述登录操作使用的通道机客户端IP地址与所述IP威胁情报库中的某个IP地址匹配，则将所述登录操作使用的通道机客户端IP地址对应的第一评价积分的值设置为指定的第一积分值；

其中，所述IP威胁情报库包括：预先收集的至少一个威胁IP地址。

进一步地，所述登录验证系统，包括：移动办公认证系统；所述至少一种敏感指标信息，包括：所述登录操作使用的移动客户端设备ID；

所述独立评价模块，包括：

第一当前移动ID获取模块，用于获取所述移动办公认证系统的登录验证日志中记录的所述登录操作使用的移动客户端设备ID；

历史移动ID获取模块，用于获取所述移动办公认证系统的登录验证日志中记录的所述指定账号使用过的所有历史移动客户端设备ID；

第二评价积分获取模块，用于如果所述指定账号使用过的所有历史移动客户端设备ID中不存在所述登录操作使用的移动客户端设备ID，则将所述登录操作使用的移动客户端设备ID对应的第二评价积分的值设置为指定的第二积分值。

进一步地，所述登录验证系统，包括：移动办公认证系统；所述至少一种敏感指标信息，包括：所述登录操作使用的移动客户端设备ID；

所述独立评价模块，包括：

第二当前移动ID获取模块，用于所述移动办公认证系统的登录验证日志中记录的所述登录操作使用的移动客户端设备ID；

全部移动ID获取模块，用于获取所述移动办公认证系统的登录验证日志中记录的所有账号使用过的所有历史移动客户端设备ID；

移动ID查找模块，用于在所有账号使用过的所有历史移动客户端设备ID中查找所述登录操作使用的移动客户端设备ID；

第三积分获取模块，用于如果找到与所述登录操作使用的移动客户端设备ID相同的移动客户端设备ID，并且该相同的移动客户端设备ID对应的账号不是所述指定账号，则将所述登录操作使用的移动客户端设备ID对应的第三评价积分的值设置为指定的第三积分值；

进一步地，所述登录验证系统，包括：用户登录认证系统；所述至少一种敏感指标信息，包括：登录认证失败次数和登录认证密码；

所述联合评价模块，包括：

登录认证记录获取模块，用于获取所述用户登录认证系统的登录验证日志中记录的所述登录操作所使用的客户端IP地址在第一指定时间范围内对应的登录认证记录；

登录失败信息获取模块，用于获取所述登录认证记录中记录的登录认证失败时使用的所有登录认证密码和登录认证失败次数；

密码比对模块，用于如果所述登录认证失败次数大于或等于指定登录次数阈值，则将每个登录认证密码与指定弱口令密码库中的密码进行比对；

第四积分获取模块，用于如果与所述指定弱口令密码库中的密码匹配成功的登录认证密码占所述所有登录认证密码的比率大于或等于指定弱口令比率，则将由登录认证失败次数和登录认证密码组成的关联敏感指标组合对应的第四评价积分的值设置为指定的第四积分值。

进一步地，所述登录验证系统，包括：通道机系统和移动办公认证系统；所述至少一种敏感指标信息，包括：所述登录操作使用的通道机客户端IP地址和移动客户端IP地址；

所述联合评价模块，包括：

当前通道机客户端IP获取模块，用于获取所述通道机系统的登录验证日志中记录的所述登录操作使用的通道机客户端IP地址；

当前移动IP获取模块，用于获取所述移动办公认证系统的登录验证日志中记录的所述登录操作使用的所述移动客户端IP地址；

当前通道机位置获取模块，用于查询IP地理位置信息库获取所述登录操作使用的通道机客户端IP地址对应的地理位置作为所述登录操作的当前通道机客户端位置；

当前移动位置获取模块，用于查询IP地理位置信息库获取所述登录操作使用的移动客户端IP地址对应的地理位置作为所述登录操作的当前移动客户端位置；

历史通道机客户端IP获取模块，用于获取所述通道机系统的登录验证日志中记录的所述指定账号在所述登录操作发生之前的第二指定时间范围内使用过的所有历史通道机客户端IP地址；

历史移动IP获取模块，用于获取所述移动办公认证系统的登录验证日志中记录的所述指定账号在所述登录操作发生之前的第二指定时间范围内使用过的所有历史的移动客户端IP地址；

历史通道机客户端位置获取模块，用于查询IP地理位置信息库获取所有历史通道机客户端IP地址对应的地理位置组成历史通道机客户端位置集合；

历史移动客户端位置获取模块，用于查询IP地理位置信息库获取所有历史的移动客户端IP地址对应的地理位置作为历史移动客户端位置集合；

第五积分获取模块，用于如果所述当前通道机客户端位置不属于历史通道机客户端位置集合，并且所述当前移动客户端位置不属于历史移动客户端位置集合，则将由所述登录操作使用的通道机客户端IP地址和移动客户端IP地址组成的关联敏感指标组合对应的第五评价积分的值设置为指定的第五积分值。

本发明实施例提供上述账号异常登录自动分析装置与前述的账号异常登录自动分析方法的实施例一一对应，可依据前述的账号异常登录自动分析方法的实施例理解上述账号异常登录自动分析装置的实施例，在此不再赘述。

下面结合具体的应用实例对本发明实施例上述技术方案进行详细说明，实施过程中没有介绍到的技术细节，可以参考前文的相关描述。

如图3所示，本发明实施例主要包括：通道机系统日志信息聚合、用户登录认证信息聚合、移动办公认证系统信息聚合、账号异常登录关联分析4个部分。通过通道机系统日志信息聚合、用户登录认证信息聚合和移动办公认证系统信息聚合收集登录验证日志，经日志格式化提取得到感兴趣的敏感指标信息，并将各敏感指标信息存入数据库中，异常登录威胁关联分析即账号异常登录自动分析，在分析的过程中，将不同的敏感指标信息分别关联IP威胁情报库信息(即图3中的威胁情报信息)、IP地理位置信息库(即图3中的IP地理位置信息)进行分析，并且在判定为异常登录时，触发人脸识别进行二次确认。

图4是应用本发明实施例的装置的一种系统结构图，其工作原理过程可参考上述图3的说明理解。

通道机系统信息日志聚合：

用户用SSH客户端程序登录到通道机系统的通道机服务器的SSH服务端口时，会产生对应的用户登录信息，此信息包含用户登录通道机服务器时，通道机客户端IP地址、用户名(即指定账号)、时间戳(用于记录登录操作发生的时间)等信息，这些信息在通道机服务器上产生相对应的Syslog日志，我们将这一类日志，聚合到日志中数据，日是接收服务监听，接收到数据后，保存到数据库中。

通道机系统信息获取：

Graylog日志中心创建一个UDP协议的网络监听服务，通道机服务器通过Rsyslog服务程序，将用户登录通道机SSH服务时产生的日志数据，转发给日志中心创建的日志数接收监听服务，日志中心服务程序接收到日志数据后，对日志数据进行整理，日志数据进行统一的格式化，然后保存到ElasticSearch集群数据库中，日志格式包含如下字段：

用户IP、用户名、成功失败标志、时间戳；其中，此处用户IP即通道机客户端IP地址，用户名即指定账号，成功失败标志用于记录登录成功或失败，时间戳用于记录登录操作发生的时间。

数据入库：

将通道机系统获取的信息写入ElasticSearch数据库索引表中保存，形成下面信息日志，拆分的字段如下。

索引名、用户IP、用户名、成功失败标志、时间戳；其中，索引名是指ElasticSearch的表索引名，相当于MYSQL中的表名。

用户认证登录信息聚合：

用户认证登录信息是通过RSyslog的日志形式收集的，将用户通过通道机服务器服务器登录到用户登录认证系统的相关IP信息、用户名信息、登录的时间戳、等日志信息进行收集，在日志中心上创建Syslog日志监听服务，用于接收发送通道机发送过来的用户登录的Syslog日志数据，通过日志中心的数据格式整理程序，对日志进行格式的统一调整后，并保存到数据库中。

用户登录认证信息获取：

Graylog日志中心创建一个UDP协议的网络监听服务，认证系统将用户通过通道机登录到用户认证系统时产生的Syslog登录日志信息转发给日志中心创建的日志数接收监听服务，日志中心服务程序，接收到日志数据后，对日志数据进行整形，日志数据进行统一的格式化，然后保存到ElasticSearch集群数据库中，日志格式如下：

用户IP、用户名、密码、成功失败标志和时间戳；其中，此处用户IP即通道机客户端IP地址；用户名即指定账号；此处密码即登录指定账号时的登录认证密码；

数据入库：

将用户登录认证信息获取得到的信息写入ElasticSearch数据库索引表中保存，形成下面信息日志，拆分的字段如下。

索引名、用户IP、用户名、密码、成功失败标志和时间戳，其中，索引名是指ElasticSearch的表索引名，相当于MYSQL中的表名；此处用户IP即通道机客户端IP地址；用户名即指定账号；此处密码即登录指定账号时的登录认证密码；

移动办公认证系统信息聚合：

移动办公认证系统用户信息，是用户在登录手机移动办公系统时与用户认证系统相关联产生的日志数据。日志中心创建日志数据接收监听服务，由手机移动办公系统服务程序中的日志输出软件模块，负责向日志中心发送Syslog日志数据，由日志中心接收数据，并对日志中心进行统一的格式化整理，再将整理后的日志数数据，保存到数据库中。

移动办公认证系统信息聚合：

用户在通过通道机服务器，作为跳板登录到真正内网服务器的时候，需要在移动办公系统上进行二次确认认证登录、或是二维码扫描，才能完成通道机服务器的登录流程，用户在这个与移动办公系统交互的过程中，会产生日志数据，移动办公认证系统会将用户登录确认的日志信息，通过Syslog日志格式发送给日志中心的日志接收监听服务，日志的格式，如下：移动设备ID、用户名、IP、登录确认成功失败标志、时间戳；

数据入库：

将移动办公认证系统信息聚合得到的信息写入ElasticSearch数据库索引表中保存，形成下面信息日志，拆分的字段如下。

索引名、移动设备ID、用户名、IP、登录确认成功失败标志、时间戳；其中，索引名是指ElasticSearch的表索引名，相当于MYSQL中的表名。

用户账号异常登录威胁关联分析：

对通道机系统日志信息、用户认证登录系统日志信息、移动办公认证系统日志信息进行聚合，通过对日志数据中的关键字段与其他相关数据，进行比对与关联，通过日志的数据特征判断用户的登录行为是否存在着恶意登录尝试与非用户正常登录，账号被盗用，被爆破等多种情况是否存在，如果发生相关威胁现象，唤醒移动办公系统的人脸识确认机制，并通知安全运维人员要，可以存账号的非法登录行为，对威胁进行告警，并及时对应处理。

根据以上的原理，将通道机系统日志信息、用户登录认证日志信息、移动办公认证系统日志信息、IP地理位置信息、IP威胁情报信息、弱口令信息，进行关联分析，涉及如下的关联字段信息：

通道机系统日志信息：

用户IP、用户名、成功失败标志和时间戳；

用户登录认证日志信息：

用户IP、用户名、密码、成功失败标志和时间戳；

移动办公认证系统日志信息：

移动设备ID、用户名、IP、登录确认成功失败标志和时间戳；

IP地理位置信息

IP、城市和国家

IP威胁情报信息

IP、威胁名称和威胁类型；

弱口令密码库

弱口令1、…、弱口令N；

异常登录威胁关联分析系统，检查用户的异常登录是通过日志中心Graylog提供数据查询接口服务REST，取得各个关联的日志数据，然后根据各个相关日志数据中的关键相关字段，进行威胁登录的登录威胁的关联分析：

第一步：基于登录当时用户通过SSH登录通道机服务器产生的：通道机系统日志中的用户设备登录的用户IP即通道机客户端IP地址与IP威胁情报库中的IP字段进行字典性质的查询比对，如果发现登录通道机的客户端主机的IP明确在威胁情报库中有相关的威胁名称、威胁类型、威胁等级记载，将这两个信息临时保存在临时的变量空间中，用于最后通知安全运维人员，作为邮件内容数据使用；并且新生成一个新的安全积分值变量，初始值为0分，并累加一分存在这个变量中，具体得到包含以下字段的数据：

用户IP、用户名、威胁名称、威胁类型、威胁等级和安全积分值；

第二步：按1分钟时长为周期即第一指定时间范围，查询用户登录认证系统信息上，当前的用户IP即客户端IP在用户录登录认证系统日志中，产生的记录条目数，如果登录失败产生的成功失败标志的值为失败的次数大于或等于指定登录次数，将当前的用户IP使用的登录的密码(在SSH登录后，通过输入用户名、密码、动态验证码登录用户登录认证系统或者通过移动办公手机客户端输入用户名、密码登录移动客户端，两种情况下的密码都会发送给用户登录认证系统)，与弱口令密码库进行对多对多的密码比对，如果发现当前的用户IP的指定账号在试探弱口令登录，在新生临时变量中记录中加入一个弱口令爆破的字段，然后安全积分值累加一分，生成新临时变量。以下为新临时变量记录包含的字段：用户IP、用户名、弱口令爆破、安全积分值；

第三步：基于当前时间登录的用户名在通道机系统日志信息的用户IP与移动办公认证系统日志信息中的用户IP分别根据IP地理位置信息库中的国家和城市进行查询定位，将当前的用户名的用户IP对地理位置信息，与该用户名之前N个月，登录用的用户IP对应的地理位置进行比对，一对多的关系，查看当前用户的SSH登录的客户端口主机对应的用户IP与当前用户历史登录的地理位置进行比对，与用户移动设备对应的用户IP与当前用户历史登录的地理位置进行比对，发现是从未登录过的陌生国家登录位置、或者异地城市登录，通过新临时变量进行登录位置信息的记录，并对安全积分值进行累加。以下为新临时变量记录包含的字段：用户IP、用户名、异地登录、国家、城市和安全积分值；

第四步：基于当前用户的用户名在移动办公认证系统日志信息查找，当前的用户名对应的移动用户设备ID即移动客户端设备ID是否存在于与该用户名对应的所有历史的移动用户设备ID中出现过，如果当前登录用的移动用户设备ID是新设备，通过新临时变量进行标记记录，进行安全积分值累加。以下为新临时变量记录包含的字段：用户IP、用户名、陌生设备登录、安全积分值。

基于当前的用户名的移动用户设备ID与所有账户的移动用户设备ID进行比对，查找确认，是否存在用其他的用户名的用户使用自己的设备，登录当前的用户名的账号，即发现是否有人用自己的设备，登录其他员工的账号，若有则进行安全积分值累加。以下为新临时变量记录包含的字段：用户IP、用户名、冒名账号登录、安全积分值；

第五步：基于之前关联判断关联分析，得出异常登录时，会出现的异常消息记录集合，如下：

用户IP、用户名、威胁名称、威胁类型、威胁等级、安全积分值；

用户IP、用户名、弱口令爆破、安全积分值；

用户IP、用户名、异地登录、国家、城市、安全积分值；

用户IP、用户名、陌生设备登录、安全积分值；

用户IP、用户名、冒名账号登录、安全积分值；

根据出现的以上的异常登录记录的出现，对各安全积分值进行求合计算，当安全积分值的分数高于危险阈值N时，与移动用户认证系统进行交互，驱动移动认证系统唤醒手机人脸识别机制，人脸识别确认信息正确后，消除报警，通过用户认证，现时将对上登录通道机系统发生的异常事件消息，发送给给安全运营人员，如果异常登录唤醒人脸识别机制，确认登录身份不通过，告知安全运营人员进行确认，并及时响应排查异常登录的原因，特别是对于重点关注的账号，更应该提高响应的速度与处理的优先级别，有了这套威胁发现机制，能更好的保障关键账号认证登录中的的安全。

本发明实施例具有如下技术效果：

本发明实施例与传统的通道机登录认证相比，对用户IP信息、设备信息、登录历史信息与威胁情报关联分析的异常登录分析机制，可以发现传统账号登录认证发现不了的异常登录行为。传统的技术方案基于密码单一纬度的确定，即使是使用正确用户名密码登录系统也存在着是恶意登录的风险，本发明实施例在使用用户密码确认用户的身份是否是正常的情况的同时，关联其他纬度的日志数据，能获得更多的设备信息、威胁情报信息、地理位置信息，围绕用户的历史登录过程中相关数据、历史数据等用户操作的指纹信息，在密码信息之外，以更多的纬度确认用户登录的合法性。保证用户账号资产的安全。

本发明实施例通过针对性大数据日志存储解决方案，将用户登录信息，通过日志系统进行集中收集管理，全自动化的收集登录用户的各种日志信息，进行自动化数据有效期管理，通过集中的是时间配置管理设定，灵活的管理相关日志数保存的周期时间长度。对零散的放在各个系统中的日志进行集中管理，并且提供统一API查询接口，便于各种第三方应用的查询使用,进行日志数据的关联分析。

本发明实施例通过简单的逻辑处理方法，将通道机系统日志信息、用户认证系统信息、移动办公认证系统日志信息、IP威胁情报信息、IP地理位置信息、弱口令密码库信息，人脸识别信息进行关联分析。

对用户连接到通道机系统的客户端IP，对应的地理位置信息、移动设备登录二次确认时，移动设备IP地址位置信息、用户的移动设备ID的历史信息、用户登录密码撞库行为的信息、IP威胁情报库信息、人脸识别信息进行关联。

关联分析得出冒名账号异常登录、危险撞库异常登录、危险IP异常登录、陌生设备异常登录、异地城市异常登录行为，进行评估打分，对于分数据大于事前设定阈值，起动人脸识别机制，进行唯一性身份认定，通过用户异常登录时，各种相关数据，所表现的异常特征，关联分析出账号登录异常时的问题。

本发明实施例在传统通道机服务器登录系统，认证账号名、密码、动态码的基础上，增加了更多相关数据关联分析，加入威胁行为程度的打分机制，结合得分高低，决定是否进行人脸信息识别的再确认过程。

通过以上机制，保证用户账号登录的安全性，一旦发生潜在账号异常登录，进行身份确认，并即时通知用户与安全运营人员，通过相关人员，快速响应与安全应急，对于重点账号的保护，也有深化加强保护的意义。

应该明白，公开的过程中的步骤的特定顺序或层次是示例性方法的实例。基于设计偏好，应该理解，过程中的步骤的特定顺序或层次可以在不脱离本公开的保护范围的情况下得到重新安排。所附的方法权利要求以示例性的顺序给出了各种步骤的要素，并且不是要限于所述的特定顺序或层次。

在上述的详细描述中，各种特征一起组合在单个的实施方案中，以简化本公开。不应该将这种公开方法解释为反映了这样的意图，即，所要求保护的主题的实施方案需要比清楚地在每个权利要求中所陈述的特征更多的特征。相反，如所附的权利要求书所反映的那样，本发明处于比所公开的单个实施方案的全部特征少的状态。因此，所附的权利要求书特此清楚地被并入详细描述中，其中每项权利要求独自作为本发明单独的优选实施方案。

为使本领域内的任何技术人员能够实现或者使用本发明，上面对所公开实施例进行了描述。对于本领域技术人员来说；这些实施例的各种修改方式都是显而易见的，并且本文定义的一般原理也可以在不脱离本公开的精神和保护范围的基础上适用于其它实施例。因此，本公开并不限于本文给出的实施例，而是与本申请公开的原理和新颖性特征的最广范围相一致。

上文的描述包括一个或多个实施例的举例。当然，为了描述上述实施例而描述部件或方法的所有可能的结合是不可能的，但是本领域普通技术人员应该认识到，各个实施例可以做进一步的组合和排列。因此，本文中描述的实施例旨在涵盖落入所附权利要求书的保护范围内的所有这样的改变、修改和变型。此外，就说明书或权利要求书中使用的术语“包含”，该词的涵盖方式类似于术语“包括”，就如同“包括：”在权利要求中用作衔接词所解释的那样。此外，使用在权利要求书的说明书中的任何一个术语“或者”是要表示“非排它性的或者”。

本领域技术人员还可以了解到本发明实施例列出的各种说明性逻辑块(illustrative logical block)，单元，和步骤可以通过电子硬件、电脑软件，或两者的结合进行实现。为清楚展示硬件和软件的可替换性(interchangeability)，上述的各种说明性部件(illustrative components)，单元和步骤已经通用地描述了它们的功能。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用，可以使用各种方法实现所述的功能，但这种实现不应被理解为超出本发明实施例保护的范围。

本发明实施例中所描述的各种说明性的逻辑块，或单元都可以通过通用处理器，数字信号处理器，专用集成电路(ASIC)，现场可编程门阵列或其它可编程逻辑装置，离散门或晶体管逻辑，离散硬件部件，或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器，可选地，该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现，例如数字信号处理器和微处理器，多个微处理器，一个或多个微处理器联合一个数字信号处理器核，或任何其它类似的配置来实现。

本发明实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件模块、或者这两者的结合。软件模块可以存储于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地，存储媒介可以与处理器连接，以使得处理器可以从存储媒介中读取信息，并可以向存储媒介存写信息。可选地，存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于ASIC中，ASIC可以设置于用户终端中。可选地，处理器和存储媒介也可以设置于用户终端中的不同的部件中。

在一个或多个示例性的设计中，本发明实施例所描述的上述功能可以在硬件、软件、固件或这三者的任意组合来实现。如果在软件中实现，这些功能可以存储与电脑可读的媒介上，或以一个或多个指令或代码形式传输于电脑可读的媒介上。电脑可读媒介包括电脑存储媒介和便于使得让电脑程序从一个地方转移到其它地方的通信媒介。存储媒介可以是任何通用或特殊电脑可以接入访问的可用媒体。例如，这样的电脑可读媒体可以包括但不限于RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁性存储装置，或其它任何可以用于承载或存储以指令或数据结构和其它可被通用或特殊电脑、或通用或特殊处理器读取形式的程序代码的媒介。此外，任何连接都可以被适当地定义为电脑可读媒介，例如，如果软件是从一个网站站点、服务器或其它远程资源通过一个同轴电缆、光纤电缆、双绞线、数字用户线(DSL)或以例如红外、无线和微波等无线方式传输的也被包含在所定义的电脑可读媒介中。所述的碟片(disk)和磁盘(disc)包括压缩磁盘、镭射盘、光盘、DVD、软盘和蓝光光盘，磁盘通常以磁性复制数据，而碟片通常以激光进行光学复制数据。上述的组合也可以包含在电脑可读媒介中。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种账号异常登录自动分析方法，其特征在于，包括：

收集指定账号的登录操作相关的多个登录验证系统各自的登录验证日志；其中，各登录验证系统相互通信协同完成所述登录操作；

获取各登录验证日志记录的预先指定的至少一种敏感指标信息；

对所述至少一种敏感指标信息进行安全威胁评价，得到至少一个评价积分；

将所有评价积分进行加权累加，得到评价总积分；

如果所述评价总积分与指定分数阈值满足指定大小关系，则将所述指定账号的登录操作判定为异常登录。

2.如权利要求1所述的账号异常登录自动分析方法，其特征在于，所述对所述至少一种敏感指标信息进行安全威胁评价，得到至少一个评价积分，包括：

分别对每种敏感指标信息进行独立的安全威胁评价，得到该敏感指标信息对应的评价积分。

3.如权利要求1所述的账号异常登录自动分析方法，其特征在于，所述对所述至少一种敏感指标信息进行安全威胁评价，得到至少一个评价积分，包括：

对关联敏感指标组合进行安全威胁评价，得到该关联敏感指标组合对应的评价积分；

其中，关联敏感指标组合包括：所述至少一种敏感指标信息中预先选定的部分或全部敏感指标信息。

4.如权利要求1所述的账号异常登录自动分析方法，其特征在于，所述将所述指定账号的登录操作判定为异常登录之后，还包括：

通过指定的验证方式进行二次验证；如果所述二次验证的结果为正常，则允许登录；如果所述二次验证的结果为异常，则不允许登录。

5.如权利要求2所述的账号异常登录自动分析方法，其特征在于，所述登录验证系统，包括：通道机系统；所述至少一种敏感指标信息，包括：所述登录操作使用的通道机客户端IP地址；

所述分别对每种敏感指标信息进行独立的安全威胁评价，得到该敏感指标信息对应的评价积分，包括：

将所述通道机系统的登录验证日志中记录的所述登录操作使用的通道机客户端IP地址与IP威胁情报库中的每条IP地址进行对比；

如果所述登录操作使用的通道机客户端IP地址与所述IP威胁情报库中的某个IP地址匹配，则将所述登录操作使用的通道机客户端IP地址对应的第一评价积分的值设置为指定的第一积分值；

其中，所述IP威胁情报库包括：预先收集的至少一个威胁IP地址。

6.如权利要求2所述的账号异常登录自动分析方法，其特征在于，所述登录验证系统，包括：移动办公认证系统；所述至少一种敏感指标信息，包括：所述登录操作使用的移动客户端设备ID；

所述分别对每种敏感指标信息进行独立的安全威胁评价，得到该敏感指标信息对应的评价积分，包括：

获取所述移动办公认证系统的登录验证日志中记录的所述登录操作使用的移动客户端设备ID；

获取所述移动办公认证系统的登录验证日志中记录的所述指定账号使用过的所有历史移动客户端设备ID；

如果所有历史移动客户端设备ID中不存在所述登录操作使用的移动客户端设备ID，则将所述登录操作使用的移动客户端设备ID对应的第二评价积分的值设置为指定的第二积分值。

7.如权利要求2所述的账号异常登录自动分析方法，其特征在于，所述登录验证系统，包括：移动办公认证系统；所述至少一种敏感指标信息，包括：所述登录操作使用的移动客户端设备ID；

所述分别对每种敏感指标信息进行独立的安全威胁评价，得到该敏感指标信息对应的评价积分，包括：

获取所述移动办公认证系统的登录验证日志中记录的所述登录操作使用的移动客户端设备ID；

获取所述移动办公认证系统的登录验证日志中记录的所有账号使用过的所有历史移动客户端设备ID；

在所有账号使用过的所有历史移动客户端设备ID中查找所述登录操作使用的移动客户端设备ID；

如果找到与所述登录操作使用的移动客户端设备ID相同的移动客户端设备ID，并且该相同的移动客户端设备ID对应的账号不是所述指定账号，则将所述登录操作使用的移动客户端设备ID对应的第三评价积分的值设置为指定的第三积分值。

8.如权利要求3所述的账号异常登录自动分析方法，其特征在于，所述登录验证系统，包括：用户登录认证系统；所述至少一种敏感指标信息，包括：登录认证失败次数和登录认证密码；

所述对关联敏感指标组合进行安全威胁评价，得到该关联敏感指标组合对应的评价积分，包括：

获取所述用户登录认证系统的登录验证日志中记录的所述登录操作所使用的客户端IP地址在第一指定时间范围内对应的登录认证记录；

获取所述登录认证记录中记录的登录认证失败时使用的所有登录认证密码和登录认证失败次数；

如果所述登录认证失败次数大于或等于指定登录次数阈值，则将每个登录认证密码与指定弱口令密码库中的密码进行比对；

如果与所述指定弱口令密码库中的密码匹配成功的登录认证密码占所述所有登录认证密码的比率大于或等于指定弱口令比率，则将由登录认证失败次数和登录认证密码组成的关联敏感指标组合对应的第四评价积分的值设置为指定的第四积分值。

9.如权利要求3所述的账号异常登录自动分析方法，其特征在于，所述登录验证系统，包括：通道机系统和移动办公认证系统；所述至少一种敏感指标信息，包括：所述登录操作使用的通道机客户端IP地址和移动客户端IP地址；

所述对关联敏感指标组合进行安全威胁评价，得到该关联敏感指标组合对应的评价积分，包括：

获取所述通道机系统的登录验证日志中记录的所述登录操作使用的通道机客户端IP地址；

获取所述移动办公认证系统的登录验证日志中记录的所述登录操作使用的所述移动客户端IP地址；

查询IP地理位置信息库获取所述登录操作使用的通道机客户端IP地址对应的地理位置作为所述登录操作的当前通道机客户端位置；

查询IP地理位置信息库获取所述登录操作使用的移动客户端IP地址对应的地理位置作为所述登录操作的当前移动客户端位置；

获取所述通道机系统的登录验证日志中记录的所述指定账号在所述登录操作发生之前的第二指定时间范围内使用过的所有历史通道机客户端IP地址；

获取所述移动办公认证系统的登录验证日志中记录的所述指定账号在所述登录操作发生之前的第二指定时间范围内使用过的所有历史移动客户端IP地址；

查询IP地理位置信息库获取所有历史通道机客户端IP地址对应的地理位置组成历史通道机客户端位置集合；

查询IP地理位置信息库获取所有历史的移动客户端IP地址对应的地理位置作为历史移动客户端位置集合；

如果所述当前通道机客户端位置不属于历史通道机客户端位置集合，并且所述当前移动客户端位置不属于历史移动客户端位置集合，则将由所述登录操作使用的通道机客户端IP地址和移动客户端IP地址组成的关联敏感指标组合对应的第五评价积分的值设置为指定的第五积分值。

10.一种账号异常登录自动分析装置，其特征在于，包括：

日志收集单元，用于收集指定账号的登录操作相关的多个登录验证系统各自的登录验证日志；其中，各登录验证系统相互通信协同完成所述登录操作；

敏感指标获取单元，用于获取各登录验证日志记录的预先指定的至少一种敏感指标信息；

评价积分获取单元，用于对所述至少一种敏感指标信息进行安全威胁评价，得到至少一个评价积分；

总积分获取单元，用于将各评价积分进行加权累加，得到评价总积分；

异常判定单元，用于如果所述评价总积分与指定分数阈值满足指定大小关系，则将所述指定账号的登录操作判定为异常登录。

Images