1.一种盗号防御实现方法,其特征在于,包括:
监控各IP地址的登录数据,获取各IP地址上的登录次数和失败次数;针对每个IP地址,执行下列操作:
根据获取到的登录次数和失败次数,确定获取到的登录次数对应的失败概率;
判断确定出的失败概率是否大于预先建立的阈值曲线上该登录次数对应的失败概率阈值;所述阈值曲线为根据登录日志建立、表征登录次数和失败概率阈值对应关系的曲线;
当大于时,确定该IP地址存在异常登录;当不大于时,确定该IP地址不存在异常登录。
2.如权利要求1所述的方法,其特征在于,判断确定出的失败概率是否大于预先建立的阈值曲线上该登录次数对应的失败概率阈值,具体包括:
根据预先建立的阈值曲线,以该登录次数作为横坐标,获取阈值曲线上对应的纵坐标的值,得到该登录次数对应的失败概率阈值;
比较确定出的失败概率是否大于获取到的失败概率阈值。
3.如权利要求1或2所述的方法,其特征在于,监控各IP地址的登录数据之前,还包括:
获取系统的登录日志,根据登录日志建立表征登录次数和失败概率阈值对应关系的阈值曲线。
4.如权利要求3所述的方法,其特征在于,根据登录日志建立阈值曲线的过程,具体包括:
根据获取的登录日志,确定建立阈值曲线的特征值;所述特征值包括登录次数特征值和对应的失败概率特征值;
根据所述特征值,采用选定的曲线拟合算法,生成表征登录次数和失败概率阈值对应关系的阈值曲线。
5.如权利要求4所述的方法,其特征在于,所述根据获取的登录日志,确定建立阈值曲线的特征值,具体包括:
统计获取的登录日志中每个IP地址的登录行为的失败次数和登录次数;
按照失败次数的大小进行排序,并判断排序后的相邻两个失败次数是否符合设定的特征值判定条件;当符合时,根据预设规则提取相邻的两个失败次数中的一个作为登录次数对应的失败次数特征值;
将登录次数作为登录次数特征值,并根据登录次数和对应的失败次数特征值确定出对应的失败概率特征值,得到建立阈值曲线的特征值。
6.如权利要求4所述的方法,其特征在于,根据所述特征值生成阈值曲线的过程,具体包括:
采用最小二元法,以确定出的登录次数特征值和对应的失败概率特征值作为曲线上的已知点,拟合出包含已知点的阈值曲线;或
采用三次样条插值的方式,以确定出的登录次数特征值和对应的失败概率特征值作为样点,在相邻样点之间进行插值计算,拟合出包含样点的阈值曲线。
7.一种盗号防御实现装置,其特征在于,包括:
监控获取模块,用于监控各IP地址的登录数据,获取各IP地址上的登录次数和失败次数;
概率确定模块,用于针对每个IP地址,执行下列操作:根据获取到的登录次数和失败次数,确定获取到的登录次数对应的失败概率;
异常判断模块,用于判断确定出的失败概率是否大于预先建立的阈值曲线上该登录次数对应的失败概率阈值;所述阈值曲线为根据登录日志建立、表征登录次数和失败概率阈值对应关系的曲线;当大于时,确定该IP地址存在异常登录;当不大于时,确定该IP地址不存在异常登录。
8.如权利要求7所述的装置,其特征在于,所述异常判断模块,具体用于:
根据预先建立的阈值曲线,以该登录次数作为横坐标,获取阈值曲线上对应的纵坐标的值,得到该登录次数对应的失败概率阈值;
比较确定出的失败概率是否大于获取到的失败概率阈值。
9.如权利要求7或8所述的装置,其特征在于,还包括:
曲线建立模块,用于获取系统的登录日志,根据登录日志建立表征登录次数和失败概率阈值对应关系的阈值曲线。
10.如权利要求9所述的装置,其特征在于,所述曲线建立模块,具体用于:
根据获取的登录日志,确定建立阈值曲线的特征值;所述特征值包括登录次数特征值和对应的失败概率特征值;
根据所述特征值,采用选定的曲线拟合算法,生成表征登录次数和失败概率阈值对应关系的阈值曲线。