一种对用户登录进行风险评估的方法及装置与流程

本发明涉及网络技术领域，尤其涉及一种对用户登录进行风险评估的方法及装置。

背景技术：

用户登录：大型网站会有很多用户，用户为了使用自己在网站上的账号所需要的确认身份的操作叫做登录。

登录日志中含有很多信息，如登录时间，登录方式，登录设备，登录地址，登录浏览器，登录请求时长，登录结果，登录账号等信息。把同一账号的登录信息全部存储在数据库里。当用户登录时，在数据库里取日志，然后逐个比对当前登录日志和取出的日志。并依此判定此次登录是否异常。

现有技术对于账号a，在数据库中以a为表名存储其所有登录日志。每次当a登录时，从数据库中取出所有日志，并将此次日志l和数据库日志逐条逐字段比对。对每个字段设定一个临界值(c1,c2,c3….)，当l中的一个字段在数据库日志对应字段中出现的比例低于临界值时，将此字段判定为异常。如此判断所有字段，若异常的字段占字段总数的比例高于总临界值c时则此次登录判定为异常。

现有技术需要从数据库中取出所有日志，这对于庞大的账号系统的网站是不可接受的，因为此操作极为耗时。在判定过程中需要遍历所有日志也很耗时。且此方法过于依赖人为设定的临界值(c，c1，c2…)，导致自动化程度不够高，响应不够及时。

技术实现要素：

本发明实施例提供一种对用户登录进行风险评估的方法及装置，以加速用户登录风险评估的速度，同时提高用户登录风险评估的自动化程度。

一方面，本发明实施例提供了一种对用户登录进行风险评估的方法，所述方法包括：

获取用户当前登录的日志数据；

根据所述用户当前登录的日志数据，获取用户唯一身份标志uid和用户当前登录的属性字段信息；

根据获取的所述uid，从数据库中获取所述uid对应的预设用户模型，所述预设用户模型中存储有所述uid对应的若干属性字段；

利用所述用户当前登录的属性字段信息和所述预设用户模型中的相应属性字段，获取所述用户当前登录的风险系数；

根据所述用户当前登录的风险系数对所述用户当前登录进行风险评估。

另一方面，本发明实施例提供了一种对用户登录进行风险评估的装置，所述装置包括：

日志数据获取单元，用于获取用户当前登录的日志数据；

属性字段获取单元，用于根据所述用户当前登录的日志数据，获取用户唯一身份标志uid和用户当前登录的属性字段信息；

用户模型获取单元，用于根据获取的所述uid，从数据库中获取所述uid对应的预设用户模型，所述预设用户模型中存储有所述uid对应的若干属性字段；

风险系数获取单元，用于利用所述用户当前登录的属性字段信息和所述预设用户模型中的相应属性字段，获取所述用户当前登录的风险系数；

风险评估单元，用于根据所述用户当前登录的风险系数对所述用户当前登录进行风险评估。

上述技术方案具有如下有益效果：数据库需要存储的仅仅是每个用户的用户模型，所需要的存储空间大大减小，并且风险评估的过程大大提速了，还实现了自动化的风险评估和判断。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例一种对用户登录进行风险评估的方法流程图；

图2为本发明实施例一种对用户登录进行风险评估的装置结构示意图；

图3为本发明实施例另一种对用户登录进行风险评估的装置结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，为本发明实施例一种对用户登录进行风险评估的方法流程图，所述方法包括：

101、获取用户当前登录的日志数据；

102、根据所述用户当前登录的日志数据，获取用户唯一身份标志uid和用户当前登录的属性字段信息；

103、根据获取的所述uid，从数据库中获取所述uid对应的预设用户模型，所述预设用户模型中存储有所述uid对应的若干属性字段；

104、利用所述用户当前登录的属性字段信息和所述预设用户模型中的相应属性字段，获取所述用户当前登录的风险系数；

105、根据所述用户当前登录的风险系数对所述用户当前登录进行风险评估。

优选地，所述属性字段包括如下之一或者任意组合：登录入口、登录设备、登录时间、登录方式、登录地址、登录浏览器、登录请求时长、登录结果、登录账号。

优选地，所述uid对应的预设用户模型中还存储有每一个属性字段包括的各属性字段分类项及其比重值。

优选地，所述利用所述用户当前登录的属性字段信息和所述预设用户模型中的相应属性字段，获取所述用户当前登录的风险系数，包括：

针对所述用户当前登录的每一个属性字段信息，在所述预设用户模型的相应属性字段中查找对应的属性字段分类项及其比重值，使用查找到的比重值除以所述预设用户模型中的相应属性字段包括的所有属性字段分类项的比重值之和，得到所述属性字段分类项的分数；

计算所述用户当前登录的所有属性字段信息分别对应的各属性字段分类项的分数平均值，将该分数平均值作为所述用户当前登录的风险系数。

优选地，所述方法还包括：根据所述用户当前登录的日志数据对数据库中对应的预设用户模型进行更新，包括：根据所述用户当前登录的属性字段信息在所述预设用户模型的相应属性字段中查找对应的属性字段分类项及其比重值，将查找到的比重值加1，并将该相应属性字段包括的所有属性字段分类项的比重值乘以预设的权重系数。

对应于上述方法实施例，如图2所示，为本发明实施例一种对用户登录进行风险评估的装置结构示意图，所述装置包括：

日志数据获取单元21，用于获取用户当前登录的日志数据；

属性字段获取单元22，用于根据所述用户当前登录的日志数据，获取用户唯一身份标志uid和用户当前登录的属性字段信息；

用户模型获取单元23，用于根据获取的所述uid，从数据库中获取所述uid对应的预设用户模型，所述预设用户模型中存储有所述uid对应的若干属性字段；

风险系数获取单元24，用于利用所述用户当前登录的属性字段信息和所述预设用户模型中的相应属性字段，获取所述用户当前登录的风险系数；

风险评估单元25，用于根据所述用户当前登录的风险系数对所述用户当前登录进行风险评估。

优选地，所述属性字段包括如下之一或者任意组合：登录入口、登录设备、登录时间、登录方式、登录地址、登录浏览器、登录请求时长、登录结果、登录账号。

优选地，所述uid对应的预设用户模型中还存储有每一个属性字段包括的各属性字段分类项及其比重值。

优选地，所述风险系数获取单元24，具体用于针对所述用户当前登录的每一个属性字段信息，在所述预设用户模型的相应属性字段中查找对应的属性字段分类项及其比重值，使用查找到的比重值除以所述预设用户模型中的相应属性字段包括的所有属性字段分类项的比重值之和，得到所述属性字段分类项的分数；计算所述用户当前登录的所有属性字段信息分别对应的各属性字段分类项的分数平均值，将该分数平均值作为所述用户当前登录的风险系数。

优选地，如图3所示，为本发明实施例另一种对用户登录进行风险评估的装置结构示意图，所述装置还包括：用户模型更新单元26，用于根据所述用户当前登录的日志数据对数据库中对应的预设用户模型进行更新，具体用于根据所述用户当前登录的属性字段信息在所述预设用户模型的相应属性字段中查找对应的属性字段分类项及其比重值，将查找到的比重值加1，并将该相应属性字段包括的所有属性字段分类项的比重值乘以预设的权重系数。

上述技术方案具有如下有益效果：数据库需要存储的仅仅是每个用户的用户模型，所需要的存储空间大大减小，并且风险评估的过程大大提速了，还实现了自动化的风险评估和判断。

以下通过应用实例对本发明实施例进行详细说明：

在大型网站的账号系统中我们不能全部取用日志，要想办法提高做出判断的速度和准确度，并且还要提升自动化的程度。因此精炼数据所得的用户模型便是一个很好的选择。

本发明应用实例对于每个用户，构建用户唯一身份标志(uid)为主键的用户模型并存储于数据库中。用户模型是不断在变化的。每时每刻都在产生的流式的登录日志，经筛选产生登录日志，并依据一定的算法，可以利用用户模型和当次登录数据来更新模型。当有需要判断是否为恶意登录的登录数据的时候，从数据库里读取用户模型并根据用户模型和数据按照一定数学规则运算来得到判断结果。

若登录日志里有uid，及本次登录的登录入口，登录设备两个用户当前登录的属性字段信息。则用户模型的结构可以是这样的结构：

这是用户模型的一个可能的结构。首先存储了uid，所述uid对应的预设用户模型中还存储有每一个属性字段包括的各属性字段分类项及其比重值。在entry(入口)项里存储使用过的各个登录入口及其比重值(如邮箱登录的比重值为32.2，而使用app登录的比重值只有0.6)。接下来存储最近登录的设备信息及其比重值。

如何构建这样的用户模型呢？首先对流式登录日志筛选，符合条件的登录数据被写成{uid:23142,entry:mail,device:pc}的形式。然后根据uid读取数据库中的预设用户模型，若没有预设用户模型则新建。如此次登录的entry是mail，则在预设用户模型里entry中的mail的值加1(没有则新建mail：1)，然后再对entry中的所有值乘以0.995(权重系数)；这一步是为了让用户最近的登录的重要性大于很早以前的登录，并且也有控制数据规模的作用。以此方法处理device，再存储预设用户模型至数据库，完成更新操作。

风险评估的办法：根据用户当前登录的日志数据，获取用户唯一身份标志uid和用户当前登录的属性字段信息，把要评估的数据写成{uid:23142,entry:app,device:galaxys7}的形式。从数据库里读取uid对应的预设用户模型(如上述的预设用户模型，所述预设用户模型中存储有所述uid对应的若干属性字段)；利用所述用户当前登录的属性字段信息和所述预设用户模型中的相应属性字段，获取所述用户当前登录的风险系数：对entry字段比对：这次登录的entry是app，则在预设用户模型entry项里找到app对应的比重值0.6，再用0.6除以entry下所有比重值的和：0.6/(32.2+2.1+0.6)＝0.0017(分)。计算所述用户当前登录的所有属性字段信息对应的属性字段分类项的分数平均值，将该分数平均值作为所述用户当前登录的风险系数：对device项做同样的操作得到entry分数：40.4/(75.9+40+40.4)＝0.2584(分)，然后将所有分数的平均值作为所述用户当前登录的风险系数(0.1301)。最后，根据所述用户当前登录的风险系数对所述用户当前登录进行风险评估：风险系数越接近0则风险越大，反之，风险系数越大则风险越小。

由于流式日志的速度很快，量很大，每个用户的模型将是一个逐渐完善的过程，模型建立的时间越长，则风险评估的越准确。

本发明应用实例技术方案带来的有益效果：在本方法中，数据库需要存储的仅仅是每个用户的用户模型，所需要的存储空间大大减小，并且风险评估的过程大大提速了，还实现了自动化的风险评估和判断。

应该明白，公开的过程中的步骤的特定顺序或层次是示例性方法的实例。基于设计偏好，应该理解，过程中的步骤的特定顺序或层次可以在不脱离本公开的保护范围的情况下得到重新安排。所附的方法权利要求以示例性的顺序给出了各种步骤的要素，并且不是要限于所述的特定顺序或层次。

在上述的详细描述中，各种特征一起组合在单个的实施方案中，以简化本公开。不应该将这种公开方法解释为反映了这样的意图，即，所要求保护的主题的实施方案需要比清楚地在每个权利要求中所陈述的特征更多的特征。相反，如所附的权利要求书所反映的那样，本发明处于比所公开的单个实施方案的全部特征少的状态。因此，所附的权利要求书特此清楚地被并入详细描述中，其中每项权利要求独自作为本发明单独的优选实施方案。

为使本领域内的任何技术人员能够实现或者使用本发明，上面对所公开实施例进行了描述。对于本领域技术人员来说；这些实施例的各种修改方式都是显而易见的，并且本文定义的一般原理也可以在不脱离本公开的精神和保护范围的基础上适用于其它实施例。因此，本公开并不限于本文给出的实施例，而是与本申请公开的原理和新颖性特征的最广范围相一致。

上文的描述包括一个或多个实施例的举例。当然，为了描述上述实施例而描述部件或方法的所有可能的结合是不可能的，但是本领域普通技术人员应该认识到，各个实施例可以做进一步的组合和排列。因此，本文中描述的实施例旨在涵盖落入所附权利要求书的保护范围内的所有这样的改变、修改和变型。此外，就说明书或权利要求书中使用的术语“包含”，该词的涵盖方式类似于术语“包括”，就如同“包括，”在权利要求中用作衔接词所解释的那样。此外，使用在权利要求书的说明书中的任何一个术语“或者”是要表示“非排它性的或者”。

本领域技术人员还可以了解到本发明实施例列出的各种说明性逻辑块(illustrativelogicalblock)，单元，和步骤可以通过电子硬件、电脑软件，或两者的结合进行实现。为清楚展示硬件和软件的可替换性(interchangeability)，上述的各种说明性部件(illustrativecomponents)，单元和步骤已经通用地描述了它们的功能。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用，可以使用各种方法实现所述的功能，但这种实现不应被理解为超出本发明实施例保护的范围。

本发明实施例中所描述的各种说明性的逻辑块，或单元都可以通过通用处理器，数字信号处理器，专用集成电路(asic)，现场可编程门阵列或其它可编程逻辑装置，离散门或晶体管逻辑，离散硬件部件，或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器，可选地，该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现，例如数字信号处理器和微处理器，多个微处理器，一个或多个微处理器联合一个数字信号处理器核，或任何其它类似的配置来实现。

本发明实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件模块、或者这两者的结合。软件模块可以存储于ram存储器、闪存、rom存储器、eprom存储器、eeprom存储器、寄存器、硬盘、可移动磁盘、cd-rom或本领域中其它任意形式的存储媒介中。示例性地，存储媒介可以与处理器连接，以使得处理器可以从存储媒介中读取信息，并可以向存储媒介存写信息。可选地，存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于asic中，asic可以设置于用户终端中。可选地，处理器和存储媒介也可以设置于用户终端中的不同的部件中。

在一个或多个示例性的设计中，本发明实施例所描述的上述功能可以在硬件、软件、固件或这三者的任意组合来实现。如果在软件中实现，这些功能可以存储与电脑可读的媒介上，或以一个或多个指令或代码形式传输于电脑可读的媒介上。电脑可读媒介包括电脑存储媒介和便于使得让电脑程序从一个地方转移到其它地方的通信媒介。存储媒介可以是任何通用或特殊电脑可以接入访问的可用媒体。例如，这样的电脑可读媒体可以包括但不限于ram、rom、eeprom、cd-rom或其它光盘存储、磁盘存储或其它磁性存储装置，或其它任何可以用于承载或存储以指令或数据结构和其它可被通用或特殊电脑、或通用或特殊处理器读取形式的程序代码的媒介。此外，任何连接都可以被适当地定义为电脑可读媒介，例如，如果软件是从一个网站站点、服务器或其它远程资源通过一个同轴电缆、光纤电缆、双绞线、数字用户线(dsl)或以例如红外、无线和微波等无线方式传输的也被包含在所定义的电脑可读媒介中。所述的碟片(disk)和磁盘(disc)包括压缩磁盘、镭射盘、光盘、dvd、软盘和蓝光光盘，磁盘通常以磁性复制数据，而碟片通常以激光进行光学复制数据。上述的组合也可以包含在电脑可读媒介中。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。