WO2014082484A1 - 一种用户登录监测设备和方法 - Google Patents

Abstract

本发明公开了一种用户登录监测设备和方法，包括：获取用户最近的用户登录记录列表，每个用户登录记录包括与用户的登录位置相关联的信息；根据用户登录记录列表确定用户的常用登录位置，当具有相同登录位置的用户登录记录数量不小于第一阈值时，将与该登录位置确定为用户的常用登录位置；将登录位置不同于常用登录位置的用户登录记录标记为异常。利用本发明可以在用户不参与的情况下自动确定用户的常用登录位置，并判断并标记异常的登录记录，以方便用户查看或者提醒用户，从而提升用户帐号的安全性。另外，在一些特殊情况下，本发明也可以准确确定用户登录是否异常，从而提升了准确率并降低了误报率。

Description

一种用户登录监测设备和方法 技术领域

本发明涉及互联网技术领域， 更具体地， 涉及一种用户登录监测 设备和方法。 背景技术

随着互联网的快速发展， 出现了越来越多具有大量用户的网络应 用。 用户一般需要登录到网络应用系统中之后， 才可以使用网络应用 的更加完整功能。

另外， 网络客户端的形式也在日趋多样化， 网络应用的客户端除 了传统的 PC客户端和 web接口之外， 还出现了诸如智能手机和平板之 类的移动客户端。 用户可以通过任何一种客户端登录到网络应用中， 并执行基本相同的功能。

由于互联网应用的特点， 用户可以在任何时间， 任何位置登录网 络应用系统。 一些恶意人员通过窃取正常用户的密码， 然后在其它地 方登录网络应用系统， 窃取用户的信息， 给用户造成了严重的损失。 因此， 对用户的登录信息进行监测以便尽可能及时且准确地发现可能 的异常登录， 则能有效地提升用户帐号的安全性。 发明内容

鉴于上述问题， 提出了本发明以便提供一种克服上述问题或者至 少部分地解决上述问题的用户登录监测设备和相应的方法。

按照本发明的一个方面， 提供了一种用户登录监测设备， 包括： 登录记录获取器， 配置成获取用户最近的用户登录记录列表， 所 述用户登录记录列表包括第一预定数量个用户登录记录， 每个用户登 录记录包括与用户的登录位置相关联的信息；

常用登录位置确定器， 配置成根据所获取的用户登录记录列表来 确定用户的常用登录位置， 其中对所述用户登录记录列表中、 具有相 同登录位置的用户登录记录进行统计， 当具有相同登录位置的用户登 录记录数量不小于第一阈值时， 将与该用户登录记录相关联的登录位 置确定为用户的常用登录位置； 以及

异常登录记录标记器， 配置成将登录位置不同于常用登录位置的 用户登录记录标记为异常。

按照本发明的另一方面， 提供了一种用户登录监测方法， 包括步 骤：

获取用户最近的用户登录记录列表， 所述用户登录记录列表包括 第一预定数量个用户登录记录， 每个用户登录记录包括与用户的登录 位置相关联的信息；

根据所获取的用户登录记录列表来确定用户的常用登录位置， 其 中对所述用户登录记录列表中、 具有相同登录位置的用户登录记录进 行统计， 当具有相同登录位置的用户登录记录数量不小于第一阈值时， 将与该用户登录记录相关联的登录位置确定为用户的常用登录位置； 以及

将登录位置不同于常用登录位置的用户登录记录标记为异常。 根据本发明的用户登录监测设备和方法可以在用户不参与的情况 下自动确定用户的常用登录位置， 并根据常用登录位置判断并标记异 常的登录记录， 以方便用户查看或者提醒用户， 从而提升用户帐号的 安全性。 另外， 在用户出差、 旅游或者特定网络等特殊情况下， 本发 明的用户登录监测设备和方法也可以准确确定用户登录是否异常， 从 而提升了准确率并降低了误报率。

上述说明仅是本发明技术方案的概述， 为了能够更清楚了解本发 明的技术手段， 而可依照说明书的内容予以实施， 并且为了让本发明 的上述和其它目的、 特征和优点能够更明显易懂， 以下特举本发明的 具体实施方式。 附图说明

通过阅读下文优选实施方式的详细描述， 各种其他的优点和益处 对于本领域普通技术人员将变得清楚明了。 附图仅用于示出优选实施 方式的目的， 而并不认为是对本发明的限制。 而且在整个附图中， 用 相同的参考符号表示相同的部件。 在附图中：

图 1示出了本发明的用户登录监测设备和方法的一种典型应用场 图 2示出了按照本发明的用户登录监测设备的一个实施例的结构 示意图；

图 3示出了根据本发明的用户登录监测方法的一个实施例的流程 图；

图 4示出了根据本发明一个实施例的执行根据本发明的方法的客 户端或服务器的框图； 以及

图 5示出了根据本发明一个实施例的用于保持或者携带实现根据 本发明的方法的程序代码的存储单元。 具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。 虽然附图 中显示了本公开的示例性实施例， 然而应当理解， 可以以各种形式实 现本公开而不应被这里阐述的实施例所限制。 相反， 提供这些实施例 是为了能够更透彻地理解本公开， 并且能够将本公开的范围完整的传 达给本领域的技术人员。

图 1示出了本发明的用户登录监测设备和方法的一种典型应用场 合。如图 1所示， 用户可以通过各种合适的终端， 如移动终端 111、 Web 终端 113或桌面终端 115通过互联网 120登录到所需要的网络应用系 统 130， 以使用该网络应用系统 130的提供的各种功能。这样的网路应 用系统 130例如可以是电子邮箱、 网盘、 论坛、 网银、 网络游戏、 网 上商城等等。 出于区分不同用户身份或其它方面的考虑， 这些网络应 用系统通常需要其用户进行注册而获得与用户对应的登录帐号和密 码， 并且在用户注册时还需要用户提供一些相关信息， 如真实身份信 息、 住址、 注册地等等。 相应地， 这样的网络应用系统通常会提供帐 号系统 131， 以完成用户登录帐号的注册工作， 并且在用户登录该网络 应用系统时验证其登录帐号、 密码以及其它可选信息的正确性， 通过 验证的用户则可以使用该网络应用系统提供的各种功能。

此外， 帐号系统 131还可以负责记录用户的登录记录数据 133。该 登录记录数据例如可以包括登录时间和登录 IP以及可选的登录后行为 类型等。 登陆后行为类型例如可以包括： 修改密码， 重置密码， 修改 密保邮箱， 修改密保手机， 修改密保问题， 修改个人信息等类型。 这 些登录记录数据可以以登录记录列表的方式存储在该网络应用系统 中。

如果一些恶意人员窃取了正常用户的登录帐号和密码， 那么他就 可以通过登录网络应用系统而不当地获取到用户注册信息， 甚至冒用 正常用户使用该网络应用系统的各项功能， 从而给用户带来损失。

尽管用户可以经常登录该网络应用系统 130，通过阅览登录记录数 据 133来查看是否有异常的登录记录， 并进而通过修改登录密码等手 段保护账户的安全； 但这对普通用户来说显然是非常耗费精力且不方 便的。

本发明的用户登录监测设备 200则可以在无需用户参与的情况下， 通过分析网络应用系统所记录的登录记录数据 133， 自动判断并标记出 其中的异常登录记录。 这样， 一方面， 用户在登录后可以重点查看这 些异常登录记录； 另一方面， 也可以在有异常登录记录出现时通过各 种通信手段通知用户， 以便用户及时采取相应的手段来避免损失或避 免损失的扩大。 在一种实施方式中， 本发明的用户登录监测设备 200 可以内嵌在网络应用系统 130中来实现。

本发明的用户登录监测设备和方法的基本思路是： 确定正常用户 的常用登录位置， 而将从非常用登录位置登录的行为判定为异常。 应 当理解，这里的登录位置指的是实际的地理区域，而非单纯的 IP地址， 同一登录位置通常会存在有多个不同的 IP地址。 例如， 该登录位置的 单位可以选择为行政区域划分的区、 县、 市等。 当然， 也可以选择更 大或更小的地理区域划分方式， 只要所划分出的区域中各个单位区域 彼此基本不重叠则可。 每个划分出的地理区域则对应一个登录位置。 当考虑到当前的用于反映 IP地址与登录位置之间关系的 IP地址映射 数据库的细化程度， 并考虑到正常用户的常规迀移特性时， 优选采用 行政区域划分的市 （包括地级市和直辖市） 来作为登录位置的单位。

图 2示出了按照本发明的用户登录监测设备的一个实施例。 该用 户登录监测设备 200可以包括登录记录获取器 201、常用登录位置确定 器 203和异常登录记录标记器 205，以及可选的登录位置映射器 207和 登录记录删除器 209。

登录记录获取器 201用于获取用户最近的用户登录记录列表 211。 该用户登录记录列表 211包括第一预定数量个用户登录记录， 每个用 户登录记录包括与用户的登录位置相关联的信息。 在例如图 1所示场 景中， 该登录记录获取器 201可以从帐号系统 131记录的登录记录数 据 133中获得所需要的用户登录记录列表 211。在这里， 最近的用户登 录记录列表最好是从该登录记录获取器 201进行获取操作时刻开始向 前顺序选取的第一预定数量的用户登录记录。 在一个示例性实施例中， 该第一预定数量可以选择为 10。

用户登录记录中与用户的登录位置相关联的信息可以是用户登录 时所使用的 IP地址。 可以使用登录位置映射器 207将该 IP地址映射 为用户的登录位置。 在一个实施例中， 登录位置映射器 207可以利用 IP地址映射数据库来完成从 IP地址到登录位置的映射操作。在一些情 况中， 例如当用户透过虚拟专用网络 VPN进行登录时， 登录位置映射 器 207可能无法将 IP地址映射为用户的登录位置， 此时， 登录位置映 射器 207可以将用户的登录位置设置为 "未知" 。 在一些情况中， 例 如图 1所示的网络应用系统 130中已经通过 IP地址映射数据库或其它 方式确定了用户的登录位置， 并记录在登录记录数据 133中， 那么登 录记录获取器 201通过登录记录数据 133所获取的用户登录记录中所 包含的就是直接的登录位置， 则可以在用户登录监测设备 200省去该 登录位置映射器 207。表 1示出了用户登录记录列表 211的一个示例性 实施例， 其中在登录位置这一列已经根据 IP地址映射得到了对应的登 录位置。 此外， 该用户登录记录列表还提供了可选的登录时间以及用 户可对该登录记录进行的操作。 表 1

登录位置 登录时间 操作 北京（125. 33. 50. *) 2012-07-04 忽略本条记录

10 : 52 : 24

未知 2012-07-04 忽略本条记录

14 : 22 : 22

长沙（220. 240. 88. *) 2012-07-04 忽略本条记录

22 : 01 : 00

北京 2012-07-05 忽略本条记录

(111. 193. 195. *) 09 : 12 : 02

保定（101. 7. 243. *) 2012-07-06 忽略本条记录 10:17:19

保定（101.7.243. *) 2012-07-06 忽略本条记录

11:08:58

保定（101.7.243. *) 2012-07-06 忽略本条记录

17:01:29

北京（125.33.50. *) 2012-07-08 忽略本条记录

09:32:55

北京（125.33.50. *) 2012-07-08 忽略本条记录

10:13:37

北京（125.33.50. *) 2012-07-08 忽略本条记录

13:43:34 常用登录位置确定器 203可以根据所获取的用户登录记录列表 211 来确定用户的常用登录位置。在进行操作时， 常用登录位置确定器 203 可以对用户登录记录列表 211中具有相同登录位置的用户登录记录进 行统计， 当具有相同登录位置的用户登录记录数量不小于第一阈值时， 将与该用户登录记录相关联的登录位置确定为用户的常用登录位置。 在一个实施例中，该第一阈值可以设定为第一预定数量的约 30%。例如， 当所述第一预定数量为 10时， 该第一阈值可设定为 3。 在这样的情况 下， 在表 1所示的用户登录记录列表 211的示例性实施例中， 常用登 录位置确定器 203可以确定 "北京"和 "保定"为常用登录位置。

异常登录记录标记器 205可以将登录位置不同于常用登录位置的 用户登录记录标记为异常。 例如在表 1所示实施例中， 异常登录记录 标记器 250可以将登录位置为 "长沙" 的登录记录标记为异常。

需要注意的是， 如前所述， 在一些情况下可能无法获得登录记录 的登录位置， 则可以登录记录列表将登录位置设定为 "未知" 。 对于 这种登录位置为 "未知" 的登录记录， 可以使用登录记录删除器 209 将其从用户登录记录列表 211中删除， 这样， 在常用登录位置确定器 203确定常用登录位置时以及在异常登录记录标记器 205对用户登录记 录进行异常标记时， 就可以不考虑这些登录位置为未知的用户登录记 录。 在另一种实施方式中， 也可以将这些登录位置为未知的用户登录 记录保留在用户登录记录列表 211中， 但常用登录位置确定器 203和 异常登录记录标记器 205在工作时不考虑这些登录记录。 此时， 则可 以在用户登录监测设备 200省去该登录记录删除器 209。

利用上文描述的用户登录监测设备 200可以实现从用户登录记录 列表 211中选择出异常的用户登录记录， 并对其进行标记。 随后， 还 可以在有异常登录记录出现时通过各种通信手段， 如短信、 邮件等方 式通知用户进行报警。

尽管如此， 本申请人的发明人发现， 可以通过对上述方案进一步 改进来实现更好的技术效果， 例如大大降低误标记或误报警的可能性 和频率。

一种改进方式主要是针对迀徙频繁的用户提供的特殊处理方式。 对于一些用户来说， 由于其职业或者个人生活的需求， 如需要在全国 各个城市进行商业活动的人士、 或者在一段时间内在多个城市进行旅 游的人士， 他们会进行频繁的地理位置的迀徙， 并且在这个过程中登 录网络应用系统。 对于这种迀徙频繁的用户， 对应的用户登录记录列 表 211的一个示例性实施例如表 2所示。 表 2

登录位置 登录时间 操作 北京（125.33.50. *) 2012-07-04 忽略本条记录

10:52:24

北京（125.33.50. *) 2012-07-04 忽略本条记录

14:22:22

保定（101.7.243. *) 2012-07-05 忽略本条记录

10:17:19

保定（101.7.243. *) 2012-07-05 忽略本条记录

17:01:29

太原（218.26.120. *) 2012-07-06 忽略本条记录

10:17:19

太原（218.26.120. *) 2012-07-06 忽略本条记录

11:08:58

太原（218.26.120. *) 2012-07-06 忽略本条记录

17:01:29 长沙（220. 240. 88. *) 2012-07-08 忽略本条记录

13 : 43 : 34

长沙（220. 240. 88. *) 2012-07-08 忽略本条记录

22 : 01 : 00

北京 2012-07-10 忽略本条记录

(111. 193. 195. *) 09 : 12 : 02 对于如表 2所示的用户登录记录列表 211，如果按照前述的一般处 理方式， 则 "北京"和 "太原"会被确定为常用登录位置， 而对应于 登录位置为 "保定"和 "长沙" 的登录记录则为被标记为异常。 对于 频繁进行地理位置迀徙的人士来说， 其登录记录可能会经常被标记异 常， 并且会被频繁通知有异常登录， 这显然是不好的用户体验。 为此， 常用登录位置确定器 203可以配置成当用户登录记录列表 211中的各 用户登录记录中的不同登录位置的数量不小于第二阈值时， 将所有登 录位置都确定为用户的常用登录位置。 在一个实施例中， 该第二阈值 可以设定为第一预定数量的约 40%。 例如， 当所述第一预定数量为 10 时， 该第二阈值可设定为 4。 在这样的情况下， 在表 2所示的用户登录 记录列表 211的示例性实施例中， 由于共有 "北京"、 "保定"、 "太 原"和 "长沙" 四个不同的登录位置， 因此， 除了 "北京"和 "太原" 之外， 常用登录位置确定器 203还将 "保定"和 "长沙"确定为常用 登录位置。 这样， 异常登录记录标记器 205在工作时， 对于该用户登 录记录列表 211中所有的登录记录都不会标记异常。 按照这样的处理 方式， 经测算， 可以降低约 50%的误标记率和误报警率。

另一种改进方式是针对使用无法确定登录位置的常用网络的用户 的特殊处理方式。对于一些用户来说， 由于其常用网络可能是透过 VPN 虚拟专用网络连接到外部网络的， 或者是由于其它原因， 当用户使用 其常用网络登录网络应用系统 130时， 该网络应用系统 130或者用户 登录监测设备 200的登录位置映射器 207无法获取其登录位置。 对于 这种类型的用户， 其对应的用户登录记录列表 211的一个示例性实施 例如表 3所示。 由于无法获取常用网络所对应的登录位置， 因此表 3 所示用户登录记录列表 211存在大量的对应于未知地址的登录记录。 表 3

对于如表 3所示的用户登录记录列表 211，如果按照前述的一般处 理方式， 则 "长沙"会被确定为常用登录位置， 那么登录地址对应于 "长沙" 的登录记录都不会被标记为异常。 而实际上， 非常有可能是 用户的真实常用登录位置是被隐藏在了未知地址中，而登录位置为 "长 沙" 的登录记录很可能是异常的。 为此， 异常登录记录标记器 205还 可以配置成当从用户登录记录列表 211中删除了登录位置为未知的用 户登录记录之后的用户登录记录数量不大于第三阈值时， 将登录位置 不同于用户注册地的用户登录记录标记为异常。 其中， 用户注册地可 以是用户在网络应用系统 130中进行用户注册时所登记的自己的注册 地。 在一个实施例中， 该第三阈值可以设定为第一预定数量的约 40%。 例如， 当所述第一预定数量为 10时， 该第三阈值可设定为 4。 在这样 的情况下， 在表 3所示的用户登录记录列表 211的示例性实施例中， 由于去掉登录地址为 "未知" 的用户登录记录后， 用户登录记录的数 量只有 3个， 小于第三阈值。 此时， 剩余的用户登录记录中的登录位 置 "长沙"如果就是用户注册地， 则异常登录记录标记器 205不对用 户登录记录标记异常， 如果不是用户注册地 （例如用户注册地为 "北 京" ） ， 则将与登录位置 "长沙"所对应的用户登录记录标记异常。 这可以在用户常用网络有异常的情况下提高异常登录记录的识别率。

图 3示出了按照本发明的用户登录检测方法的一个实施例的流程 图。 该用户登录检测方法 300适合于在前述的用户登录检测设备 200 中执行。

该方法可以始于步骤 S301， 用于获取用户最近的用户登录记录列 表。 该用户登录记录列表可以包括第一预定数量个用户登录记录， 每 个用户登录记录包括与用户的登录位置相关联的信息。 在该步骤 301 中可以由图 2所示的用户登录监测设备 200中的登录记录获取器 201 获取用户登录记录列表 211。

当步骤 S301中所获取的用户登录记录所包括的与用户的登录位置 相关联的信息是用户登录时所使用的 IP地址时， 该方法 300可以进入 到步骤 S307， 将用户登录时的 IP地址映射为用户的登录位置。 步骤 307可以由图 2所示的用户登录监测设备 200中的登录位置映射器 207 来执行。 当在步骤 S301中所获取的用户登录记录已经直接包含了登录 位置时， 也可以省去步骤 S307。 当无法获取到用户的登录位置， 例如 当无法将用户登录时的 IP地址映射为用户的登录位置时， 可以将用户 登录记录中的登录位置设置为 "未知" 。

随后， 该方法 300可以进入步骤 S309， 从用户登录记录列表 211 中删除登录位置为未知的用户登录记录。 如下文将会看到， 删除这些 未知登录位置的用户登录记录主要是为了方便于后续步骤中进行判定 和标记的方便。 在另一个实施例中， 也可以将这些登录位置为未知的 用户登录记录保留在用户登录记录列表 211中， 而在后续步骤中不考 虑这些登录记录，在这样的情况下，也可以省去步骤 S309。该步骤 S309 可以由图 2所示的用户登录监测设备 200中的登录记录删除器 209来 执行。

随后， 可选地， 该方法 300可以进入到步骤 S313， 判断从用户登 录记录列表 211中删除了或者不考虑登录位置为未知的用户登录记录 之后的用户登录记录数量是否不大于第三阈值。 如果判断结果为是， 则进入步骤 S315， 将登录位置不同于用户注册地的用户登录记录标记 为异常； 否则进入步骤 S303。 用户注册地可以是用户在网络应用系统 130中进行用户注册时所登记的自己的注册地。该步骤 S313和 S315可 以由图 2所示的用户登录监测设备 200中的登录记录标记器 205来执 行。 如前文在描述用户登录监测设备 200时所说明的， 这样的处理方 式主要是针对使用无法确定登录位置的常用网络的用户的特殊情况。 在不考虑这种特殊情况时， 也可以省去步骤 S313和 S315。

随后，该方法 300可以进入步骤 S303，根据用户登录记录列表 211 来确定用户的常用登录位置。 其中， 可以对用户登录记录列表 211中 具有相同登录位置的用户登录记录进行统计， 当具有相同登录位置的 用户登录记录数量不小于第一阈值时， 将与该用户登录记录相关联的 登录位置确定为用户的常用登录位置。

可选地， 在步骤 S303中， 还可以在用户登录记录列表 211中的各 用户登录记录中的不同登录位置的数量不小于第二阈值时， 将所有登 录位置都确定为用户的常用登录位置。 如前文在描述用户登录监测设 备 200时所说明的， 这样的处理方式主要是针对迀徙频繁的特殊用户 的。 在不考虑这种特殊情况时， 在步骤 S303中也可以省略这种处理方 式。 需要注意的是， 在省略了步骤 S309的情况下， 这里的所有登录位 置不包括或者说不考虑未知的登录位置。

该步骤 S303可以由图 2所示的用户登录监测设备 200中的常用登 录位置确定器 203来执行。

最后， 该方法 300可以进入步骤 S305， 将登录位置不同于常用登 录位置的用户登录记录标记为异常。 同样需要注意的是， 在省略了步 骤 S309的情况下， 在步骤 S305中也不考虑或者说不标记未知登录位 置对应的用户登录记录。 该步骤 S305可以由图 2所示的用户登录监测 设备 200中的登录记录标记器 205来执行。

类似于在结合图 2描述用户登录监测设备 200的那样， 第一阈值 可以为所述第一预定数量的约 30%，第二阈值可以为所述第一预定数量 的约 40%， 和 /或第三阈值可以为所述第一预定数量的约 40%。 其中， 第一预定数量例如可以为 10。

本发明的各个部件实施例可以以硬件实现， 或者以在一个或者多 个处理器上运行的软件模块实现， 或者以它们的组合实现。 本领域的 技术人员应当理解， 可以在实践中使用微处理器或者数字信号处理器 ( DSP )来实现根据本发明实施例的设备中的一些或者全部部件的一些 或者全部功能。 本发明还可以实现为用于执行这里所描述的方法的一 部分或者全部的设备或者装置程序 （例如， 计算机程序和计算机程序 产品） 。 这样的实现本发明的程序可以存储在计算机可读介质上， 或 者可以具有一个或者多个信号的形式。 这样的信号可以从因特网网站 上下载得到， 或者在载体信号上提供， 或者以任何其他形式提供。

例如， 图 4示出了可以实现根据本发明的客户端或服务器。 该客 户端或服务器传统上包括处理器 410和以存储器 420形式的计算机程 序产品或者计算机可读介质。存储器 420可以是诸如闪存、 EEPR0M (电 可擦除可编程只读存储器）、 EPR0M、硬盘或者 ROM之类的电子存储器。 存储器 420 具有用于执行上述方法中的任何方法步骤的程序代码 431 的存储空间 430。例如， 用于程序代码的存储空间 430可以包括分别用 于实现上面的方法中的各种步骤的各个程序代码 431。这些程序代码可 以从一个或者多个计算机程序产品中读出或者写入到这一个或者多个 计算机程序产品中。这些计算机程序产品包括诸如硬盘，紧致盘（CD )、 存储卡或者软盘之类的程序代码载体。 这样的计算机程序产品通常为 如参考图 5 所述的便携式或者固定存储单元。 该存储单元可以具有与 图 4的客户端或服务器中的存储器 420类似布置的存储段、 存储空间 等。 程序代码可以例如以适当形式进行压缩。 通常， 存储单元包括计 算机可读代码 43Γ ，即可以由例如诸如 410之类的处理器读取的代码， 这些代码当由服务器运行时， 导致该服务器执行上面所描述的方法中 的各个步骤。

在此提供的算法和显示不与任何特定计算机、 虚拟系统或者其它 设备固有相关。 各种通用系统也可以与基于在此的示教一起使用。 根 据上面的描述， 构造这类系统所要求的结构是显而易见的。 此外， 本 发明也不针对任何特定编程语言。 应当明白， 可以利用各种编程语言 实现在此描述的本发明的内容， 并且上面对特定语言所做的描述是为 了披露本发明的最佳实施方式。

本文中所称的 "一个实施例" 、 "实施例"或者 "一个或者多个 实施例" 意味着， 结合实施例描述的特定特征、 结构或者特性包括在 本发明的至少一个实施例中。此外， 请注意， 这里 "在一个实施例中" 的词语例子不一定全指同一个实施例。

在此处所提供的说明书中， 说明了大量具体细节。 然而， 能够理 解， 本发明的实施例可以在没有这些具体细节的情况下被实践。 在一 些实例中， 并未详细示出公知的方法、 结构和技术， 以便不模糊对本 说明书的理解。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行 限制， 并且本领域技术人员在不脱离所附权利要求的范围的情况下可 设计出替换实施例。 在权利要求中， 不应将位于括号之间的任何参考 符号构造成对权利要求的限制。 单词 "包含" 不排除存在未列在权利 要求中的元件或步骤。 位于元件之前的单词 "一" 或 "一个" 不排除 存在多个这样的元件。 本发明可以借助于包括有若干不同元件的硬件 以及借助于适当编程的计算机来实现。 在列举了若干装置的单元权利 要求中， 这些装置中的若干个可以是通过同一个硬件项来具体体现。 单词第一、 第二、 以及第三等的使用不表示任何顺序。 可将这些单词 解释为名称。

此外， 还应当注意， 本说明书中使用的语言主要是为了可读性和 教导的目的而选择的， 而不是为了解释或者限定本发明的主题而选择 的。 因此， 在不偏离所附权利要求书的范围和精神的情况下， 对于本 技术领域的普通技术人员来说许多修改和变更都是显而易见的。 对于 本发明的范围， 对本发明所做的公开是说明性的， 而非限制性的， 本 发明的范围由所附权利要求书限定。

Claims

权 利 要 求

1、 一种用户登录监测设备， 包括：

登录记录获取器， 配置成获取用户最近的用户登录记录列表， 所 述用户登录记录列表包括第一预定数量个用户登录记录， 每个用户登 录记录包括与用户的登录位置相关联的信息；

常用登录位置确定器， 配置成根据所获取的用户登录记录列表来 确定用户的常用登录位置， 其中对所述用户登录记录列表中、 具有相 同登录位置的用户登录记录进行统计， 当具有相同登录位置的用户登 录记录数量不小于第一阈值时， 将与该用户登录记录相关联的登录位 置确定为用户的常用登录位置； 以及

异常登录记录标记器， 配置成将登录位置不同于常用登录位置的 用户登录记录标记为异常。

2、 如权利要求 1所述的监测设备， 所述常用登录位置确定器还配 置成当所述用户登录记录列表中的各用户登录记录中的不同登录位置 的数量不小于第二阈值时， 将所有登录位置都确定为用户的常用登录 位置。

3、 如权利要求 1或者 2所述的监测设备， 其中与用户的登录位置 相关联的信息为用户登录时的 IP地址， 所述监测设备还包括：

登录位置映射器， 配置成将用户登录时的 IP地址映射为用户的登 录位置； 当无法将用户登录时的 IP地址映射为用户的登录位置时， 将 用户的登录位置设置为未知；

登录记录删除器， 配置成从所述用户登录记录列表中删除登录位 置为未知的用户登录记录。

4、 如权利要求 3所述的监测设备， 其中每个用户在用户注册时登 记与该用户相关联的用户注册地， 所述异常登录记录标记器还配置成 当从所述用户登录记录列表中删除了登录位置为未知的用户登录记录 之后的用户登录记录数量不大于第三阈值时， 将登录位置不同于用户 注册地的用户登录记录标记为异常。

5、 如权利要求 1-4中任一项所述的监测设备， 其中所述第一阈值 为所述第一预定数量的约 30%。

6、 如权利要求 1-5中任一项所述的监测设备， 其中所述第二阈值 为所述第一预定数量的约 40%。

7、 如权利要求 1-6中任一项所述的监测设备， 其中所述第三阈值 为所述第一预定数量的约 40%。

8、 如权利要求 1-7中任一项所述的监测设备， 其中所述第一预定 数量为 10。

9、 如权利要求 1-8中任一项所述的监测设备， 其中登录位置的单 位为市。

10、 一种用户登录监测方法， 包括步骤：

获取用户最近的用户登录记录列表， 所述用户登录记录列表包括 第一预定数量个用户登录记录， 每个用户登录记录包括与用户的登录 位置相关联的信息；

根据所获取的用户登录记录列表来确定用户的常用登录位置， 其 中对所述用户登录记录列表中、 具有相同登录位置的用户登录记录进 行统计， 当具有相同登录位置的用户登录记录数量不小于第一阈值时， 将与该用户登录记录相关联的登录位置确定为用户的常用登录位置； 以及

将登录位置不同于常用登录位置的用户登录记录标记为异常。

11、 如权利要求 10所述的监测方法， 所述确定用户的常用登录位 置的步骤还包括：

当所述用户登录记录列表中的各用户登录记录中的不同登录位置 的数量不小于第二阈值时， 将所有登录位置都确定为用户的常用登录 位置。

12、 如权利要求 10或者 11所述的监测方法， 其中与用户的登录 位置相关联的信息为用户登录时的 IP地址，所述监测方法还包括步骤: 将用户登录时的 IP地址映射为用户的登录位置；

当无法将用户登录时的 IP地址映射为用户的登录位置时， 将用户 的登录位置设置为未知， 并且从所述用户登录记录列表中删除登录位 置为未知的用户登录记录。

13、 如权利要求 12所述的监测方法， 其中每个用户在用户注册时 登记与该用户相关联的用户注册地， 当从所述用户登录记录列表中删 除了登录位置为未知的用户登录记录之后的用户登录记录数量不大于 第三阈值时， 将登录位置不同于用户注册地的用户登录记录标记为异 常。

14、 如权利要求 10-13 中任一项所述的监测方法， 其中所述第一 阈值为所述第一预定数量的约 30%。

15、 如权利要求 10-14 中任一项所述的监测方法 其中所述第二 阈值为所述第一预定数量的约 40%。

16、 如权利要求 10-15 中任一项所述的监测方法 其中所述第三 阈值为所述第一预定数量的约 40%。

17、 如权利要求 10-16 中任一项所述的监测方法 其中所述第一 预定数量为 10。

18、 如权利要求 10-17 中任一项所述的监测方法 其中登录位置 的单位为市。

19、 一种计算机程序， 包括计算机可读代码， 当所述计算机可读 代码在客户端或服务器上运行时， 导致所述客户端或所述服务器执行 根据权利要求 10-18中的任一个所述的监测方法。

20、 一种计算机可读介质， 其中存储了如权利要求 19所述的计算 机程序。