CN114844710A - 用户异常登录监测方法、系统、可读存储介质以及设备 - Google Patents
用户异常登录监测方法、系统、可读存储介质以及设备 Download PDFInfo
- Publication number
- CN114844710A CN114844710A CN202210529878.9A CN202210529878A CN114844710A CN 114844710 A CN114844710 A CN 114844710A CN 202210529878 A CN202210529878 A CN 202210529878A CN 114844710 A CN114844710 A CN 114844710A
- Authority
- CN
- China
- Prior art keywords
- user
- behavior
- login
- request
- normal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种用户异常登录监测方法、系统、可读存储介质以及设备,方法包括获取与用户账号关联的登录请求;判断至少两种请求参数是否属于预设的正常请求域;若至少两种请求参数属于预设的正常请求域,则获取与登录请求相对应的用户行为参数,并判断用户行为参数是否属于预设的正常行为域;若用户行为参数不属于预设的正常行为域,则对用户行为参数相关联的用户进行身份验证,并基于身份验证结果向用户发送告警信息。基于预设的正常请求域检测用户的请求是否异常,并且通过对用户登录时的输入行为进行分析,实现了用户登录成功后的基于用户特征习惯的深层次行为分析检测当前用户行为是否异常,进一步提高用户登录系统安全等级。
Description
技术领域
本发明属于网络技术领域,尤其涉及一种用户异常登录监测方法、系统、可读存储介质以及设备。
背景技术
在网络应用中,为了实现对用户身份的识别和验证,需要用户在客户端输入用户名和密码,由服务器端对用户提交的用户名和密码进行验证,检查用户提交的用户名对应的密码与服务器端保存的密码是否一致,如果一致,则确定用户为合法用户,返回登录成功消息;如果不一致,则确定用户为不合法用户,返回拒绝登录消息。当用户登录成功后,则可以使用网络应用以享受相应的应用服务。目前,例如电子邮箱、网络游戏、网上支付、微博等应用均是使用这一登录机制为用户提供应用服务的。
然而,当用户账户的用户名或密码泄露时,现有的登录方法无法判断登陆成功的用户行为是否异常。
发明内容
本发明提供一种用户异常登录监测方法、系统、可读存储介质以及设备,用于解决无法判断登陆成功的用户行为是否异常的技术问题。
第一方面,本发明提供一种用户异常登录监测方法,包括:获取待检测用户的与用户账号关联的登录请求,其中,所述登录请求中包含至少两种请求参数数据;判断所述至少两种请求参数数据是否属于预设的正常请求域,其中,所述正常请求域为各个正常请求参数取值范围的集合;若所述至少两种请求参数数据属于预设的正常请求域,则获取与所述登录请求相对应的用户登录行为,其中,所述用户登录行为中包含至少两种用户行为参数数据;基于所述至少两种用户行为参数数据判断所述用户登录行为是否为正常登录行为;若所述用户登录行为为正常登录行为,则获取待检测用户的与所述用户登录行为相对应的待检测日志文件,并将所述待检测日志文件分别与上一次正常登录日志文件中的登录记录信息、最后一次登录记录信息进行对比;若所述待检测日志文件与上一次正常登录日志文件中的登录记录信息且与最后一次登录记录信息相同,则判定所述待检测用户存在异常登录行为。
另外,根据本发明上述实施例的用户异常登录监测方法,还可以具有如下附加的技术特征:
进一步地,在基于所述至少两种用户行为参数数据判断所述用户登录行为是否为正常登录行为之后,所述方法还包括:若所述用户登录行为不为正常登录行为,则对所述用户行为参数相关联的用户进行身份验证,并基于身份验证结果向用户发送告警信息。
进一步地,其中,所述用户行为参数包括输入字符时间间隔、输入全部字符时间、按键频次和更改次数。
进一步地,所述基于所述至少两种用户行为参数数据判断所述用户登录行为是否为正常登录行为包括:所述判断所述至少两种用户行为参数数据是否属于预设的正常行为域包括:将历史捕捉的待检测用户的异常行为和正常行为的用户行为参数分别生成异常行为数据集和正常行为数据集,将待检测用户每次输入时的用户行为参数数据作为一个行为特征字符串;计算行为特征字符串在所述正常行为数据集和异常行为数据集的出现概率,根据所述行为特征字符串在所述正常行为数据集和异常行为数据集的出现概率计算待检测用户行为异常概率;根据所述待检测用户行为异常概率是否超过预设的概率阈值,判定所述用户登录行为是否为正常登录行为。
进一步地,所述至少两种请求参数包括:登录地址和登录时间。
进一步地,在判断所述至少两种请求参数是否属于预设的正常请求域之后,所述方法还包括:若所述至少两种请求参数不属于预设的正常请求域,则直接向用户发送告警信息。
进一步地,所述若所述用户行为参数不属于预设的正常行为域,则对所述用户行为参数相关联的用户进行身份验证,并基于身份验证结果向用户发送告警信息包括:若所述用户行为参数不属于预设的正常行为域,则对所述用户行为参数相关联的用户进行语音验证、图像验证和/或指纹验证,使判断是否为合法用户进行的登录操作;若是非法用户进行的登录操作,则将所述合法用户发送告警信息。
第二方面,本发明提供一种用户异常登录监测系统,包括:第一获取模块,配置为获取待检测用户的与用户账号关联的登录请求,其中,所述登录请求中包含至少两种请求参数数据;第一判断模块,配置为判断所述至少两种请求参数数据是否属于预设的正常请求域,其中,所述正常请求域为各个正常请求参数取值范围的集合;第二获取模块,配置为若所述至少两种请求参数数据属于预设的正常请求域,则获取与所述登录请求相对应的用户登录行为,其中,所述用户登录行为中包含至少两种用户行为参数数据;第二判断模块,配置为判断所述至少两种用户行为参数数据是否属于预设的正常行为域,其中所述正常行为域为各个正常用户行为参数取值范围的集合;对比模块,配置为若所述至少两种用户行为参数数据属于预设的正常行为域,则获取待检测用户的与所述用户登录行为相对应的待检测日志文件,并将所述待检测日志文件分别与上一次正常登录日志文件中的登录记录信息、最后一次登录记录信息进行对比;判定模块,若所述待检测日志文件与上一次正常登录日志文件中的登录记录信息且与最后一次登录记录信息相同,则判定所述待检测用户存在异常登录行为。
第三方面,提供一种电子设备,其包括:至少一个处理器,以及与所述至少一个处理器通信连接的存储器,其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行本发明任一实施例的用户异常登录监测方法的步骤。
第四方面,本发明还提供一种计算机可读存储介质,其上存储有计算机程序,所述程序指令被处理器执行时,使所述处理器执行本发明任一实施例的用户异常登录监测方法的步骤。
本申请的用户异常登录监测方法、系统、可读存储介质以及设备,基于预设的正常请求域检测用户的请求是否异常,并且通过对用户登录时的输入行为进行分析,判断是否为用户本人进行的输入操作。实现了用户登录成功后的基于用户特征习惯的深层次行为分析检测当前用户行为是否异常,进一步提高用户登录系统安全等级,以保障业务访问质量、提高用户使用体验。同时,降低了系统安全维护成本,降低故障率。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例提供的一种用户异常登录监测方法的流程图;
图2为本发明一实施例提供的一种用户异常登录监测系统的结构框图;
图3是本发明一实施例提供的电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,其示出了本申请的一种用户异常登录监测方法的流程图。
如图1所示,用户异常登录监测方法具体包括以下步骤:
步骤S101,获取待检测用户的与用户账号关联的登录请求,其中,所述登录请求中包含至少两种请求参数数据。
在本实施例中,与用户账号关联的请求具体可以包括针对用户账号的登录请求,或者,针对用户账号的预设数据操作请求。其中,针对用户账号的预设数据操作请求例如可以包括针对用户账号的密码修改请求等。
需要说明的是,预设的数据操作请求可以由服务器预先设置,也可以由用户通过客户端预先设置,在此不进行限定。
步骤S102,判断所述至少两种请求参数数据是否属于预设的正常请求域,其中,所述正常请求域为各个正常请求参数取值范围的集合。
在本实施例中,该预设的正常请求域可以是根据预先采集的登录请求信息确定的。其中,至少两种行为参数可以包括用户登录地址和用户登录时间。
具体地,该正常请求域中的正常请求参数对应正常请求,可以是该正常请求域的正常请求参数分别对应用户正常登录的用户登录地址和用户登录时间。当用户的登录请求信息包括的用户登录地址和用户登录时间对应的落入正常请求域的范围之内时,可以确定该登录请求信息对应的用户登录请求为正常请求。当该用户的登录请求信息包括的用户登录地址和用户登录时间未对应的落入正常请求域的情况下,可以确定该登录请求信息对应的用户登录请求为异常请求。
需要说明的是,通常正常用户对服务器的使用或维护请求具有一定的规律,其在对服务器进行登录或操作维护的过程中,请求具有一定的相似性,所以可以构建正常登录请求对应的正常请求域。
步骤S103,若所述至少两种请求参数数据属于预设的正常请求域,则获取与所述登录请求相对应的用户登录行为,其中,所述用户登录行为中包含至少两种用户行为参数数据。
在本实施例中,该用户行为参数包括输入字符时间间隔、输入全部字符时间、按键频次和更改次数。具体地,当检测到用户将光标定位在输入栏中并按下按键,判定为用户输入开始,记录输入起始时间和用户按键时间;当检测到用户按下“登陆”键进行数据提交,判定为用户输入完全结束,记录输入终止时间,并记录为一次按键;当未检测到用户按下“登陆”键进行数据提交,判定为用户继续输入状态中,根据用户按除“登陆”键之外的按键的次数,对按键频次的数值进行相应的增加;当检测到用户每按一次回退按键,将更改次数的数值相应的增加;根据输入起始时间和输入终止时间计算输入全部字符时间,根据输入全部字符时间、用户按键时间和按键频次计算输入字符时间间隔。
需要说明的是,当用户行为参数包括的输入字符时间间隔、输入全部字符时间、按键频次和更改次数对应的落入正常行为域的范围之内时,可以确定用户行为参数对应的用户登录行为为正常行为。
步骤S104,基于所述至少两种用户行为参数数据判断所述用户登录行为是否为正常登录行为。
在本实施例中,将历史捕捉的待检测用户的异常行为和正常行为的用户行为参数分别生成异常行为数据集和正常行为数据集,将待检测用户每次输入时的用户行为参数数据作为一个行为特征字符串;计算行为特征字符串在所述正常行为数据集和异常行为数据集的出现概率,根据所述行为特征字符串在所述正常行为数据集和异常行为数据集的出现概率计算待检测用户行为异常概率;根据所述待检测用户行为异常概率是否超过预设的概率阈值,判定所述用户登录行为是否为正常登录行为。
需要说明的是,根据行为特征字符串在所述正常行为数据集和异常行为数据集的出现概率计算用户行为异常概率的表达式可以是:
式中,A表示当前用户行为异常的事件,ti表示行为特征字符串,p(A/ti)为从用户当前的输入行为特征数据得到行为特征字符串ti时,该用户行为异常概率,p1(ti)为所述行为特征字符串在所述正常行为数据集的出现概率,p2(ti)为所述行为特征字符串在所述异常行为数据集的出现概率。
步骤S105,若所述用户登录行为为正常登录行为,则获取待检测用户的与所述用户登录行为相对应的待检测日志文件,并将所述待检测日志文件分别与上一次正常登录日志文件中的登录记录信息、最后一次登录记录信息进行对比。
在本实施例中,登录记录信息是指用于记录正常登录行为的登录退出日志文件中,记载的登录进入系统的相关信息。最后一次登录记录信息是指存在用户登录时,用于记录同一用户最近的一次登录时间、登录接口、登录用户名等。
步骤S106,若所述待检测日志文件与上一次正常登录日志文件中的登录记录信息且与最后一次登录记录信息相同,则判定所述待检测用户存在异常登录行为。
在本实施例中,当存在正常的用户登录行为时,系统获取当前用户登录行为的登录信息,并对登录日志文件中的登录记录信息与最后一次登录记录信息进行更新,而通过后门漏洞登录时,因为绕过了系统正常的登录机制,对系统日志进行了清除,不会对登录日志文件中的登录记录信息与最后一次登录记录信息进行修改,所以当对比结果为待检测登录日志文件和上一次正常登录日志文件中的登录记录信息相同,且待检测登录日志文件和上一次正常登录日志文件中的最后一次登录记录信息相同,则判定存在异常登录行为。
综上,本实施例的方法基于预设的正常请求域检测用户的请求是否异常,并且通过对用户登录时的输入行为进行分析,判断是否为用户本人进行的输入操作。实现了用户登录成功后的基于用户特征习惯的深层次行为分析检测当前用户行为是否异常,进一步提高用户登录系统安全等级,以保障业务访问质量、提高用户使用体验。同时,降低了系统安全维护成本,降低故障率。并且利用新的用户正常登录行为会对登录信息作出修改的登录特性,通过对比检测对比待检测登录日志文件和上一次正常登录日志文件中的登录记录信息与最后一次登录记录信息,确定登录的用户是否绕过正常的登录机制进行登录操作,实现实时、快速判断是否存在异常登录行为。
在一些可选的实施例中,若所述用户登录行为不为正常登录行为,则对所述用户行为参数相关联的用户进行身份验证,并基于身份验证结果向用户发送告警信息。
在本实施例中,在用户行为参数数据包括的输入字符时间间隔、输入全部字符时间、按键频次和更改次数未对应的落入正常行为域的情况下,对用户行为参数相关联的用户进行语音验证、图像验证和/或指纹验证,使判断是否为合法用户进行的登录操作。例如,语音验证为随机产生文字文本并收录用户读取文字文本的录音,并对录音进行音色分析。图像验证为获取当前用户的三维图像并将该三维图像与预设的标准三维图像进行比对分析。指纹验证为采集当前用户的指纹信息并将该指纹信息与设的标准指纹进行比对分析。由于基于语音分析识别用户身份、图像分析识别用户身份以及指纹分析识别用户身份为现有技术,在此不进行详细阐述。
请参阅图2,其示出了本申请的一种用户异常登录监测系统的结构框图。
如图2所示,用户异常登录监测系统200,包括第一获取模块210、第一判断模块220、第二获取模块230、第二判断模块240、对比模块250以及判定模块260。
其中,第一获取模块210,配置为获取待检测用户的与用户账号关联的登录请求,其中,所述登录请求中包含至少两种请求参数数据;第一判断模块220,配置为判断所述至少两种请求参数数据是否属于预设的正常请求域,其中,所述正常请求域为各个正常请求参数取值范围的集合;第二获取模块230,配置为若所述至少两种请求参数数据属于预设的正常请求域,则获取与所述登录请求相对应的用户登录行为,其中,所述用户登录行为中包含至少两种用户行为参数数据;第二判断模块240,配置为判断所述至少两种用户行为参数数据是否属于预设的正常行为域,其中所述正常行为域为各个正常用户行为参数取值范围的集合;对比模块250,配置为若所述至少两种用户行为参数数据属于预设的正常行为域,则获取待检测用户的与所述用户登录行为相对应的待检测日志文件,并将所述待检测日志文件分别与上一次正常登录日志文件中的登录记录信息、最后一次登录记录信息进行对比;判定模块260,若所述待检测日志文件与上一次正常登录日志文件中的登录记录信息且与最后一次登录记录信息相同,则判定所述待检测用户存在异常登录行为。
应当理解,图2中记载的诸模块与参考图1中描述的方法中的各个步骤相对应。由此,上文针对方法描述的操作和特征以及相应的技术效果同样适用于图2中的诸模块,在此不再赘述。
在另一些实施例中,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序指令被处理器执行时,使所述处理器执行上述任意方法实施例中的用户异常登录监测方法;
作为一种实施方式,本发明的计算机可读存储介质存储有计算机可执行指令,计算机可执行指令设置为:
获取待检测用户的与用户账号关联的登录请求,其中,所述登录请求中包含至少两种请求参数数据;
判断所述至少两种请求参数数据是否属于预设的正常请求域,其中,所述正常请求域为各个正常请求参数取值范围的集合;
若所述至少两种请求参数数据属于预设的正常请求域,则获取与所述登录请求相对应的用户登录行为,其中,所述用户登录行为中包含至少两种用户行为参数数据;
基于所述至少两种用户行为参数数据判断所述用户登录行为是否为正常登录行为;
若所述用户登录行为为正常登录行为,则获取待检测用户的与所述用户登录行为相对应的待检测日志文件,并将所述待检测日志文件分别与上一次正常登录日志文件中的登录记录信息、最后一次登录记录信息进行对比;
若所述待检测日志文件与上一次正常登录日志文件中的登录记录信息且与最后一次登录记录信息相同,则判定所述待检测用户存在异常登录行为。
计算机可读存储介质可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据用户异常登录监测系统的使用所创建的数据等。此外,计算机可读存储介质可以包括高速随机存取存储器,还可以包括存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中,计算机可读存储介质可选包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至用户异常登录监测系统。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
图3是本发明实施例提供的电子设备的结构示意图,如图3所示,该设备包括:一个处理器310以及存储器320。电子设备还可以包括:输入装置330和输出装置340。处理器310、存储器320、输入装置330和输出装置340可以通过总线或者其他方式连接,图3中以通过总线连接为例。存储器320为上述的计算机可读存储介质。处理器310通过运行存储在存储器320中的非易失性软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述方法实施例用户异常登录监测方法。输入装置330可接收输入的数字或字符信息,以及产生与用户异常登录监测系统的用户设置以及功能控制有关的键信号输入。输出装置340可包括显示屏等显示设备。
上述电子设备可执行本发明实施例所提供的方法,具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节,可参见本发明实施例所提供的方法。
作为一种实施方式,上述电子设备应用于用户异常登录监测系统中,用于客户端,包括:至少一个处理器;以及,与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够:
获取待检测用户的与用户账号关联的登录请求,其中,所述登录请求中包含至少两种请求参数数据;
判断所述至少两种请求参数数据是否属于预设的正常请求域,其中,所述正常请求域为各个正常请求参数取值范围的集合;
若所述至少两种请求参数数据属于预设的正常请求域,则获取与所述登录请求相对应的用户登录行为,其中,所述用户登录行为中包含至少两种用户行为参数数据;
基于所述至少两种用户行为参数数据判断所述用户登录行为是否为正常登录行为;
若所述用户登录行为为正常登录行为,则获取待检测用户的与所述用户登录行为相对应的待检测日志文件,并将所述待检测日志文件分别与上一次正常登录日志文件中的登录记录信息、最后一次登录记录信息进行对比;
若所述待检测日志文件与上一次正常登录日志文件中的登录记录信息且与最后一次登录记录信息相同,则判定所述待检测用户存在异常登录行为。
本领域技术人员可以理解,在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。
计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或它们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种用户异常登录监测方法,其特征在于,包括:
获取待检测用户的与用户账号关联的登录请求,其中,所述登录请求中包含至少两种请求参数数据;
判断所述至少两种请求参数数据是否属于预设的正常请求域,其中,所述正常请求域为各个正常请求参数取值范围的集合;
若所述至少两种请求参数数据属于预设的正常请求域,则获取与所述登录请求相对应的用户登录行为,其中,所述用户登录行为中包含至少两种用户行为参数数据;
基于所述至少两种用户行为参数数据判断所述用户登录行为是否为正常登录行为;
若所述用户登录行为为正常登录行为,则获取待检测用户的与所述用户登录行为相对应的待检测日志文件,并将所述待检测日志文件分别与上一次正常登录日志文件中的登录记录信息、最后一次登录记录信息进行对比;
若所述待检测日志文件与上一次正常登录日志文件中的登录记录信息且与最后一次登录记录信息相同,则判定所述待检测用户存在异常登录行为。
2.根据权利要求1所述的一种用户异常登录监测方法,其特征在于,在基于所述至少两种用户行为参数数据判断所述用户登录行为是否为正常登录行为之后,所述方法还包括:
若所述用户登录行为不为正常登录行为,则对所述用户行为参数相关联的用户进行身份验证,并基于身份验证结果向用户发送告警信息。
3.根据权利要求1所述的一种用户异常登录监测方法,其特征在于,其中,所述用户行为参数包括输入字符时间间隔、输入全部字符时间、按键频次和更改次数。
4.根据权利要求3所述的一种用户异常登录监测方法,其特征在于,所述基于所述至少两种用户行为参数数据判断所述用户登录行为是否为正常登录行为包括:
所述判断所述至少两种用户行为参数数据是否属于预设的正常行为域包括:
将历史捕捉的待检测用户的异常行为和正常行为的用户行为参数分别生成异常行为数据集和正常行为数据集,将待检测用户每次输入时的用户行为参数数据作为一个行为特征字符串;
计算行为特征字符串在所述正常行为数据集和异常行为数据集的出现概率,根据所述行为特征字符串在所述正常行为数据集和异常行为数据集的出现概率计算待检测用户行为异常概率;
根据所述待检测用户行为异常概率是否超过预设的概率阈值,判定所述用户登录行为是否为正常登录行为。
5.根据权利要求1所述的一种用户异常登录监测方法,其特征在于,所述至少两种请求参数包括:登录地址和登录时间。
6.根据权利要求1所述的一种用户异常登录监测方法,其特征在于,在判断所述至少两种请求参数是否属于预设的正常请求域之后,所述方法还包括:
若所述至少两种请求参数不属于预设的正常请求域,则直接向用户发送告警信息。
7.根据权利要求1所述的一种用户异常登录监测方法,其特征在于,所述若所述用户行为参数不属于预设的正常行为域,则对所述用户行为参数相关联的用户进行身份验证,并基于身份验证结果向用户发送告警信息包括:
若所述用户行为参数不属于预设的正常行为域,则对所述用户行为参数相关联的用户进行语音验证、图像验证和/或指纹验证,使判断是否为合法用户进行的登录操作;
若是非法用户进行的登录操作,则将所述合法用户发送告警信息。
8.一种用户异常登录监测系统,其特征在于,包括:
第一获取模块,配置为获取待检测用户的与用户账号关联的登录请求,其中,所述登录请求中包含至少两种请求参数数据;
第一判断模块,配置为判断所述至少两种请求参数数据是否属于预设的正常请求域,其中,所述正常请求域为各个正常请求参数取值范围的集合;
第二获取模块,配置为若所述至少两种请求参数数据属于预设的正常请求域,则获取与所述登录请求相对应的用户登录行为,其中,所述用户登录行为中包含至少两种用户行为参数数据;
第二判断模块配置为基于所述至少两种用户行为参数数据判断所述用户登录行为是否为正常登录行为;
对比模块,配置为若所述用户登录行为为正常登录行为,则获取待检测用户的与所述用户登录行为相对应的待检测日志文件,并将所述待检测日志文件分别与上一次正常登录日志文件中的登录记录信息、最后一次登录记录信息进行对比;
判定模块,若所述待检测日志文件与上一次正常登录日志文件中的登录记录信息且与最后一次登录记录信息相同,则判定所述待检测用户存在异常登录行为。
9.一种电子设备,其特征在于,包括:至少一个处理器,以及与所述至少一个处理器通信连接的存储器,其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1至7任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现权利要求1至7任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210529878.9A CN114844710A (zh) | 2022-05-16 | 2022-05-16 | 用户异常登录监测方法、系统、可读存储介质以及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210529878.9A CN114844710A (zh) | 2022-05-16 | 2022-05-16 | 用户异常登录监测方法、系统、可读存储介质以及设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114844710A true CN114844710A (zh) | 2022-08-02 |
Family
ID=82569162
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210529878.9A Withdrawn CN114844710A (zh) | 2022-05-16 | 2022-05-16 | 用户异常登录监测方法、系统、可读存储介质以及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114844710A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115618308A (zh) * | 2022-12-01 | 2023-01-17 | 杭州美创科技股份有限公司 | 基于零信任身份的异常行为检测方法及装置 |
-
2022
- 2022-05-16 CN CN202210529878.9A patent/CN114844710A/zh not_active Withdrawn
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115618308A (zh) * | 2022-12-01 | 2023-01-17 | 杭州美创科技股份有限公司 | 基于零信任身份的异常行为检测方法及装置 |
CN115618308B (zh) * | 2022-12-01 | 2023-05-09 | 杭州美创科技股份有限公司 | 基于零信任身份的异常行为检测方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2019228004A1 (zh) | 一种核身方法和装置 | |
US10276168B2 (en) | Voiceprint verification method and device | |
US20190158495A1 (en) | Identity Challenges | |
EP3256976B1 (en) | Toggling biometric authentication | |
US10135818B2 (en) | User biological feature authentication method and system | |
TWI592820B (zh) | Man-machine recognition method and system | |
CN106650350B (zh) | 一种身份认证方法及系统 | |
CN109753783B (zh) | 一种基于机器学习的单点登录方法、装置及计算机可读存储介质 | |
US20170171188A1 (en) | Non-transitory computer-readable recording medium, access monitoring method, and access monitoring apparatus | |
US20120204225A1 (en) | Online authentication using audio, image and/or video | |
JP2002269050A (ja) | バイオメトリック情報を用いた利用者認証システム | |
CN110175448B (zh) | 一种可信设备登录认证方法及具有认证功能的应用系统 | |
US11444936B2 (en) | Managing security credentials | |
WO2020186802A1 (zh) | 版本更新包的发布方法、装置、计算机设备及存储介质 | |
JP2019008369A (ja) | 情報処理装置、認証システム、認証方法およびプログラム | |
CN112507316A (zh) | 一种用户的验证方法、装置、可读存储介质及电子设备 | |
CN114844710A (zh) | 用户异常登录监测方法、系统、可读存储介质以及设备 | |
CN111090846B (zh) | 登录认证方法、装置、电子设备及计算机可读存储介质 | |
CN111200591A (zh) | 多重人机验证方法、装置、设备和存储介质 | |
CN111294276A (zh) | 一种基于邮箱的远程控制方法、系统、设备以及介质 | |
CN114298714A (zh) | 账户身份认证方法、装置、电子设备及存储介质 | |
CN113032755B (zh) | 核电设备的操作人员验证方法、装置、设备和存储介质 | |
CN115168830A (zh) | 一种检测用户登录环境的登录方法及登录装置 | |
CN112272195B (zh) | 一种动态检测认证系统及其方法 | |
CN114338057B (zh) | 基于第三方鉴权的登录方法、装置、设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20220802 |