專利名稱:異常登錄檢測方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)系統(tǒng)安全領(lǐng)域,尤其涉及一種對系統(tǒng)登錄過程中的異常登錄行為檢測的方法及裝置。
背景技術(shù):
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,很多傳統(tǒng)行業(yè)都在英特網(wǎng)上以B/S模式,或C/S模式提供業(yè)務(wù)服務(wù),用戶可以使用任意的終端進(jìn)行登錄操作,以完成與系統(tǒng)的交互。例如隨著電子商務(wù)的快速發(fā)展,用戶可以使用不同的設(shè)備登錄在線交易系統(tǒng)的服務(wù)器,完成查詢、轉(zhuǎn)賬、付款、 買賣等涉及實物財產(chǎn)的金融活動。此類在線系統(tǒng)提供了便捷,但是同時也具備一定的風(fēng)險。 例如不法分子利用黑客技術(shù)盜取用戶的賬戶密碼,然后進(jìn)行窺探他人隱私、甚至非法的財產(chǎn)侵占等不法活動。現(xiàn)有的服務(wù)提供系統(tǒng)(例如在線交易系統(tǒng))的服務(wù)器端只能驗證用戶的賬戶密碼以識別用戶身份,而無法通過用戶的登錄數(shù)據(jù)驗證該賬戶密碼是否被非法分子所利用,因此安全系數(shù)較低。
發(fā)明內(nèi)容
針對上述技術(shù)問題,本發(fā)明提供了一種異常登錄檢測方法及裝置,可以通過分析用戶的登錄數(shù)據(jù)提高在線交易系統(tǒng)的安全性。為達(dá)到上述目的,一方面,本發(fā)明提供了一種異常登錄檢測方法,該方法包括接收用戶的登錄行為的屬性數(shù)據(jù);獲取與該用戶對應(yīng)的行為標(biāo)準(zhǔn),其中所述行為標(biāo)準(zhǔn)至少記錄一組登錄行為的歷史屬性數(shù)據(jù),并記錄根據(jù)該至少一組歷史登錄行為數(shù)據(jù)的統(tǒng)計結(jié)果生成的判定值;并根據(jù)該判定值與預(yù)設(shè)閾值進(jìn)行比較,檢測所述登錄行為數(shù)據(jù)是否存在異常;若所述登錄行為不存在異常,則正常提供服務(wù),若所述登錄行為存在異常,則發(fā)出預(yù)警通知或中止提供服務(wù)。另一方面,本發(fā)明提供了一種異常登錄檢測裝置,該裝置包括接收模塊,用于接收用戶的登錄行為的屬性數(shù)據(jù);檢測模塊,用于獲取與該用戶對應(yīng)的行為標(biāo)準(zhǔn),其中所述行為標(biāo)準(zhǔn)至少記錄一組登錄行為的歷史屬性數(shù)據(jù),并記錄根據(jù)該至少一組歷史登錄行為數(shù)據(jù)的統(tǒng)計結(jié)果生成的判定值;并根據(jù)該判定值與預(yù)設(shè)閾值進(jìn)行比較,檢測所述登錄行為數(shù)據(jù)是否存在異常;輸出模塊,用于若所述登錄行為不存在異常,則提示正常提供服務(wù),若所述登錄行為存在異常,則發(fā)出預(yù)警通知或中止提供服務(wù)。本發(fā)明提供的異常登錄檢測方法及裝置,一方面,通過比較判定值和預(yù)設(shè)閾值判斷用戶的登錄行為數(shù)據(jù)是否存在異常,如果存在異常自動發(fā)出預(yù)警通知或觸發(fā)其他安全保障相關(guān)動作,提高了服務(wù)提供系統(tǒng)的安全性;另一方面,根據(jù)所述登錄行為更新所述判定值,可以根據(jù)用戶登錄習(xí)慣的改變所導(dǎo)致的數(shù)據(jù)屬性改變來動態(tài)調(diào)整預(yù)警標(biāo)準(zhǔn),實現(xiàn)智能地自學(xué)習(xí)過程,使得異常登錄的判定更加準(zhǔn)確,減少了在服務(wù)提供系統(tǒng)管理員的工作量,也提高了工作效率。具體而言,在本發(fā)明中,為每個用戶設(shè)定其自己的行為標(biāo)準(zhǔn),該行為標(biāo)準(zhǔn)中包括至少一組行為屬性數(shù)據(jù)。對用戶每次登錄涉及到的行為屬性數(shù)據(jù)進(jìn)行記錄,并隨時對其賬戶下的數(shù)據(jù)記錄以及根據(jù)該數(shù)據(jù)記錄統(tǒng)計結(jié)果生成的判定值進(jìn)行更新。隨著大量數(shù)據(jù)積累,該判定值趨于準(zhǔn)確且穩(wěn)定,基于該判定值與適當(dāng)閾值的比較,可以快捷、準(zhǔn)確地檢查出異常登錄行為,進(jìn)一步提高了業(yè)務(wù)服務(wù)系統(tǒng)的安全性和有效性。
通過閱讀參照以下附圖所作的對非限制性實施例所作的詳細(xì)描述,本發(fā)明的其它特征、目的和優(yōu)點(diǎn)將會變得更明顯圖1是根據(jù)本發(fā)明的異常登錄檢測方法的一種具體實施方式
的流程圖;圖2是根據(jù)本發(fā)明的異常登錄檢測裝置的一種具體實施方式
的結(jié)構(gòu)示意圖及其應(yīng)用狀態(tài)的示意圖;附圖中相同或相似的附圖標(biāo)記代表相同或相似的部件。
具體實施例方式為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合附圖對本發(fā)明的實施例作詳細(xì)描述。首先請參考圖1,圖1是根據(jù)本發(fā)明的基于自學(xué)習(xí)的異常登錄檢測方法的一種具體實施方式
的流程圖,該方法包括如下步驟步驟S101,接收用戶的登錄行為的屬性數(shù)據(jù),并判斷是否能夠獲取與該用戶對應(yīng)的行為標(biāo)準(zhǔn)。如果能夠獲取與用戶對于的行為標(biāo)準(zhǔn),則執(zhí)行步驟S102 ;否則,則執(zhí)行步驟 Sioe0具體地,其中所述行為標(biāo)準(zhǔn)至少記錄一組登錄行為的歷史屬性數(shù)據(jù),并記錄根據(jù)該至少一組歷史登錄行為數(shù)據(jù)的統(tǒng)計結(jié)果生成的判定值;步驟S102,將該判定值與預(yù)設(shè)閾值進(jìn)行比較,檢測所述登錄行為數(shù)據(jù)是否存在異常;若是,則執(zhí)行步驟S103,若否,則執(zhí)行步驟S104 ;步驟S103,發(fā)出預(yù)警通知或中止提供服務(wù);步驟S104,正常提供服務(wù);步驟S103或步驟S104結(jié)束后,執(zhí)行步驟S105,即根據(jù)所述屬性數(shù)據(jù)更新與該屬性數(shù)據(jù)對應(yīng)的所述判定值;可選地,當(dāng)步驟SlOl中未能獲取與該用戶對應(yīng)的行為標(biāo)準(zhǔn),則執(zhí)行步驟S106,即保存所述屬性數(shù)據(jù),根據(jù)該屬性數(shù)據(jù)計算并保存該屬性數(shù)據(jù)的判定值,并且正常提供服務(wù)。無論是B/S模式,還是C/S模式,現(xiàn)有的服務(wù)提供系統(tǒng)的登錄流程通常是如下步驟服務(wù)器接受登錄數(shù)據(jù)——服務(wù)器驗證登錄數(shù)據(jù)——驗證登錄數(shù)據(jù)通過后所述服務(wù)器提供服務(wù)——提供服務(wù)過程中服務(wù)器與終端交互數(shù)據(jù)——用戶退出登錄——服務(wù)結(jié)束,上述步驟中登錄數(shù)據(jù)和提供服務(wù)過程中的交互數(shù)據(jù)都可以反映特定用戶的登錄習(xí)慣,系統(tǒng)可以以上述數(shù)據(jù)作為判定登錄是否異常的標(biāo)準(zhǔn)。典型地,所述登錄行為是針對系統(tǒng)的登錄行為,所述系統(tǒng)是在線交易系統(tǒng),例如商品在線交易系統(tǒng)、有價證券在線交易系統(tǒng)等。本方法用于檢測在線交易系統(tǒng)是否有異常登錄,在現(xiàn)有技術(shù)中,所述在線交易系統(tǒng)通常采用B/S模式或C/S模式設(shè)計,例如在B/S模式中,用戶通過瀏覽器(Browser)向服務(wù)器發(fā)送所述登錄行為數(shù)據(jù);在C/S模式中,用戶通過客戶端(Client)向服務(wù)器發(fā)送所述登錄行為數(shù)據(jù)。具體地,在本實施例中,無論所述系統(tǒng)設(shè)計為B/S模式還是C/S模式,針對該系統(tǒng)的登錄行為的屬性數(shù)據(jù)包括登錄時間、登錄IP、登錄方式、登錄終端類型、登錄終端版本號、 登錄持續(xù)時長和登錄操作中至少一項。例如,一個用戶的登錄行為中包括以下屬性數(shù)據(jù) 2011年6月5日(登錄時間)、1· 1. 1. 1(登錄IP)、PC登錄(登錄方式)、PC終端(登錄終端類型)、Version 1. 7 (登錄版本號)、2小時(登錄時長)、查詢操作(登錄操作)。在線交易系統(tǒng)中通常 所述用戶的賬戶名稱的字符組合是唯一的,因此可以使用該賬戶名稱作為所述唯一身份標(biāo)識來判斷是否存在與所述用戶對應(yīng)的行為標(biāo)準(zhǔn),此外,所述用戶的ID號通常也是唯一的,因此還可以將ID號作為所述唯一身份標(biāo)識來判斷是否存在與所述用戶對應(yīng)的行為標(biāo)準(zhǔn)。所述行為標(biāo)準(zhǔn)內(nèi)記錄的所述判定值是根據(jù)至少一組歷史登錄行為數(shù)據(jù)的統(tǒng)計結(jié)果生成的,其具體生成方法是根據(jù)歷史登錄行為統(tǒng)計所述屬性數(shù)據(jù)的累積登錄次數(shù)和單位時間內(nèi)的登錄次數(shù),并根據(jù)上述兩者計算所得所述判定值。其中,所述歷史登錄行為記錄了多次歷史的屬性數(shù)據(jù)與產(chǎn)生該屬性數(shù)據(jù)的時間,因此可以根據(jù)該歷史登錄行為統(tǒng)計得到每一所述屬性數(shù)據(jù)的累積登錄次數(shù)和單位時間內(nèi)的登錄次數(shù)(所述單位時間可以根據(jù)實際需求確定,例如一周、十天或三十天)。以登錄IP這一屬性數(shù)據(jù)為例說明所述判定值的生成過程,針對一個用戶,如果
在該用戶的歷史登錄數(shù)據(jù)中習(xí)慣使用IP1、IP2........IPn的多個IP地址來進(jìn)行登錄,
對該用戶歷史登錄數(shù)據(jù)中的IP地址進(jìn)行統(tǒng)計,創(chuàng)建給定長度的IP地址屬性集合,該屬性
UPl [Ctime, Mtime, Cumulation, Activity], ΙΡ2 [Ctime, Mtime,
Cumulation, Activity],.........IPn [Ctime, Mtime, Cumulation, Activity]},其中,
Ctime為所屬IP的初次登錄時間,Mtime為所屬IP的最近一次登錄時間,Cumulation為累積登錄次數(shù),Activity為單位時間內(nèi)的登錄次數(shù),根據(jù)競爭算法獲得每個IP屬性的權(quán)重, 其中各IP屬性間的權(quán)重是是互斥關(guān)系,某IP被調(diào)用,其權(quán)重會相應(yīng)的增加,而IP地址屬性集合中的的其他IP的權(quán)重會相應(yīng)降低,權(quán)重降低至零的屬性應(yīng)被清除出該屬性集合。根據(jù)每個IP屬性的權(quán)重、計算每個IP屬性的判定值。因此對于同一登錄行為中的任一屬性數(shù)據(jù),在開始階段都需要設(shè)定一個周期進(jìn)行初始的學(xué)習(xí)才能統(tǒng)計出所述判定值,例如首先在三十天內(nèi)記錄所述用戶的登錄行為中出現(xiàn)的各個登錄IP及其出現(xiàn)時間,以IPl為例,其 Cumulation的數(shù)值在三十天內(nèi)是100,其Activity的數(shù)值在最近十天的內(nèi)是50,根據(jù)競爭算法在特定權(quán)重下對兩者進(jìn)行比較以獲得判定值。具體地,每一所述屬性數(shù)據(jù)中包括的單
元項都對應(yīng)一個判定值,例如IP1、IP2........IPn分別對應(yīng)不同的判定值,相應(yīng)地,用戶
也可以對IP1、IP2........IPn預(yù)先配置不同的預(yù)設(shè)閾值。典型地,在一次登錄中,接收用
戶的登錄行為的屬性數(shù)據(jù)表示用戶是使用IPl登錄,則調(diào)用IPl對應(yīng)的判定值和預(yù)設(shè)閾值比對來進(jìn)行所述異常檢測,如果用戶的登錄行為的屬性數(shù)據(jù)表示用戶是使用IP2登錄,相應(yīng)地則調(diào)用IP2對應(yīng)的判定值和預(yù)設(shè)閾值比對來進(jìn)行所述異常檢測。如果在步驟SlOl中獲取到行為標(biāo)準(zhǔn),并從中提取出所述判定值,則執(zhí)行步驟 S102。步驟S102中,將所述判定值與預(yù)設(shè)閾值進(jìn)行比較,以檢測所述登錄行為是否存在異常。所述預(yù)設(shè)閾值是用戶指定的或者是系統(tǒng)預(yù)設(shè)的,其用于與判定值相比較來檢測登錄行為是否存在異常。用戶可以根據(jù)監(jiān)測力度和具體需求設(shè)置該預(yù)設(shè)閾值的具體值,以滿足各種強(qiáng)度的異常檢測需求。 一旦所述判定值超出所述預(yù)設(shè)閾值的范圍,則判斷為該次登錄行為數(shù)據(jù)存在異常,然后執(zhí)行步驟S103;若所述判定值并未超出所述預(yù)設(shè)閾值適用的范圍,則判斷為該次登錄數(shù)據(jù)不存在異常,然后執(zhí)行步驟S104。本實施例中,步驟S103中的發(fā)出預(yù)警通知具體包括提示輸入用于驗證所述用戶的身份的信息,例如要求用戶輸入密碼保護(hù)問題答案或注冊時提供的證件號碼;也可以向所述用戶預(yù)留的手機(jī)號碼上發(fā)送預(yù)警短信或向所述用戶預(yù)留的電子郵箱中發(fā)送預(yù)警電郵, 和/或向所述系統(tǒng)的管理員發(fā)送短信或電郵等形式的預(yù)警通知等,提示用戶賬號存在異常登錄的情況。步驟S104中正常提供服務(wù)典型地指的是所述在線交易系統(tǒng)向登錄后為檢測出異常登錄情況的用戶正常提供有關(guān)在線交易所支持的電子商務(wù)服務(wù)。在另一個實施例中,步驟S103中在檢測出異常登錄情況時,還可能采取中止提供服務(wù)的行為。其中中止提供服務(wù)的具體實現(xiàn)方式例如可以是凍結(jié)所述在線交易系統(tǒng)中該用戶的操作。具體而言,在某些在線交易系統(tǒng)中,例如在各種網(wǎng)上銀行中,可能在網(wǎng)上銀行系統(tǒng)的初次登錄后,在具體涉及貨幣交易等的操作時需要進(jìn)一步的登錄行為,這種登錄行為由于將直接導(dǎo)致用戶賬號金額的改變,因此需要進(jìn)行更嚴(yán)格的檢測。特別地,本實施例中的中止提供服務(wù)即針對這種進(jìn)一步的登錄行為,如果此時檢測到異常登錄行為,則會導(dǎo)致中止向該用戶提供在該網(wǎng)上銀行頁面上的任何其他操作的相關(guān)服務(wù)。步驟S103或步驟S104結(jié)束后,均執(zhí)行步驟S105,根據(jù)所述屬性數(shù)據(jù)更新與該屬性數(shù)據(jù)對應(yīng)的所述判定值,其具體過程是保存所述屬性數(shù)據(jù),根據(jù)該屬性數(shù)據(jù)和歷史屬性數(shù)據(jù)計算出新的判定值,并使用該新的判定值替換所述判定值。典型地,例如所述屬性數(shù)據(jù)是登錄 IP,其中 IPl 的詳細(xì)記錄是 IPl :[ctime, Mtime, Cumulation, Activity],當(dāng)最新一次登錄行為中產(chǎn)生IPl的記錄時,相應(yīng)地要更新IPl的詳細(xì)記錄中的Cumulation和Activity 的值,隨著Cumulation和Activity值的變化,重新計算IP屬性集合中每個屬性的新的判定值,用該新的判定值替換原有的所述判定值即可完成判定值的更新過程。例如每次進(jìn)行所述更新后,IP屬性中的每個IP項的判定值即重新計算所得??蛇x地,在一些特殊情況下,在所述用戶初次登錄所述在線交易系統(tǒng)或清空歷史記錄后首次登錄所述在線交易系統(tǒng)時,系統(tǒng)中并不存在相關(guān)用戶登錄行為的歷史數(shù)據(jù),因此也無法計算所得判定值,則步驟SlOl中判斷結(jié)果是無法獲取判定值,這種情況下步驟 SlOl結(jié)束后則執(zhí)行步驟S106,即保存所述屬性數(shù)據(jù),并正常提供服務(wù)。以記錄登錄IP為例, 用戶在1月1日使用IPl登錄,相應(yīng)地保存的IPl詳細(xì)記錄為IP1:[1月1日,1月1日,1, 1]。自本次記錄開始,自學(xué)習(xí)引擎對所述IP屬性開始進(jìn)行學(xué)習(xí)過程,例如三十天的學(xué)習(xí)過程。需要說明的是,上述實施例中均與登錄IP作為示例說明了本方法的流程,對應(yīng)于屬性數(shù)據(jù)中其他類型的數(shù)據(jù),例如登錄時間、登錄方式、登錄終端類型、登錄終端版本號、登錄持續(xù)時長和登錄操作中的任一項,均可以參考登錄IP示出的方法來進(jìn)行異常檢測。相應(yīng)地,本發(fā)明提供了一種異常登錄檢測裝置,圖2是根據(jù)本發(fā)明的基于自學(xué)習(xí)的異常登錄檢測裝置100的一種具體實施方式
的結(jié)構(gòu)示意圖及其應(yīng)用狀態(tài)的示意圖,該檢測裝置100包括接收模塊110、檢測模塊120和輸出模塊130,其中
接收模塊110,用于接收用戶的登錄行為的屬性數(shù)據(jù);檢測模塊120,用于獲取與該用戶對應(yīng)的行為標(biāo)準(zhǔn),其中所述行為標(biāo)準(zhǔn)至少記錄一組登錄行為的歷史屬性數(shù)據(jù),并記錄根據(jù)該至少一組歷史登錄行為數(shù)據(jù)的統(tǒng)計結(jié)果生成的判定值;并根據(jù)該判定值與預(yù)設(shè)閾值進(jìn)行比較,檢測所述登錄行為數(shù)據(jù)是否存在異常;;輸出模塊130,用于若所述登錄行為不存在異常,則提示正常提供服務(wù),若所述登錄行為存在異常,則發(fā)出預(yù)警通知或中止提供服務(wù)。具體地,無論所述在線交易系統(tǒng)設(shè)計為B/S模式還是C/S模式,針對該系統(tǒng)的登錄行為的屬性數(shù)據(jù)包括登錄時間、登錄IP、登錄方式、登錄終端類型、登錄終端版本號、登錄持續(xù)時長和登錄操作中至少一項。其中,所述唯一身份標(biāo)識是用戶的ID號或用戶的賬戶名稱。所述判定值是根據(jù)歷史登錄行為生成的,其具體生成方法是根據(jù)歷史登錄行為統(tǒng)計所述屬性數(shù)據(jù)的累積登錄次數(shù)和單位時間內(nèi)的登錄次數(shù),并根據(jù)上述兩者計算所得所述判定值,。所述預(yù)設(shè)閾值是用戶指定的或者是系統(tǒng)預(yù)設(shè)的,其用于與判定值相比較來檢測登錄行為是否存在異常??蛇x地,檢測模塊120在所述檢測的同時或者之后,根據(jù)所述屬性數(shù)據(jù)更新與該屬性數(shù)據(jù)對應(yīng)的所述判定值。其中,檢測模塊120根據(jù)所述屬性數(shù)據(jù)更新與該屬性數(shù)據(jù)對應(yīng)的所述判定值的具體步驟包括保存所述屬性數(shù)據(jù),根據(jù)該屬性數(shù)據(jù)和歷史屬性數(shù)據(jù)計算出IP屬性組合中每個屬性的新的判定值,并使用該新的判定值替換所述判定值。可選地,若未能獲取與該用戶對應(yīng)的行為標(biāo)準(zhǔn),則檢測模塊120保存所述屬性數(shù)據(jù),根據(jù)該屬性數(shù)據(jù)計算并保存該屬性數(shù)據(jù)的判定值,并且輸出模塊130提示正常提供服務(wù)。通常所述用戶的賬戶名稱的字符組合是唯一的,或該用戶的ID號通常也是唯一的,因此檢測模塊120可以根據(jù)所述用戶的ID號或用戶的賬戶名稱獲取該用戶對應(yīng)的行為標(biāo)準(zhǔn)。上述屬性數(shù)據(jù)包括登錄IP、登錄時間、登錄方式、登錄終端類型、登錄終端版本號、登錄持續(xù)時長和登錄操作中至少一項。當(dāng)檢測模塊120根據(jù)所述判定值檢測出所述登錄行為存在異常時,輸出模塊130 發(fā)出預(yù)警通知包括提示輸入用于驗證所述用戶的身份的信息、向所述用戶預(yù)留的手機(jī)號碼上發(fā)送預(yù)警短信或向所述用戶預(yù)留的電子郵箱中發(fā)送預(yù)警電郵,和/或向所述系統(tǒng)的管理員發(fā)送預(yù)警通知。典型地,在圖2中示出了檢測裝置100在應(yīng)用中與其他設(shè)備結(jié)合使用的的結(jié)構(gòu)示意圖,其中,用戶可以使用地區(qū)1內(nèi)的PC終端201或移動設(shè)備終端202向檢測裝置100發(fā)起登錄以便于從服務(wù)器300獲取服務(wù),或使用地區(qū)2內(nèi)的PC終端203向檢測裝置100發(fā)起登錄以便于從服務(wù)器300獲取服務(wù)。通常所述服務(wù)器300是提供在線交易系統(tǒng)的服務(wù)的數(shù)據(jù)服務(wù)器。本發(fā)明提供的異常登錄檢測方法及裝置,一方面,通過比較判定值和預(yù)設(shè)閾值判斷用戶的登錄行為數(shù)據(jù)是否存在異常,如果存在異常自動發(fā)出預(yù)警通知或觸發(fā)其他安全保障相關(guān)動作,提高了服務(wù)提供系統(tǒng)的安全性;另一方面,根據(jù)所述登錄行為更新所述判定值,可以根據(jù)用戶登錄習(xí)慣的改變所導(dǎo)致的數(shù)據(jù)屬性改變來動態(tài)調(diào)整預(yù)警標(biāo)準(zhǔn),實現(xiàn)智能地自學(xué)習(xí)過程,使得異常登錄的判定更加準(zhǔn)確,減少了在服務(wù)提供系統(tǒng)管理員的工作量,也提高了工作效率。具體而言,在本發(fā)明中,為每個用戶設(shè)定其自己的行為標(biāo)準(zhǔn),該行為標(biāo)準(zhǔn)中包括至少一組行為屬性數(shù)據(jù)。對用戶每次登錄涉及到的行為屬性數(shù)據(jù)進(jìn)行記錄,并隨時對其賬戶下的數(shù)據(jù)記錄以及根據(jù)該數(shù)據(jù)記錄統(tǒng)計結(jié)果生成的判定值進(jìn)行更新。隨著大量數(shù)據(jù)積累,該判定值趨于準(zhǔn)確且穩(wěn)定,基于該判定值與適當(dāng)閾值的比較,可以快捷、準(zhǔn)確地檢查出異常登錄行為,進(jìn)一步提高了業(yè)務(wù)服務(wù)系統(tǒng)的安全性和有效性。 本發(fā)明提供的異常登錄檢測方法可以使用可編程邏輯器件結(jié)合來實現(xiàn),也可以實施為計算機(jī)程序軟件,例如根據(jù)本發(fā)明的實施例可以是一種計算機(jī)程序產(chǎn)品,運(yùn)行該程序產(chǎn)品使計算機(jī)執(zhí)行用于所示范的方法。所述計算機(jī)程序產(chǎn)品包括計算機(jī)可讀存儲介質(zhì),該介質(zhì)上包含計算機(jī)程序邏輯或代碼部分,用于實現(xiàn)上述異常登錄檢測方法。所述計算機(jī)可讀存儲介質(zhì)可以是被安裝在計算機(jī)中的內(nèi)置介質(zhì)或者可從計算機(jī)主體拆卸的可移動介質(zhì) (例如熱拔插技術(shù)存儲設(shè)備)。所述內(nèi)置介質(zhì)包括但不限于可重寫的非易失性存儲器,例如 RAM、ROM、快閃存儲器和硬盤。所述可移動介質(zhì)包括但不限于光存儲媒體(例如CD-ROM和 DVD)、磁光存儲媒體(例如M0)、磁存儲媒體(例如盒帶或移動硬盤)、具有內(nèi)置的可重寫的非易失性存儲器的媒體(例如存儲卡)和具有內(nèi)置ROM的媒體(例如ROM盒)。以上所揭露的僅為本發(fā)明的一些較佳實施例而已,當(dāng)然不能以此來限定本發(fā)明之權(quán)利范圍,因此依本發(fā)明權(quán)利要求所作的等同變化,仍屬本發(fā)明所涵蓋的范圍。
權(quán)利要求
1.一種異常登錄檢測方法,其特征在于,該方法包括 接收用戶的登錄行為的屬性數(shù)據(jù);獲取與該用戶對應(yīng)的行為標(biāo)準(zhǔn),其中所述行為標(biāo)準(zhǔn)至少記錄一組登錄行為的歷史屬性數(shù)據(jù),并記錄根據(jù)該至少一組歷史登錄行為數(shù)據(jù)的統(tǒng)計結(jié)果生成的判定值;并根據(jù)該判定值與預(yù)設(shè)閾值進(jìn)行比較,檢測所述登錄行為是否存在異常;若所述登錄行為不存在異常,則正常提供服務(wù),若所述登錄行為存在異常,則發(fā)出預(yù)警通知或中止提供服務(wù)。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,該方法還包括在所述檢測的同時或者之后,根據(jù)所述屬性數(shù)據(jù)更新與該屬性數(shù)據(jù)對應(yīng)的所述判定值。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,根據(jù)所述屬性數(shù)據(jù)更新與該屬性數(shù)據(jù)對應(yīng)的所述判定值包括保存所述屬性數(shù)據(jù),根據(jù)該屬性數(shù)據(jù)和歷史屬性數(shù)據(jù)計算出新的判定值,并使用該新的判定值替換所述判定值。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于,該方法還包括若未能獲取與該用戶對應(yīng)的行為標(biāo)準(zhǔn),則保存所述屬性數(shù)據(jù),根據(jù)該屬性數(shù)據(jù)計算并保存該屬性數(shù)據(jù)的判定值,并且正常提供服務(wù)。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于根據(jù)所述用戶的ID號或用戶的賬戶名稱獲取該用戶對應(yīng)的行為標(biāo)準(zhǔn)。
6.根據(jù)權(quán)利要求1至5任一項所述的方法,其特征在于,所述判定值的生成方法包括 根據(jù)歷史登錄行為統(tǒng)計所述屬性數(shù)據(jù)的累積登錄次數(shù)和單位時間內(nèi)的登錄次數(shù),并根據(jù)上述兩者計算所得所述判定值。
7.根據(jù)權(quán)利要求1至5任一項所述的方法,其特征在于,所述屬性數(shù)據(jù)包括登錄IP、登錄時間、登錄方式、登錄終端類型、登錄終端版本號、登錄持續(xù)時長和登錄操作中至少一項。
8.根據(jù)權(quán)利要求1至5任一項所述的方法,其特征在于,所述發(fā)出預(yù)警通知包括 提示輸入用于驗證所述用戶的身份的信息、向所述用戶預(yù)留的手機(jī)號碼上發(fā)送預(yù)警短信、向所述用戶預(yù)留的電子郵箱中發(fā)送預(yù)警電郵,和/或向系統(tǒng)的管理員發(fā)送預(yù)警通知。
9.一種異常登錄檢測裝置,其特征在于,該裝置包括 接收模塊,用于接收用戶的登錄行為的屬性數(shù)據(jù);檢測模塊,用于獲取與該用戶對應(yīng)的行為標(biāo)準(zhǔn),其中所述行為標(biāo)準(zhǔn)至少記錄一組登錄行為的歷史屬性數(shù)據(jù),并記錄根據(jù)該至少一組歷史登錄行為數(shù)據(jù)的統(tǒng)計結(jié)果生成的判定值;并根據(jù)該判定值與預(yù)設(shè)閾值進(jìn)行比較,檢測所述登錄行為數(shù)據(jù)是否存在異常;輸出模塊,用于若所述登錄行為不存在異常,則提示正常提供服務(wù),若所述登錄行為存在異常,則發(fā)出預(yù)警通知或中止提供服務(wù)。
10.根據(jù)權(quán)利要求9所述的裝置,其特征在于所述檢測模塊在所述檢測的同時或者之后,根據(jù)所述屬性數(shù)據(jù)更新與該屬性數(shù)據(jù)對應(yīng)的所述判定值。
11.根據(jù)權(quán)利要求10所述的裝置,其特征在于,所述檢測模塊根據(jù)所述屬性數(shù)據(jù)更新與該屬性數(shù)據(jù)對應(yīng)的所述判定值包括保存所述屬性數(shù)據(jù),根據(jù)該屬性數(shù)據(jù)和歷史屬性數(shù)據(jù)計算出新的判定值,并使用該新的判定值替換所述判定值。
12.根據(jù)權(quán)利要求9所述的裝置,其特征在于若未能獲取與該用戶對應(yīng)的行為標(biāo)準(zhǔn),則所述檢測模塊保存所述屬性數(shù)據(jù),根據(jù)該屬性數(shù)據(jù)計算并保存該屬性數(shù)據(jù)的判定值,并且所述輸出模塊提示正常提供服務(wù)。
13.根據(jù)權(quán)利要求9所述的裝置,其特征在于所述檢測模塊根據(jù)所述用戶的ID號或用戶的賬戶名稱獲取該用戶對應(yīng)的行為標(biāo)準(zhǔn)。
14.根據(jù)權(quán)利要求9至13任一項所述的裝置,其特征在于,所述檢測模塊根據(jù)歷史登錄行為統(tǒng)計所述屬性數(shù)據(jù)的累積登錄次數(shù)和單位時間內(nèi)的登錄次數(shù),并根據(jù)上述兩者計算所得所述判定值。
15.根據(jù)權(quán)利要求9至13任意一項所述的裝置,其特征在于,所述屬性數(shù)據(jù)包括 登錄IP、登錄時間、登錄方式、登錄終端類型、登錄終端版本號、登錄持續(xù)時長和登錄操作中至少一項。
16.根據(jù)權(quán)利要求9所述的裝置,其特征在于,所述輸出模塊發(fā)出的預(yù)警通知包括 提示輸入用于驗證所述用戶的身份的信息、向所述用戶預(yù)留的手機(jī)號碼上發(fā)送預(yù)警短信、向所述用戶預(yù)留的電子郵箱中發(fā)送預(yù)警電郵,和/或向所述系統(tǒng)的管理員發(fā)送預(yù)警通知。
全文摘要
本發(fā)明提供了一種異常登錄檢測方法,該方法包括接收用戶的登錄行為的屬性數(shù)據(jù);獲取與該用戶對應(yīng)的行為標(biāo)準(zhǔn),其中所述行為標(biāo)準(zhǔn)至少記錄一組登錄行為的歷史屬性數(shù)據(jù),并記錄根據(jù)該至少一組歷史登錄行為數(shù)據(jù)的統(tǒng)計結(jié)果生成的判定值;并根據(jù)該判定值與預(yù)設(shè)閾值進(jìn)行比較,檢測所述登錄行為數(shù)據(jù)是否存在異常;若所述登錄行為不存在異常,則正常提供服務(wù),若存在異常,則發(fā)出預(yù)警通知或中止提供服務(wù)。相應(yīng)地,本發(fā)明還提供了一種異常登錄檢測裝置。實施本發(fā)明,提高了服務(wù)提供系統(tǒng)的安全性,并減少了服務(wù)提供系統(tǒng)管理員的工作量,也提高了工作效率。
文檔編號H04L12/26GK102325062SQ20111028052
公開日2012年1月18日 申請日期2011年9月20日 優(yōu)先權(quán)日2011年9月20日
發(fā)明者侯奎宇, 徐洋 申請人:北京神州綠盟信息安全科技股份有限公司