异常登录检测方法及装置的制作方法

专利名称：异常登录检测方法及装置的制作方法
技术领域：
本发明涉及网络系统安全领域，尤其涉及一种对系统登录过程中的异常登录行为检测的方法及装置。
背景技术：
随着网络技术的发展，很多传统行业都在英特网上以B/S模式，或C/S模式提供业务服务，用户可以使用任意的终端进行登录操作，以完成与系统的交互。例如随着电子商务的快速发展，用户可以使用不同的设备登录在线交易系统的服务器，完成查询、转账、付款、 买卖等涉及实物财产的金融活动。此类在线系统提供了便捷，但是同时也具备一定的风险。 例如不法分子利用黑客技术盗取用户的账户密码，然后进行窥探他人隐私、甚至非法的财产侵占等不法活动。现有的服务提供系统(例如在线交易系统)的服务器端只能验证用户的账户密码以识别用户身份，而无法通过用户的登录数据验证该账户密码是否被非法分子所利用，因此安全系数较低。

发明内容
针对上述技术问题，本发明提供了一种异常登录检测方法及装置，可以通过分析用户的登录数据提高在线交易系统的安全性。为达到上述目的，一方面，本发明提供了一种异常登录检测方法，该方法包括接收用户的登录行为的属性数据；获取与该用户对应的行为标准，其中所述行为标准至少记录一组登录行为的历史属性数据，并记录根据该至少一组历史登录行为数据的统计结果生成的判定值；并根据该判定值与预设阈值进行比较，检测所述登录行为数据是否存在异常；若所述登录行为不存在异常，则正常提供服务，若所述登录行为存在异常，则发出预警通知或中止提供服务。另一方面，本发明提供了一种异常登录检测装置，该装置包括接收模块，用于接收用户的登录行为的属性数据；检测模块，用于获取与该用户对应的行为标准，其中所述行为标准至少记录一组登录行为的历史属性数据，并记录根据该至少一组历史登录行为数据的统计结果生成的判定值；并根据该判定值与预设阈值进行比较，检测所述登录行为数据是否存在异常；输出模块，用于若所述登录行为不存在异常，则提示正常提供服务，若所述登录行为存在异常，则发出预警通知或中止提供服务。本发明提供的异常登录检测方法及装置，一方面，通过比较判定值和预设阈值判断用户的登录行为数据是否存在异常，如果存在异常自动发出预警通知或触发其他安全保障相关动作，提高了服务提供系统的安全性；另一方面，根据所述登录行为更新所述判定值，可以根据用户登录习惯的改变所导致的数据属性改变来动态调整预警标准，实现智能地自学习过程，使得异常登录的判定更加准确，减少了在服务提供系统管理员的工作量，也提高了工作效率。具体而言，在本发明中，为每个用户设定其自己的行为标准，该行为标准中包括至少一组行为属性数据。对用户每次登录涉及到的行为属性数据进行记录，并随时对其账户下的数据记录以及根据该数据记录统计结果生成的判定值进行更新。随着大量数据积累，该判定值趋于准确且稳定，基于该判定值与适当阈值的比较，可以快捷、准确地检查出异常登录行为，进一步提高了业务服务系统的安全性和有效性。


通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显图1是根据本发明的异常登录检测方法的一种具体实施方式
的流程图；图2是根据本发明的异常登录检测装置的一种具体实施方式
的结构示意图及其应用状态的示意图；附图中相同或相似的附图标记代表相同或相似的部件。
具体实施例方式为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明的实施例作详细描述。首先请参考图1，图1是根据本发明的基于自学习的异常登录检测方法的一种具体实施方式
的流程图，该方法包括如下步骤步骤S101，接收用户的登录行为的属性数据，并判断是否能够获取与该用户对应的行为标准。如果能够获取与用户对于的行为标准，则执行步骤S102 ；否则，则执行步骤 Sioe0具体地，其中所述行为标准至少记录一组登录行为的历史属性数据，并记录根据该至少一组历史登录行为数据的统计结果生成的判定值；步骤S102，将该判定值与预设阈值进行比较，检测所述登录行为数据是否存在异常；若是，则执行步骤S103，若否，则执行步骤S104 ；步骤S103，发出预警通知或中止提供服务；步骤S104，正常提供服务；步骤S103或步骤S104结束后，执行步骤S105，即根据所述属性数据更新与该属性数据对应的所述判定值；可选地，当步骤SlOl中未能获取与该用户对应的行为标准，则执行步骤S106，即保存所述属性数据，根据该属性数据计算并保存该属性数据的判定值，并且正常提供服务。无论是B/S模式，还是C/S模式，现有的服务提供系统的登录流程通常是如下步骤服务器接受登录数据——服务器验证登录数据——验证登录数据通过后所述服务器提供服务——提供服务过程中服务器与终端交互数据——用户退出登录——服务结束，上述步骤中登录数据和提供服务过程中的交互数据都可以反映特定用户的登录习惯，系统可以以上述数据作为判定登录是否异常的标准。典型地，所述登录行为是针对系统的登录行为，所述系统是在线交易系统，例如商品在线交易系统、有价证券在线交易系统等。本方法用于检测在线交易系统是否有异常登录，在现有技术中，所述在线交易系统通常采用B/S模式或C/S模式设计，例如在B/S模式中，用户通过浏览器(Browser)向服务器发送所述登录行为数据；在C/S模式中，用户通过客户端(Client)向服务器发送所述登录行为数据。具体地，在本实施例中，无论所述系统设计为B/S模式还是C/S模式，针对该系统的登录行为的属性数据包括登录时间、登录IP、登录方式、登录终端类型、登录终端版本号、 登录持续时长和登录操作中至少一项。例如，一个用户的登录行为中包括以下属性数据 2011年6月5日(登录时间)、1· 1. 1. 1(登录IP)、PC登录(登录方式)、PC终端(登录终端类型)、Version 1. 7 (登录版本号)、2小时(登录时长)、查询操作(登录操作)。在线交易系统中通常 所述用户的账户名称的字符组合是唯一的，因此可以使用该账户名称作为所述唯一身份标识来判断是否存在与所述用户对应的行为标准，此外，所述用户的ID号通常也是唯一的，因此还可以将ID号作为所述唯一身份标识来判断是否存在与所述用户对应的行为标准。所述行为标准内记录的所述判定值是根据至少一组历史登录行为数据的统计结果生成的，其具体生成方法是根据历史登录行为统计所述属性数据的累积登录次数和单位时间内的登录次数，并根据上述两者计算所得所述判定值。其中，所述历史登录行为记录了多次历史的属性数据与产生该属性数据的时间，因此可以根据该历史登录行为统计得到每一所述属性数据的累积登录次数和单位时间内的登录次数(所述单位时间可以根据实际需求确定，例如一周、十天或三十天)。以登录IP这一属性数据为例说明所述判定值的生成过程，针对一个用户，如果
在该用户的历史登录数据中习惯使用IP1、IP2........IPn的多个IP地址来进行登录，
对该用户历史登录数据中的IP地址进行统计，创建给定长度的IP地址属性集合，该属性
UPl [Ctime, Mtime, Cumulation, Activity], ΙΡ2 [Ctime, Mtime,
Cumulation, Activity],.........IPn [Ctime, Mtime, Cumulation, Activity]},其中，
Ctime为所属IP的初次登录时间，Mtime为所属IP的最近一次登录时间，Cumulation为累积登录次数，Activity为单位时间内的登录次数，根据竞争算法获得每个IP属性的权重， 其中各IP属性间的权重是是互斥关系，某IP被调用，其权重会相应的增加，而IP地址属性集合中的的其他IP的权重会相应降低，权重降低至零的属性应被清除出该属性集合。根据每个IP属性的权重、计算每个IP属性的判定值。因此对于同一登录行为中的任一属性数据，在开始阶段都需要设定一个周期进行初始的学习才能统计出所述判定值，例如首先在三十天内记录所述用户的登录行为中出现的各个登录IP及其出现时间，以IPl为例，其 Cumulation的数值在三十天内是100，其Activity的数值在最近十天的内是50，根据竞争算法在特定权重下对两者进行比较以获得判定值。具体地，每一所述属性数据中包括的单
元项都对应一个判定值，例如IP1、IP2........IPn分别对应不同的判定值，相应地，用户
也可以对IP1、IP2........IPn预先配置不同的预设阈值。典型地，在一次登录中，接收用
户的登录行为的属性数据表示用户是使用IPl登录，则调用IPl对应的判定值和预设阈值比对来进行所述异常检测，如果用户的登录行为的属性数据表示用户是使用IP2登录，相应地则调用IP2对应的判定值和预设阈值比对来进行所述异常检测。如果在步骤SlOl中获取到行为标准，并从中提取出所述判定值，则执行步骤 S102。步骤S102中，将所述判定值与预设阈值进行比较，以检测所述登录行为是否存在异常。所述预设阈值是用户指定的或者是系统预设的，其用于与判定值相比较来检测登录行为是否存在异常。用户可以根据监测力度和具体需求设置该预设阈值的具体值，以满足各种强度的异常检测需求。 一旦所述判定值超出所述预设阈值的范围，则判断为该次登录行为数据存在异常，然后执行步骤S103;若所述判定值并未超出所述预设阈值适用的范围，则判断为该次登录数据不存在异常，然后执行步骤S104。本实施例中，步骤S103中的发出预警通知具体包括提示输入用于验证所述用户的身份的信息，例如要求用户输入密码保护问题答案或注册时提供的证件号码；也可以向所述用户预留的手机号码上发送预警短信或向所述用户预留的电子邮箱中发送预警电邮， 和/或向所述系统的管理员发送短信或电邮等形式的预警通知等，提示用户账号存在异常登录的情况。步骤S104中正常提供服务典型地指的是所述在线交易系统向登录后为检测出异常登录情况的用户正常提供有关在线交易所支持的电子商务服务。在另一个实施例中，步骤S103中在检测出异常登录情况时，还可能采取中止提供服务的行为。其中中止提供服务的具体实现方式例如可以是冻结所述在线交易系统中该用户的操作。具体而言，在某些在线交易系统中，例如在各种网上银行中，可能在网上银行系统的初次登录后，在具体涉及货币交易等的操作时需要进一步的登录行为，这种登录行为由于将直接导致用户账号金额的改变，因此需要进行更严格的检测。特别地，本实施例中的中止提供服务即针对这种进一步的登录行为，如果此时检测到异常登录行为，则会导致中止向该用户提供在该网上银行页面上的任何其他操作的相关服务。步骤S103或步骤S104结束后，均执行步骤S105，根据所述属性数据更新与该属性数据对应的所述判定值，其具体过程是保存所述属性数据，根据该属性数据和历史属性数据计算出新的判定值，并使用该新的判定值替换所述判定值。典型地，例如所述属性数据是登录 IP，其中 IPl 的详细记录是 IPl :[ctime, Mtime, Cumulation, Activity]，当最新一次登录行为中产生IPl的记录时，相应地要更新IPl的详细记录中的Cumulation和Activity 的值，随着Cumulation和Activity值的变化，重新计算IP属性集合中每个属性的新的判定值，用该新的判定值替换原有的所述判定值即可完成判定值的更新过程。例如每次进行所述更新后，IP属性中的每个IP项的判定值即重新计算所得。可选地，在一些特殊情况下，在所述用户初次登录所述在线交易系统或清空历史记录后首次登录所述在线交易系统时，系统中并不存在相关用户登录行为的历史数据，因此也无法计算所得判定值，则步骤SlOl中判断结果是无法获取判定值，这种情况下步骤 SlOl结束后则执行步骤S106，即保存所述属性数据，并正常提供服务。以记录登录IP为例， 用户在1月1日使用IPl登录，相应地保存的IPl详细记录为IP1:[1月1日，1月1日，1， 1]。自本次记录开始，自学习引擎对所述IP属性开始进行学习过程，例如三十天的学习过程。需要说明的是，上述实施例中均与登录IP作为示例说明了本方法的流程，对应于属性数据中其他类型的数据，例如登录时间、登录方式、登录终端类型、登录终端版本号、登录持续时长和登录操作中的任一项，均可以参考登录IP示出的方法来进行异常检测。相应地，本发明提供了一种异常登录检测装置，图2是根据本发明的基于自学习的异常登录检测装置100的一种具体实施方式
的结构示意图及其应用状态的示意图，该检测装置100包括接收模块110、检测模块120和输出模块130，其中
接收模块110，用于接收用户的登录行为的属性数据；检测模块120，用于获取与该用户对应的行为标准，其中所述行为标准至少记录一组登录行为的历史属性数据，并记录根据该至少一组历史登录行为数据的统计结果生成的判定值；并根据该判定值与预设阈值进行比较，检测所述登录行为数据是否存在异常；；输出模块130，用于若所述登录行为不存在异常，则提示正常提供服务，若所述登录行为存在异常，则发出预警通知或中止提供服务。具体地，无论所述在线交易系统设计为B/S模式还是C/S模式，针对该系统的登录行为的属性数据包括登录时间、登录IP、登录方式、登录终端类型、登录终端版本号、登录持续时长和登录操作中至少一项。其中，所述唯一身份标识是用户的ID号或用户的账户名称。所述判定值是根据历史登录行为生成的，其具体生成方法是根据历史登录行为统计所述属性数据的累积登录次数和单位时间内的登录次数，并根据上述两者计算所得所述判定值，。所述预设阈值是用户指定的或者是系统预设的，其用于与判定值相比较来检测登录行为是否存在异常。可选地，检测模块120在所述检测的同时或者之后，根据所述属性数据更新与该属性数据对应的所述判定值。其中，检测模块120根据所述属性数据更新与该属性数据对应的所述判定值的具体步骤包括保存所述属性数据，根据该属性数据和历史属性数据计算出IP属性组合中每个属性的新的判定值，并使用该新的判定值替换所述判定值。可选地，若未能获取与该用户对应的行为标准，则检测模块120保存所述属性数据，根据该属性数据计算并保存该属性数据的判定值，并且输出模块130提示正常提供服务。通常所述用户的账户名称的字符组合是唯一的，或该用户的ID号通常也是唯一的，因此检测模块120可以根据所述用户的ID号或用户的账户名称获取该用户对应的行为标准。上述属性数据包括登录IP、登录时间、登录方式、登录终端类型、登录终端版本号、登录持续时长和登录操作中至少一项。当检测模块120根据所述判定值检测出所述登录行为存在异常时，输出模块130 发出预警通知包括提示输入用于验证所述用户的身份的信息、向所述用户预留的手机号码上发送预警短信或向所述用户预留的电子邮箱中发送预警电邮，和/或向所述系统的管理员发送预警通知。典型地，在图2中示出了检测装置100在应用中与其他设备结合使用的的结构示意图，其中，用户可以使用地区1内的PC终端201或移动设备终端202向检测装置100发起登录以便于从服务器300获取服务，或使用地区2内的PC终端203向检测装置100发起登录以便于从服务器300获取服务。通常所述服务器300是提供在线交易系统的服务的数据服务器。本发明提供的异常登录检测方法及装置，一方面，通过比较判定值和预设阈值判断用户的登录行为数据是否存在异常，如果存在异常自动发出预警通知或触发其他安全保障相关动作，提高了服务提供系统的安全性；另一方面，根据所述登录行为更新所述判定值，可以根据用户登录习惯的改变所导致的数据属性改变来动态调整预警标准，实现智能地自学习过程，使得异常登录的判定更加准确，减少了在服务提供系统管理员的工作量，也提高了工作效率。具体而言，在本发明中，为每个用户设定其自己的行为标准，该行为标准中包括至少一组行为属性数据。对用户每次登录涉及到的行为属性数据进行记录，并随时对其账户下的数据记录以及根据该数据记录统计结果生成的判定值进行更新。随着大量数据积累，该判定值趋于准确且稳定，基于该判定值与适当阈值的比较，可以快捷、准确地检查出异常登录行为，进一步提高了业务服务系统的安全性和有效性。 本发明提供的异常登录检测方法可以使用可编程逻辑器件结合来实现，也可以实施为计算机程序软件，例如根据本发明的实施例可以是一种计算机程序产品，运行该程序产品使计算机执行用于所示范的方法。所述计算机程序产品包括计算机可读存储介质，该介质上包含计算机程序逻辑或代码部分，用于实现上述异常登录检测方法。所述计算机可读存储介质可以是被安装在计算机中的内置介质或者可从计算机主体拆卸的可移动介质 (例如热拔插技术存储设备)。所述内置介质包括但不限于可重写的非易失性存储器，例如 RAM、ROM、快闪存储器和硬盘。所述可移动介质包括但不限于光存储媒体(例如CD-ROM和 DVD)、磁光存储媒体(例如M0)、磁存储媒体(例如盒带或移动硬盘)、具有内置的可重写的非易失性存储器的媒体(例如存储卡)和具有内置ROM的媒体(例如ROM盒)。以上所揭露的仅为本发明的一些较佳实施例而已，当然不能以此来限定本发明之权利范围，因此依本发明权利要求所作的等同变化，仍属本发明所涵盖的范围。
权利要求
1.一种异常登录检测方法，其特征在于，该方法包括 接收用户的登录行为的属性数据；获取与该用户对应的行为标准，其中所述行为标准至少记录一组登录行为的历史属性数据，并记录根据该至少一组历史登录行为数据的统计结果生成的判定值；并根据该判定值与预设阈值进行比较，检测所述登录行为是否存在异常；若所述登录行为不存在异常，则正常提供服务，若所述登录行为存在异常，则发出预警通知或中止提供服务。
2.根据权利要求1所述的方法，其特征在于，该方法还包括在所述检测的同时或者之后，根据所述属性数据更新与该属性数据对应的所述判定值。
3.根据权利要求2所述的方法，其特征在于，根据所述属性数据更新与该属性数据对应的所述判定值包括保存所述属性数据，根据该属性数据和历史属性数据计算出新的判定值，并使用该新的判定值替换所述判定值。
4.根据权利要求1所述的方法，其特征在于，该方法还包括若未能获取与该用户对应的行为标准，则保存所述属性数据，根据该属性数据计算并保存该属性数据的判定值，并且正常提供服务。
5.根据权利要求1所述的方法，其特征在于根据所述用户的ID号或用户的账户名称获取该用户对应的行为标准。
6.根据权利要求1至5任一项所述的方法，其特征在于，所述判定值的生成方法包括 根据历史登录行为统计所述属性数据的累积登录次数和单位时间内的登录次数，并根据上述两者计算所得所述判定值。
7.根据权利要求1至5任一项所述的方法，其特征在于，所述属性数据包括登录IP、登录时间、登录方式、登录终端类型、登录终端版本号、登录持续时长和登录操作中至少一项。
8.根据权利要求1至5任一项所述的方法，其特征在于，所述发出预警通知包括 提示输入用于验证所述用户的身份的信息、向所述用户预留的手机号码上发送预警短信、向所述用户预留的电子邮箱中发送预警电邮，和/或向系统的管理员发送预警通知。
9.一种异常登录检测装置，其特征在于，该装置包括 接收模块，用于接收用户的登录行为的属性数据；检测模块，用于获取与该用户对应的行为标准，其中所述行为标准至少记录一组登录行为的历史属性数据，并记录根据该至少一组历史登录行为数据的统计结果生成的判定值；并根据该判定值与预设阈值进行比较，检测所述登录行为数据是否存在异常；输出模块，用于若所述登录行为不存在异常，则提示正常提供服务，若所述登录行为存在异常，则发出预警通知或中止提供服务。
10.根据权利要求9所述的装置，其特征在于所述检测模块在所述检测的同时或者之后，根据所述属性数据更新与该属性数据对应的所述判定值。
11.根据权利要求10所述的装置，其特征在于，所述检测模块根据所述属性数据更新与该属性数据对应的所述判定值包括保存所述属性数据，根据该属性数据和历史属性数据计算出新的判定值，并使用该新的判定值替换所述判定值。
12.根据权利要求9所述的装置，其特征在于若未能获取与该用户对应的行为标准，则所述检测模块保存所述属性数据，根据该属性数据计算并保存该属性数据的判定值，并且所述输出模块提示正常提供服务。
13.根据权利要求9所述的装置，其特征在于所述检测模块根据所述用户的ID号或用户的账户名称获取该用户对应的行为标准。
14.根据权利要求9至13任一项所述的装置，其特征在于，所述检测模块根据历史登录行为统计所述属性数据的累积登录次数和单位时间内的登录次数，并根据上述两者计算所得所述判定值。
15.根据权利要求9至13任意一项所述的装置，其特征在于，所述属性数据包括 登录IP、登录时间、登录方式、登录终端类型、登录终端版本号、登录持续时长和登录操作中至少一项。
16.根据权利要求9所述的装置，其特征在于，所述输出模块发出的预警通知包括 提示输入用于验证所述用户的身份的信息、向所述用户预留的手机号码上发送预警短信、向所述用户预留的电子邮箱中发送预警电邮，和/或向所述系统的管理员发送预警通知。
全文摘要
本发明提供了一种异常登录检测方法，该方法包括接收用户的登录行为的属性数据；获取与该用户对应的行为标准，其中所述行为标准至少记录一组登录行为的历史属性数据，并记录根据该至少一组历史登录行为数据的统计结果生成的判定值；并根据该判定值与预设阈值进行比较，检测所述登录行为数据是否存在异常；若所述登录行为不存在异常，则正常提供服务，若存在异常，则发出预警通知或中止提供服务。相应地，本发明还提供了一种异常登录检测装置。实施本发明，提高了服务提供系统的安全性，并减少了服务提供系统管理员的工作量，也提高了工作效率。
文档编号H04L12/26GK102325062SQ20111028052
公开日2012年1月18日 申请日期2011年9月20日 优先权日2011年9月20日
发明者侯奎宇, 徐洋 申请人:北京神州绿盟信息安全科技股份有限公司