CN117692216A - 异常登录行为管理方法及其装置、存储介质和电子设备 - Google Patents
异常登录行为管理方法及其装置、存储介质和电子设备 Download PDFInfo
- Publication number
- CN117692216A CN117692216A CN202311714850.3A CN202311714850A CN117692216A CN 117692216 A CN117692216 A CN 117692216A CN 202311714850 A CN202311714850 A CN 202311714850A CN 117692216 A CN117692216 A CN 117692216A
- Authority
- CN
- China
- Prior art keywords
- abnormal
- login
- login behavior
- behavior
- historical
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 238
- 238000007726 management method Methods 0.000 title claims abstract description 86
- 230000006399 behavior Effects 0.000 claims abstract description 373
- 238000012549 training Methods 0.000 claims abstract description 63
- 206010000117 Abnormal behaviour Diseases 0.000 claims abstract description 52
- 238000001514 detection method Methods 0.000 claims abstract description 48
- 238000013528 artificial neural network Methods 0.000 claims abstract description 32
- 238000000605 extraction Methods 0.000 claims abstract description 31
- 238000000034 method Methods 0.000 claims abstract description 18
- 238000012545 processing Methods 0.000 claims description 28
- 230000005856 abnormality Effects 0.000 claims description 25
- 238000004891 communication Methods 0.000 claims description 19
- 238000013523 data management Methods 0.000 claims description 14
- 230000000007 visual effect Effects 0.000 claims description 8
- 238000013480 data collection Methods 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 3
- 238000012800 visualization Methods 0.000 claims description 2
- 238000004422 calculation algorithm Methods 0.000 description 22
- 238000012544 monitoring process Methods 0.000 description 16
- 238000010586 diagram Methods 0.000 description 4
- 238000007781 pre-processing Methods 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000003062 neural network model Methods 0.000 description 3
- 238000007637 random forest analysis Methods 0.000 description 3
- 238000012706 support-vector machine Methods 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000004140 cleaning Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 238000011897 real-time detection Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013527 convolutional neural network Methods 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Abstract
本申请实施例提供了一种异常登录行为管理方法及其装置、存储介质和电子设备。该方法包括:收集各个在线网络服务中的历史登录行为数据,历史登录行为数据至少包括登录频率信息、登录时间信息、登录地点信息中至少一者;基于预设的异常登录行为指标,针对历史登录行为数据执行特征提取,得到历史异常登录行为特征;基于历史异常登录行为特征作为训练样本,对神经网络进行训练,得到异常行为检测模型;将各个网络终端监测到的实时登录行为数据输入到异常行为检测模型中,判断实时登录行为数据是否指示异常登录行为,如果为是,则向网络管理设备通知异常登录行为。如此,能够对实时登录行为进行全面地异常检测,降低误报率,提升网络安全性。
Description
技术领域
本申请实施例计算机技术领域,尤其涉及一种异常登录行为管理方法及其装置、存储介质和电子设备。
背景技术
随着互联网的蓬勃发展和普及,人们在日常生活和工作中对网络服务的需求日益增长,随之而来的网络服务的安全性问题也日益突出。其中,异常登录行为是网络安全领域的一个重要问题,异常登录行为的情况有非正常时间登录、登录地点异常和登录设备异常等,这些异常登录情况可能预示着潜在的安全威胁,如账号被盗、数据泄露等。因此,对登录行为的实时检测和报警对于提高网络安全性和服务稳定性具有重要意义。
相关技术中在进行登录行为的检测时,通常是基于预先设定的检测规则或检测模型对登录行为进行检测,该方法的检测规则和检测模型在训练的过程中采用的初始训练集大部分是由登录时间异常、登录地点异常和登录设备异常等常见异常数据组成的,因此采用该初始训练集进行训练得到的模型能够对上述常见异常登录行为进行检测,但该检测方法存在检测不全面的问题,导致网络安全性较差。
发明内容
有鉴于此,本申请实施例提供一种异常登录行为管理方法及其装置、存储介质和电子设备,以解决或缓解现有技术中存在的问题。
根据本申请实施例的第一方面,提供了一种异常登录行为管理方法,该方法包括:收集各个在线网络服务中的历史登录行为数据,历史登录行为数据至少包括登录频率信息、登录时间信息、登录地点信息中至少一者;基于预设的异常登录行为指标,针对历史登录行为数据执行特征提取,得到历史异常登录行为特征;基于历史异常登录行为特征作为训练样本,对神经网络进行训练,得到异常行为检测模型;将各个网络终端监测到的实时登录行为数据输入到异常行为检测模型中,判断实时登录行为数据是否指示异常登录行为,如果为是,则向网络管理设备通知异常登录行为。
在本申请的一些实施例中,收集各个在线网络服务中的历史登录行为数据,包括:从各个网络终端获取与各个在线网络服务相关的数据管理组件,数据管理组件包括本地数据库、网络数据库、日志文件中的至少一者;从数据管理组件中收集历史登录行为数据。
在本申请的一些实施例中,在针对历史登录行为数据执行特征提取之前,异常登录行为管理方法还包括:基于目标数据格式,对历史登录行为数据的格式进行转换,得到统一格式的历史登录行为数据。
在本申请的一些实施例中,基于历史异常登录行为特征作为训练样本,对神经网络进行训练,得到异常行为检测模型,包括:将历史异常登录行为特征作为输入,异常登录行为作为标签,对神经网络进行监督训练,得到异常行为检测模型。
在本申请的一些实施例中,基于预设的异常登录行为指标,针对历史登录行为数据执行特征提取,得到历史异常登录行为特征,包括:获取实时登录行为数据的异常登录行为的处理结果;在处理结果指示异常登录行为为正常登录行为时,将实时登录行为数据及正常登录行为的标签进行关联,添加到训练样本中。
在本申请的一些实施例中,基于预设的异常登录行为指标,针对历史登录行为数据执行特征提取,得到历史异常登录行为特征,包括:确定历史登录行为数据与各个异常登录行为指标对应的各个权重值,作为历史异常登录行为特征,其中,各个异常登录行为指标包括登录时间异常、登录频率异常、登录地点异常中的至少一者。
在本申请的一些实施例中,向网络管理设备通知异常登录行为,包括:将实时登录行为数据进行可视化处理;通过与网络管理设备的实时通信连接,将异常登录行为发送到网络管理设备,以在网络管理设备的显示界面中以可视化格式显示实时登录行为数据。
根据本申请实施例的第二方面,提供了一种异常登录行为管理装置,该装置包括:数据收集模块,收集各个在线网络服务中的历史登录行为数据,历史登录行为数据至少包括登录频率信息、登录时间信息、登录地点信息中至少一者;特征提取模块,基于预设的异常登录行为指标,针对历史登录行为数据执行特征提取,得到历史异常登录行为特征;模型训练模块,基于历史异常登录行为特征作为训练样本,对神经网络进行训练,得到异常行为检测模型;信息通知模块,将各个网络终端监测到的实时登录行为数据输入到异常行为检测模型中,判断实时登录行为数据是否指示异常登录行为,如果为是,则向网络管理设备通知异常登录行为。
根据本申请实施例的第三方面,提供了一种电子设备,包括:处理器、存储器、通信接口和通信总线,处理器、存储器和通信接口通过通信总线完成相互间的通信;存储器用于存放至少一可执行指令,可执行指令使处理器执行如上述任一实施例的异常登录行为管理方法对应的操作。
根据本申请实施例的第四方面,提供了一种计算机存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述任一实施例的异常登录行为管理方法。
根据本申请实施例提供的异常登录行为管理方法及其装置、存储介质和电子设备,通过神经网络训练特征提取后的各个在线网络服务中的历史登录行为数据,得到异常行为监测模型,并根据该异常行为监测模型对实时登录行为数据进行全面地异常检测,降低异常登录行为的误报率和漏报率,且在检测到异常登录行为时,及时地向网络管理设备通知异常登录行为,以便用户及时进行异常处理。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请实施例中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1为本申请一个实施例的异常登录行为管理方法的流程示意图;
图2为本申请另一个实施例的异常登录行为管理方法的流程示意图;
图3为根据本申请一个实施例的异常登录行为管理装置的结构框图;
图4为根据本申请一个实施例的电子设备的结构框图。
具体实施方式
为了使本领域的人员更好地理解本申请实施例中的技术方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请实施例一部分实施例,而不是全部的实施例。基于本申请实施例中的实施例,本领域普通技术人员所获得的所有其他实施例,都应当属于本申请实施例保护的范围。
下面结合本申请实施例附图进一步说明本申请实施例具体实现。
图1为本申请一个实施例的异常登录行为管理方法的流程示意图。
如图1所示,该异常登录行为管理方法包括:
S11:收集各个在线网络服务中的历史登录行为数据,历史登录行为数据至少包括登录频率信息、登录时间信息、登录地点信息中至少一者。
具体来说,在线网络服务包括网页浏览端、邮箱、社交软件或视频软件等,该在线网络服务通常需要用户输入账号和密码进行登录,为保证用户登录的网络安全性,因此对用户的登录行为进行检测。历史登录行为数据为登录成功时的登录数据和登录失败时的登录数据,登录频率信息可通过对同一账号在一段时间内登录同一设备或不同设备的登录次数进行统计得到。登录地点信息可以是同一账号的登录IP地址信息。
历史行为数据通常来源于各个在线网络服务的日志文件、数据库和网络监控数据等,且通过Flume(分布式日志手机系统)、Fluentd(数据收集架构)、Scribe(数据日志收集系统)或Scrapy(屏幕抓取和网页抓取架构)等数据采集工具从上述日志文件、数据库和网络监控数据中采集与历史登录行为有关的历史登录行为数据。
S12:基于预设的异常登录行为指标,针对历史登录行为数据执行特征提取,得到历史异常登录行为特征。
可以理解,异常登录行为指标为与异常登录行为有关的指标,可以描述用户的异常登录行为的变化。该异常登录行为指标可包括登录时间与往常登录时间出现较大区别的登录时间异常,如:用户A的账号登录时间通常为8:00-22:00之间,若某天该账号的登录时间为凌晨2:00,则认为此时存在异常登录情况;登录地点与往常登录地点出现较大区别的登录地点异常,如:用户A的账号登录城市通常为B,若某天该账号的登录地点为城市C,则认为存在异常登录情况;登录频率异常,若同一账号在一段时间内频繁登录,则认为存在异常登录情况;也可包括登录失败的异常登录数据,如:因网络原因导致在线网络服务的账号登录失败时的网络异常数据,因在线网络服务所处的设备出现故障导致账号登录失败时的设备异常数据。
也就是说,预设的异常登录行为指标包括常见异常登录行为数据中的登录时间异常、登录地点异常和登录频率异常,也包括非常见异常登录行为数据中的网络异常数据和设备异常数据,通过预设的异常登录行为指标对历史登录行为数据执行特征提取,得到与异常登录行为有关的历史异常登录行为特征,该历史异常登录行为特征包括了常见异常登录行为特征和非常见异常登录行为特征。
S13:基于历史异常登录行为特征作为训练样本,对神经网络进行训练,得到异常行为检测模型。
神经网络可以是卷积神经网络、循环神经网络、长短期记忆网络或反向传播算法等神经网络,如:通过向反向传播算法中输入以历史异常登录行为特征组成的训练样本,经过该算法的前向计算后,得到计算结果的输出值,并将该输出值与期望输出值进行比较,将得到的误差值传回至前面的网络层,如此反复训练,直至误差值低于预设误差阈值,则结束训练,得到训练完成的异常行为检查模型。如此,基于历史异常登录行为特征,通过具备较强学习能力和计算能力的神经网络对其进行反复训练,得到具有实时检测能力的检测模型,进行后续的异常登录行为检测。
需要说明的是,本申请也可通过由监督学习算法、无监督学习算法和强化学习算法组成的其余机器学习算法,如支持向量机(SVM)和随机森林(Random Forest),并基于历史异常登录行为特征进行训练得到异常行为检测模型。
S14:将各个网络终端监测到的实时登录行为数据输入到异常行为检测模型中,判断实时登录行为数据是否指示异常登录行为,如果为是,则向网络管理设备通知异常登录行为。
实时登录行为数据指的是用户实时登录在线网络服务时的登录时间、登录地点和登录频率等登录行为数据。网络管理设备用于管理各个在线网络服务,如手机、电脑或平板等设备,同一个账号可能在多个网络管理设备上登录,因此在发生异常登录行为时,可向多个网络管理设备通知异常登录行为,也可向使用频率最高的网络管理设备通知异常登录行为。
通过各个网络终端对用户登录在线网络服务的登录行为进行监测,得到实时登录行为数据,并将其输入上述实施例中预先训练完成的异常行为监测模型中,以根据该模型的输出结果判断实时登录行为数据是否指示异常登录行为,从而在出现异常登录行为时,及时地向网络管理设备通知异常登录行为,实现异常登录行为的及时报警,避免因漏报或延迟报警导致出现损失或风险的情况,节省用户的时间和资源。
根据本申请的异常登录行为管理方法,通过神经网络训练特征提取后的各个在线网络服务中的历史登录行为数据,得到异常行为监测模型,并根据该异常行为监测模型对实时登录行为数据进行自动地和全面地异常检测,降低异常登录行为的误报率和漏报率,且在检测到异常登录行为时,及时地向网络管理设备通知异常登录行为,提升网络安全性。
示例性的,图2为本申请另一个实施例的异常登录行为管理方法的流程示意图。如图2所示,该异常登录行为管理方法包括:
S21:收集各个在线网络服务中的历史登录行为数据并进行预处理。
具体来说,通过各个网络终端获取与各个在线网络服务相关的本地数据库、网络数据库和日志文件等数据管理组件,以通过上述实施例中的数据采集器从数据管理组件中收集用户登录ID信息、登录时间信息、登录地点信息和登录设备信息等历史登录行为数据,并采用分布式数据库和数据仓库将采集的历史登录行为数据进行存储。
进一步去除历史登录行为数据中的重复数据和错误数据,填充历史登录行为数据中的缺失数据,得到清洗数据,并基于目标文件格式将清洗数据的数据格式转换为统一格式的历史登录行为数据。可以理解,数据预处理过程中的数据格式转换是为了将历史登录行为数据的格式转换为适用于神经网络或其他算法的数据格式,因此,在训练算法为神经网络算法时,目标数据格式可以是int或float,因此将历史登录行为数据转换为int型或float型数据,完成对历史登录行为数据的预处理。
S22:基于预设的异常登录行为指标,针对历史登录行为数据执行特征提取,得到历史异常登录行为特征。
具体来说,在基于预设的异常登录行为指标得到历史异常登录行为特征的过程中,可通过设定的历史登录行为数据与各个异常登录行为指标对应的各个权重值,得到历史异常登录行为特征,如设定异常登录行为指标中的登录时间异常对应的权重值为0.3,登录频率异常对应的权重值为0.4,登录地点异常对应的权重值为0.3,如此根据各个异常登录行为指标的权重值对历史登录行为数据进行特征提取,得到历史异常登录行为特征。
需要说明的是,在异常登录行为指标包括上述的登录时间异常、登录频率异常、登录地点异常和登录失败网络异常数据及设备异常数据时,可重新确定各个指标的权重占比,具体权重占比可根据实际情况进行调整,在此不作限定。
S23:将历史异常登录行为特征作为训练样本,选定训练算法对构建的实时预设模型进行训练,得到异常行为检测模型。
可以理解,实时预设模型可以是上述实施例中的由神经网络算法形成的神经网络模型,也可以是由支持向量机算法或随机森林算法等机器学习算法形成的预设模型。根据实际需求选定目标算法,构建预设模型,将历史异常登录行为特征作为训练样本输入预设模型中,对其进行反复训练,得到训练完成的异常行为检测模型。如:选定的目标算法为神经网络算法,该神经网络算法在监督学习中需要在训练样本中加入标签,以便确定期望的输出值,因此需要将历史登录行为特征作为输入的训练样本,并将异常登录行为作为标签,对神经网络模型进行监督训练,得到异常行为检测模型。其中,神经网络的具体训练过程可根据算法的不同进行调整,如上述实施例S13中的反向传播算法的训练过程。
S24:将各个网络终端监测到的实时登录行为数据输入到异常行为检测模型中,判断实时登录行为数据是否指示异常登录行为,如果为是,则向网络管理设备通知异常登录行为。
也就是说,通过各个网络终端对用户登录在线网络服务的登录行为进行监测,得到实时登录行为数据,并将其输入预先训练完成的异常行为监测模型中,以根据该模型的输出结果判断实时登录行为数据是否指示异常登录行为,从而在出现异常登录行为时,及时地向网络管理设备通知异常登录行为。
其中,判断实时登录行为数据是否指示异常登录行为可通过实时登录行为数据中的登录时间信息或登录地点信息与异常行为检测模型的训练样本中的历史登录时间信息或历史登录地点信息是否相同,并在不同时确定存在异常登录行为,将实时登录行为数据发送至与网络终端进行实时通信的网络管理设备,从而通过邮件、短信、电话或弹窗等可视化方式显示实时登录行为数据。也可通过实时登录行为数据中的登录频率信息确定同一账号是否在一段时间内多次登录,并在同一账号在一段时间内多次登录时确定存在异常登录行为,从而向网络管理设备通知异常登录行为,以便用户根据异常登录行为采取相应措施进行处理。
需要说明的是,在通过异常行为检测模型对实时登录行为数据进行检测的过程中,也可通过分布式计算节点和流数据处理技术对实时登录行为数据进行处理,实现对大量的实时登录行为数据的快速处理,能够轻松扩展异常登录行为管理方法的处理能力,且有助于更加快速地检测得到异常登录行为和报警。此外,在将实时登录行为数据输入到异常行为检测模型中进行检测之前也可对该实时登录行为数据进行数据预处理。
S25:获取实时登录行为数据的异常登录行为的处理结果,并根据处理结果调整异常行为检测模型的训练样本。
具体来说,当向网络管理设备通知异常登录行为后,用户将根据异常登录行为采取相应措施进行更改密码、更改绑定网络管理设备或阻止恶意网络攻击等处理操作,为了在异常行为检测模型中更新处理信息,因此通过获取异常登录行为的处理结果,并在处理结果指示异常登录行为为正常登录行为时,将实时登录行为数据及正常登录行为的标签进行关联,添加到训练样本中,以便基于该训练样本对神经网络再次进行训练,得到优化后的异常行为检测模型。可以理解,在基于实时登录行为数据及正常登录行为的标签进行关联的训练样本对神经网络再次训练可以是对该神经网络模型执行调参或重新训练等优化操作。
如此,通过神经网络训练特征提取后的各个在线网络服务中的历史登录行为数据,得到异常行为监测模型,并根据该异常行为监测模型对实时登录行为数据进行自动地和全面地异常检测,降低异常登录行为的误报率和漏报率,且在检测到异常登录行为时,及时地向网络管理设备通知异常登录行为,提升网络安全性。
进一步参考图2,在一些实施例中,收集各个在线网络服务中的历史登录行为数据,包括:从各个网络终端获取与各个在线网络服务相关的数据管理组件,数据管理组件包括本地数据库、网络数据库、日志文件中的至少一者;从数据管理组件中收集历史登录行为数据。也就是说,从本地数据库、网络数据库、日志文件中收集历史登录行为数据,保证了历史登录行为数据的真实性。
进一步参考图2,在一些实施例中,在针对历史登录行为数据执行特征提取之前,异常登录行为管理方法还包括:基于目标数据格式,对历史登录行为数据的格式进行转换,得到统一格式的历史登录行为数据。如此,通过对历史登录行为数据进行预处理,得到便于后续处理的历史异常登录行为数据,且减少数据解读的误差。
进一步参考图2,在一些实施例中,基于历史异常登录行为特征作为训练样本,对神经网络进行训练,得到异常行为检测模型,包括:将历史异常登录行为特征作为输入,异常登录行为作为标签,对神经网络进行监督训练,得到异常行为检测模型。其中,该历史异常登录行为特征包括了常见异常登录行为特征和非常见异常登录行为特征,如此,通过机器学习算法对历史异常登录行为特征进行学习和识别,得到准确率高且检测全面的异常行为检测模型,以提升异常行为检测的准确率,降低误报率和漏报率。
进一步参考图2,在一些实施例中,基于预设的异常登录行为指标,针对历史登录行为数据执行特征提取,得到历史异常登录行为特征,包括:获取实时登录行为数据的异常登录行为的处理结果;在处理结果指示异常登录行为为正常登录行为时,将实时登录行为数据及正常登录行为的标签进行关联,添加到训练样本中。
如此,通过将实时登录行为数据及正常登录行为的标签进行关联,添加到训练样本中,实现了对异常行为检测模型的优化,提升了异常行为检测模型的检测准确性和适应性,从而提高了登录行为的网络安全性和稳定性。
进一步参考图2,在一些实施例中,基于预设的异常登录行为指标,针对历史登录行为数据执行特征提取,得到历史异常登录行为特征,包括:确定历史登录行为数据与各个异常登录行为指标对应的各个权重值,作为历史异常登录行为特征,其中,各个异常登录行为指标包括登录时间异常、登录频率异常、登录地点异常中的至少一者。
如此,通过预设的异常登录行为指标对应的各个权重值对历史登录行为数据进行特征提取得到历史异常登录行为特征,能够定制不同类型的异常登录行为的报警优先级,且在根据历史异常登录行为特征对神经网络训练时,可根据历史异常情况调整各个异常登录行为指标对应的权重值,优化异常行为检测模型。
进一步参考图2,在一些实施例中,向网络管理设备通知异常登录行为,包括:将实时登录行为数据进行可视化处理;通过与网络管理设备的实时通信连接,将异常登录行为发送到网络管理设备,以在网络管理设备的显示界面中以可视化格式显示实时登录行为数据。其中,可视化格式包括邮件、短信、电话或弹窗等显示方式,通过向网络管理设备通知异常登录行为,以便用户根据异常登录行为采取相应措施进行处理。
本实施例的异常登录行为管理方法可以由任意适当的具有数据处理能力的电子设备执行,包括但不限于:服务器、移动终端(如手机、PAD等)和PC机等。
图3为根据本申请一个实施例的异常登录行为管理装置的结构框图。
如图3所示,该异常登录行为管理装置300可以执行图1所示的异常登录行为管理方法,异常登录行为管理装置300包括:数据收集模块302,用于收集各个在线网络服务中的历史登录行为数据,历史登录行为数据至少包括登录频率信息、登录时间信息、登录地点信息中至少一者;特征提取模块303,用于基于预设的异常登录行为指标,针对历史登录行为数据执行特征提取,得到历史异常登录行为特征;模型训练模块304,用于基于历史异常登录行为特征作为训练样本,对神经网络进行训练,得到异常行为检测模型;信息通知模块305,用于将各个网络终端监测到的实时登录行为数据输入到异常行为检测模型中,判断实时登录行为数据是否指示异常登录行为,如果为是,则向网络管理设备通知异常登录行为。
在本申请的一些实施例中,数据收集模块302具体用于:从各个网络终端获取与各个在线网络服务相关的数据管理组件,数据管理组件包括本地数据库、网络数据库、日志文件中的至少一者;从数据管理组件中收集历史登录行为数据。
在本申请的一些实施例中,异常登录行为管理装置300还包括格式转换模块(图中未示出),在针对历史登录行为数据执行特征提取之前,格式转换模块(图中未示出)用于:基于目标数据格式,对历史登录行为数据的格式进行转换,得到统一格式的历史登录行为数据。
在本申请的一些实施例中,模型训练模块304具体用于:将历史异常登录行为特征作为输入,异常登录行为作为标签,对神经网络进行监督训练,得到异常行为检测模型。
在本申请的一些实施例中,特征提取模块303具体用于:获取实时登录行为数据的异常登录行为的处理结果;在处理结果指示异常登录行为为正常登录行为时,将实时登录行为数据及正常登录行为的标签进行关联,添加到训练样本中。
在本申请的一些实施例中,特征提取模块303具体用于:确定历史登录行为数据与各个异常登录行为指标对应的各个权重值,作为历史异常登录行为特征,其中,各个异常登录行为指标包括登录时间异常、登录频率异常、登录地点异常中的至少一者。
在本申请的一些实施例中,信息通知模块305具体用于:将实时登录行为数据进行可视化处理;通过与网络管理设备的实时通信连接,将异常登录行为发送到网络管理设备,以在网络管理设备的显示界面中以可视化格式显示实时登录行为数据。
根据本申请实施例提供的异常登录行为管理装置,通过神经网络训练特征提取后的各个在线网络服务中的历史登录行为数据,得到异常行为监测模型,并根据该异常行为监测模型对实时登录行为数据进行全面地异常检测,降低异常登录行为的误报率和漏报率,且在检测到异常登录行为时,及时地向网络管理设备通知异常登录行为,以便用户及时进行异常处理。
本实施例的异常登录行为管理装置用于实现前述多个方法实施例中相应的异常登录行为管理方法,并具有相应的方法实施例的有益效果,在此不再赘述。此外,本实施例的异常登录行为管理装置中的各个模块的功能实现均可参照前述方法实施例中的相应部分的描述,在此亦不再赘述。
图4为根据本申请一个实施例的电子设备的结构框图,本申请具体实施例并不对电子设备的具体实现做限定。
如图4所示,该电子设备400可以包括:处理器402、存储器403、通信接口404和通信总线405,处理器402、存储器403和通信接口404通过通信总线405完成相互间的通信;存储器403用于存放至少一可执行指令,可执行指令使处理器402执行上述任一实施例的异常登录行为管理方法对应的操作。
处理器402可能是中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本申请实施例的一个或多个集成电路。智能设备包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个CPU;也可以是不同类型的处理器,如一个或多个CPU以及一个或多个ASIC。
存储器403,用于存放程序。存储器402可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
根据本申请实施例提供的电子设备,通过神经网络训练特征提取后的各个在线网络服务中的历史登录行为数据,得到异常行为监测模型,并根据该异常行为监测模型对实时登录行为数据进行全面地异常检测,降低异常登录行为的误报率和漏报率,且在检测到异常登录行为时,及时地向网络管理设备通知异常登录行为,以便用户及时进行异常处理。
本申请实施例还提供了一种计算机存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述任一实施例的异常登录行为管理方法。
根据本申请实施例的计算机存储介质,通过神经网络训练特征提取后的各个在线网络服务中的历史登录行为数据,得到异常行为监测模型,并根据该异常行为监测模型对实时登录行为数据进行全面地异常检测,降低异常登录行为的误报率和漏报率,且在检测到异常登录行为时,及时地向网络管理设备通知异常登录行为,以便用户及时进行异常处理。
需要指出,根据实施的需要,可将本申请实施例中描述的各个部件/步骤拆分为更多部件/步骤,也可将两个或多个部件/步骤或者部件/步骤的部分操作组合成新的部件/步骤,以实现本申请实施例的目的。
上述根据本申请实施例的方法可在硬件、固件中实现,或者被实现为可存储在记录介质(诸如CD ROM、RAM、软盘、硬盘或磁光盘)中的软件或计算机代码,或者被实现通过网络下载的原始存储在远程记录介质或非暂时机器可读介质中并将被存储在本地记录介质中的计算机代码,从而在此描述的方法可被存储在使用通用计算机、专用处理器或者可编程或专用硬件(诸如ASIC或FPGA)的记录介质上的这样的软件处理。可以理解,计算机、处理器、微处理器控制器或可编程硬件包括可存储或接收软件或计算机代码的存储组件(例如,RAM、ROM、闪存等),当所述软件或计算机代码被计算机、处理器或硬件访问且执行时,实现在此描述的异常登录行为管理方法。此外,当通用计算机访问用于实现在此示出的异常登录行为管理方法的代码时,代码的执行将通用计算机转换为用于执行在此示出的异常登录行为管理方法的专用计算机。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及方法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请实施例的范围。
以上实施方式仅用于说明本申请实施例,而并非对本申请实施例的限制,有关技术领域的普通技术人员,在不脱离本申请实施例的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本申请实施例的范畴,本申请实施例的专利保护范围应由权利要求限定。上述实施例阐明的系统、设备或模块,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。
Claims (10)
1.一种异常登录行为管理方法,其特征在于,包括:
收集各个在线网络服务中的历史登录行为数据,所述历史登录行为数据至少包括登录频率信息、登录时间信息、登录地点信息中至少一者;
基于预设的异常登录行为指标,针对所述历史登录行为数据执行特征提取,得到历史异常登录行为特征;
基于所述历史异常登录行为特征作为训练样本,对神经网络进行训练,得到异常行为检测模型;
将各个网络终端监测到的实时登录行为数据输入到所述异常行为检测模型中,判断所述实时登录行为数据是否指示异常登录行为,如果为是,则向网络管理设备通知所述异常登录行为。
2.根据权利要求1所述的异常登录行为管理方法,其特征在于,收集各个在线网络服务中的历史登录行为数据,包括:
从所述各个网络终端获取与所述各个在线网络服务相关的数据管理组件,所述数据管理组件包括本地数据库、网络数据库、日志文件中的至少一者;
从所述数据管理组件中收集所述历史登录行为数据。
3.根据权利要求1所述的异常登录行为管理方法,其特征在于,在针对所述历史登录行为数据执行特征提取之前,所述方法还包括:
基于目标数据格式,对所述历史登录行为数据的格式进行转换,得到统一格式的历史登录行为数据。
4.根据权利要求1所述的异常登录行为管理方法,其特征在于,基于所述历史异常登录行为特征作为训练样本,对神经网络进行训练,得到异常行为检测模型,包括:
将所述历史异常登录行为特征作为输入,异常登录行为作为标签,对所述神经网络进行监督训练,得到所述异常行为检测模型。
5.根据权利要求4所述的异常登录行为管理方法,其特征在于,基于预设的异常登录行为指标,针对所述历史登录行为数据执行特征提取,得到历史异常登录行为特征,包括:
获取实时登录行为数据的异常登录行为的处理结果;
在所述处理结果指示所述异常登录行为为正常登录行为时,将所述实时登录行为数据及所述正常登录行为的标签进行关联,添加到所述训练样本中。
6.根据权利要求1所述的异常登录行为管理方法,其特征在于,基于预设的异常登录行为指标,针对所述历史登录行为数据执行特征提取,得到历史异常登录行为特征,包括:
确定所述历史登录行为数据与各个异常登录行为指标对应的各个权重值,作为所述历史异常登录行为特征,其中,所述各个异常登录行为指标包括登录时间异常、登录频率异常、登录地点异常中的至少一者。
7.根据权利要求1所述的异常登录行为管理方法,其特征在于,向网络管理设备通知所述异常登录行为,包括:
将所述实时登录行为数据进行可视化处理;
通过与所述网络管理设备的实时通信连接,将所述异常登录行为发送到所述网络管理设备,以在所述网络管理设备的显示界面中以可视化格式显示所述实时登录行为数据。
8.一种异常登录行为管理装置,其特征在于,包括:
数据收集模块,收集各个在线网络服务中的历史登录行为数据,所述历史登录行为数据至少包括登录频率信息、登录时间信息、登录地点信息中至少一者;
特征提取模块,基于预设的异常登录行为指标,针对所述历史登录行为数据执行特征提取,得到历史异常登录行为特征;
模型训练模块,基于所述历史异常登录行为特征作为训练样本,对神经网络进行训练,得到异常行为检测模型;
信息通知模块,将各个网络终端监测到的实时登录行为数据输入到所述异常行为检测模型中,判断所述实时登录行为数据是否指示异常登录行为,如果为是,则向网络管理设备通知所述异常登录行为。
9.一种电子设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行如权利要求1-7中任一项所述的异常登录行为管理方法对应的操作。
10.一种计算机存储介质,其上存储有计算机程序,该程序被处理器执行时实现如权利要求1-7中任一所述的异常登录行为管理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311714850.3A CN117692216A (zh) | 2023-12-13 | 2023-12-13 | 异常登录行为管理方法及其装置、存储介质和电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311714850.3A CN117692216A (zh) | 2023-12-13 | 2023-12-13 | 异常登录行为管理方法及其装置、存储介质和电子设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117692216A true CN117692216A (zh) | 2024-03-12 |
Family
ID=90133216
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311714850.3A Pending CN117692216A (zh) | 2023-12-13 | 2023-12-13 | 异常登录行为管理方法及其装置、存储介质和电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117692216A (zh) |
-
2023
- 2023-12-13 CN CN202311714850.3A patent/CN117692216A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112162878B (zh) | 数据库故障发现方法、装置、电子设备及存储介质 | |
CN113918376B (zh) | 故障检测方法、装置、设备及计算机可读存储介质 | |
CN115809183A (zh) | 基于知识图谱的信创终端故障发现及处置的方法 | |
CN115529595A (zh) | 一种日志数据的异常检测方法、装置、设备及介质 | |
CN112328425A (zh) | 一种基于机器学习的异常检测方法和系统 | |
CN115733762A (zh) | 具有大数据分析能力的监控系统 | |
CN111510339A (zh) | 一种工业互联网数据监测方法和装置 | |
CN116866012A (zh) | 电力设施管理平台的网络风险监测方法及系统 | |
CN113656252A (zh) | 故障定位方法、装置、电子设备以及存储介质 | |
CN111371581A (zh) | 物联网卡业务异常检测的方法、装置、设备和介质 | |
US20230291657A1 (en) | Statistical Control Rules for Detecting Anomalies in Times Series Data | |
CN115016976B (zh) | 一种根因定位方法、装置、设备及存储介质 | |
CN112910733A (zh) | 一种基于大数据的全链路监控系统及方法 | |
CN116483663A (zh) | 用于平台的异常告警方法和装置 | |
CN117692216A (zh) | 异常登录行为管理方法及其装置、存储介质和电子设备 | |
CN110677271B (zh) | 基于elk的大数据告警方法、装置、设备及存储介质 | |
CN111835566A (zh) | 一种系统故障管理方法、装置及系统 | |
CN113537519A (zh) | 一种识别异常设备的方法和装置 | |
CN113347021B (zh) | 一种模型生成方法、撞库检测方法、装置、电子设备及计算机可读存储介质 | |
CN116915463B (zh) | 一种调用链数据安全分析方法、装置、设备及存储介质 | |
CN113596051B (zh) | 检测方法、检测装置、电子设备、介质和计算机程序 | |
CN116260640B (zh) | 基于人工智能进行大数据分析的信息拦截控制方法及系统 | |
CN114154160B (zh) | 容器集群监测方法、装置、电子设备及存储介质 | |
CN115829160B (zh) | 一种时序异常预测方法、装置、设备及存储介质 | |
US20240036963A1 (en) | Multi-contextual anomaly detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |