一种登录异常检测方法及装置与流程

本发明涉及通信技术领域，特别是涉及一种登录异常检测方法及装置。

背景技术

随着网络技术的大量应用与快速发展，网络信息安全威胁在不断增加。为了应对非法用户的异常访问，需要获取用户访问网络时输入的用户名及登录密码；服务器根据用户名，从存储的密码中查找该用户名对应的参考密码，并判断该用户的登录密码是否与参考密码一致，如果不一致，则认为该用户登录异常。

如果合法用户的登录密码被非法盗取，上述方法并不能保证用户账户安全。为了提高用户账户的安全性，通常人工设置合法登录地、合法登录时间等合法登录数据。服务器在验证用户登录密码后，判断该用户当前登录数据是否满足合法登录数据，如果不满足，则认为该用户登录异常。

然而，由于人工设置的合法登录数据固定，容易出现误判、漏判的情况，例如，合法登录时间设置为9:00-17:30，而用户于21:00登录处理紧急事件，则会由于当前登录时间不满足合法登录时间，而被识别为异常登录，导致判断用户登录异常的准确率较低。

技术实现要素：

本发明实施例的目的在于提供一种登录异常检测方法及装置，以提高判断用户登录异常的准确率。具体技术方案如下：

第一方面，本发明实施例提供了一种登录异常检测方法，所述方法包括：

获取待检测用户的当前登录日志，所述当前登录日志包括至少一第一登录标识以及对应属于所述第一登录标识的第一待匹配登录数据；

从所述第一待匹配登录数据中，提取属于异常登录标识库中第二登录标识的第二待匹配登录数据，所述异常登录标识库为用于判断用户是否登录异常的多个登录标识的集合，所述至少一第一登录标识包括所述第二登录标识；

判断所述第二待匹配登录数据是否与用户常用登录数据集合中属于所述第二登录标识的常用登录数据相匹配，若不匹配，则确定所述待检测用户登录异常，所述用户常用登录数据集合为根据所述待检测用户的历史登录日志，统计的属于所述第二登录标识的常用登录数据的集合。

第二方面，本发明实施例提供了一种登录异常检测装置，所述装置包括：

获取模块，用于获取待检测用户的当前登录日志，所述当前登录日志包括至少一第一登录标识以及对应属于所述第一登录标识的第一待匹配登录数据；

提取模块，用于从所述第一待匹配登录数据中，提取属于异常登录标识库中第二登录标识的第二待匹配登录数据，所述异常登录标识库为用于判断用户是否登录异常的多个登录标识的集合，所述至少一第一登录标识包括所述第二登录标识；

判断模块，用于判断所述第二待匹配登录数据是否与用户常用登录数据集合中属于所述第二登录标识的常用登录数据相匹配，若不匹配，则确定所述待检测用户登录异常，所述用户常用登录数据集合为根据所述待检测用户的历史登录日志，统计的属于所述第二登录标识的常用登录数据的集合。

第三方面，本发明实施例提供了一种服务器，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使执行本发明实施例第一方面所述的方法步骤。

第四方面，本发明实施例提供了一种机器可读存储介质，存储有机器可执行指令，在被处理器调用和执行时，所述机器可执行指令促使所述处理器执行本发明实施例第一方面所述的方法步骤。

本发明实施例提供的一种登录异常检测方法及装置，通过获取待检测用户的当前登录日志，从当前登录日志所包括的第一待匹配登录数据中，提取属于异常登录标识库中第二登录标识的第二待匹配登录数据，判断第二待匹配登录数据是否与用户常用登录数据集合中属于第二登录标识的常用登录数据相匹配，若不匹配，则确定待检测用户登录异常。异常登录标识库为用于判断用户是否登录异常的多个登录标识的集合，用户常用登录数据集合是根据待检测用户的历史登录日志，统计得到的属于第二登录标识的常用登录数据的集合，根据待检测用户的历史登录日志来考量该用户的当前登录是否存在异常，无需人工手动设置合法登录数据，用户常用登录数据集合中参考了用户历史登录日志的常用登录数据，从而提高了判断用户登录异常的准确率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例的登录异常检测方法的流程示意图；

图2为本发明实施例的构建用户常用登录数据集合的流程示意图；

图3为本发明实施例的登录异常检测装置的结构示意图；

图4为本发明实施例的服务器的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为了提高判断用户登录异常的准确率，本发明实施例提供了一种登录异常检测方法、装置、服务器及机器可读存储介质。

下面，首先对本发明实施例所提供的一种登录异常检测方法进行介绍。

本发明实施例所提供的登录异常检测方法的执行主体可以为服务器，该服务器为用户登录提供态势感知统一日志采集处理平台，本发明实施例所提供的登录异常检测方法可以被设置于执行主体中的软件、硬件电路、逻辑电路、处理器中的至少一种执行实现。

如图1所示，本发明实施例所提供的一种登录异常检测方法，可以包括如下步骤。

s101，获取待检测用户的当前登录日志。

其中，当前登录日志包括至少一第一登录标识以及对应属于第一登录标识的第一待匹配登录数据。当前登录日志为待检测用户当前在访问网络时所产生的登录标识及对应属于该登录标识的登录数据的集合，当前登录日志往往在登录密码验证后产生，示例性的，第一登录标识可以包括登录时间标识、登录区域标识、登录终端地址标识、登录失败标识，则当前登录日志可以包括待检测用户的登录时间标识及对应的具体登录时间数据、登录区域标识及对应的具体登录区域数据、登录终端地址标识及对应的具体登录终端地址数据、登录失败标识及对应的具体登录失败的次数等等。

待检测用户通过访问sslvpn(securitysocketlayer-virtualprivatenetwork，基于安全套接层协议的虚拟专用网络)网关、ead(endpointadmissiondefense，端点准入防御)网关等网络接入设备来访问网络，这些网络接入设备在接收到待检测用户的访问请求后，会产生设备日志，设备日志中通常包括用户名信息、目的ip地址信息、源ip地址信息等，可以根据设备日志得到待检测用户的当前登录日志。

可选的，s101具体可以包括：

获取待检测用户在通过各网络接入设备访问网络时，各网络接入设备产生的设备日志；

针对每一设备日志，进行归一化处理，得到处理后的第一设备日志，其中，第一设备日志至少包括用户名信息、目的地址信息及源地址信息；

基于用户名信息、目的地址信息及源地址信息，从对应的预设行为匹配数据库中，分别查找与用户名信息、目的地址信息及源地址信息相匹配的第一登录标识及对应属于第一登录标识的第一待匹配登录数据，并根据第一登录标识及第一待匹配登录数据，得到待检测用户的当前登录日志。

由于不同的网络接入设备，设备日志中数据的格式不同，为了方便处理，需要对获取到的设备日志进行归一化处理，归一化处理后的第一设备日志中的数据具有统一的数据格式。但设备日志中没有用户、资产等运维信息，故需要对第一设备日志进行数据扩展，以此来丰富出用户个人标识、用户登录区域标识、用户访问的资产标识、用户访问的业务系统标识等第一登录标识，以及对应属于各第一登录标识的第一待匹配登录数据，如具体的用户个人数据、用户登录区域数据、用户访问的资产数据、用户访问的业务系统数据等，所丰富出的第一登录标识及第一待匹配登录数据组成当前登录日志。

服务器中存储有多个行为匹配数据库，例如用户名信息与用户个人标识/数据对应的行为匹配数据库、目的地址信息与用户访问的资产标识/数据对应的行为匹配数据库、目的地址信息与用户访问的业务系统标识/数据对应的行为匹配数据库，以及源地址信息与用户登录区域标识/数据对应的行为匹配数据库。消息中间件为执行实时任务的软件平台，可以实现设备日志的信息与登录标识/登录数据的匹配，将设备日志的信息输入例如kafka服务器集群的消息中间件，通过消息中间件的数据流实时任务，基于设备日志的信息，在行为匹配数据库中可以匹配到第一登录标识及第一待匹配登录数据，例如，设备日志的信息为用户名信息，数据流实时任务可以执行如下步骤：基于该用户名信息，到用户名信息与用户个人标识/数据对应的行为匹配数据库进行匹配，匹配得到该用户名信息对应的用户个人标识以及用户个人数据，则用户个人标识以及用户个人数据组成当前登录日志。

在得到待检测用户的当前登录日志后，可以将当前登录日志存储至如hbase等数据库中，以供可视化日志检索使用，并且，服务器在进行登录异常检测时，可以从数据库中获取当前登录日志。

s102，从第一待匹配登录数据中，提取属于异常登录标识库中第二登录标识的第二待匹配登录数据。

其中，异常登录标识库为用于判断用户是否登录异常的多个登录标识的集合，至少一第一登录标识包括第二登录标识。

登录标识用于标识用户在访问网络时所产生的登录行为，异常登录标识库中至少可以包括以下登录标识中的一种：用户登录区域标识、用户登录失败标识、用户访问应用系统失败标识、同一ip地址同时处于在线状态标识、同一用户同时处于在线状态标识、用户一定时间段内登录多次标识、用户在距离较远的多个区域登录标识、用户访问的应用系统标识、用户登录的终端标识等。异常登录标识库中的登录标识可以根据需求设定，例如，关注用户登录区域和用户访问失败的情况，则异常登录标识库中可以包括用户登录区域标识、用户登录失败标识和用户访问应用系统失败标识。多个登录标识的综合考量，可以提高判断用户异常登录的准确率。

当前登录日志中可能包含有除异常登录标识库中第二登录标识以外的登录标识，例如，第二登录标识包括用户登录区域标识、用户登录失败标识和用户访问应用系统失败标识，而当前登录日志中的第一登录标识包括用户登录区域标识、用户登录失败标识、用户访问应用系统失败标识、同一ip地址同时处于在线状态标识和同一用户同时处于在线状态标识。当前登录日志中包含了除第二登录标识以外的同一ip地址同时处于在线状态标识和同一用户同时处于在线状态标识，为了检测用户当前是否登录异常，首先需要从当前登录日志的第一待匹配登录数据中，提取属于异常登录标识库中第二登录标识的第二待匹配登录数据，以此来作为用户是否登录异常的判定条件。

s103，判断第二待匹配登录数据是否与用户常用登录数据集合中属于第二登录标识的常用登录数据相匹配，若不匹配，则确定待检测用户登录异常。

其中，用户常用登录数据集合为根据待检测用户的历史登录日志，统计的属于第二登录标识的常用登录数据的集合。用户常用登录数据集合是属于异常登录标识库中第二登录标识的常用登录数据的集合，用于统计属于第二登录标识的常用登录数据。

以第二登录标识为用户登录区域标识为例，用户常用登录数据集合为待检测用户常用登录区域数据的集合，假设待检测用户常在上海登录，如果从当前登录日志中提取出待检测用户当前登录的具体区域数据为北京，而常用行为集合中常用登录区域数据为上海，则匹配不成功，从而确定待检测用户登录异常。如果从当前登录日志中提取出待检测用户当前登录的具体区域数据为上海，常用行为集合中常用登录区域数据也为上海，则匹配成功，可以确定待检测用户为合法用户。对于第二登录标识为其他类型登录标识的情况，类同于用户登录区域标识的示例，这里不再一一列举。匹配的过程可以通过例如spark实时分析任务等信息流实时任务实现。

可选的，如图2所示，用户常用登录数据集合的确定方式，可以包括如下步骤。

s201，获取待检测用户的历史登录日志，其中，历史登录日志包括至少一第三登录标识以及对应属于第三登录标识的第一历史登录数据。

历史登录日志包括的待检测用户过去在访问网络时所产生的第三登录标识及对应属于第三登录标识的第一历史登录数据，可以是对过去待检测用户在访问网络时所产生的历史设备日志进行数据扩展得到的。其中，历史登录日志的具体获取过程可以参阅前述当前登录日志的具体获取过程，本文不再赘述。

可选的，s201具体可以为：按照预设周期，获取预设周期内待检测用户的历史登录日志。

s202，从第一历史登录数据中，提取属于异常登录标识库中第二登录标识的第二历史登录数据，其中，至少一第三登录标识包括第二登录标识。

第一历史登录日志中可能包含有除异常登录标识库中第二登录标识以外的登录标识，例如，第二登录标识包括用户登录区域标识、用户登录失败标识和用户访问应用系统失败标识，而第一历史登录日志中的第三登录标识包括用户登录区域标识、用户登录失败标识、用户访问应用系统失败标识、同一ip地址同时处于在线状态标识和同一用户同时处于在线状态标识。第一历史登录日志中包含了除第二登录标识以外的同一ip地址同时处于在线状态标识和同一用户同时处于在线状态标识，需要从第一历史登录数据中，提取属于第二登录标识的第二历史登录数据，即，提取出第一历史登录日志中用户登录区域标识对应的数据、用户登录失败标识对应的数据以及用户访问应用系统失败标识对应的数据。

s203，基于属于各第二登录标识的第二历史登录数据，统计各第二登录标识对应的历史统计数据。

s204，针对每一第二登录标识，在该第二登录标识对应的历史统计数据满足该第二登录标识对应的指定基线时，确定属于该第二登录标识的第二历史登录数据为常用登录数据。

第二登录标识对应的指定基线为划分常用登录数据的依据，也就说，用来界定属于第二登录标识的第二历史登录数据是否为常用登录数据的判定依据。例如，异常登录标识库中第二登录标识为用户登录区域标识，可以将该第二登录标识对应的指定基线可以设定为用户在某个区域登录的次数比例超过90％，假设历史登录日志中，有50个登录区域数据为北京，5个登录区域数据为上海，北京的比例超过了90％，则认为北京为待检测用户的常用登录区域数据。再例如，对于异常登录标识库中第二登录标识为用户登录失败标识，可以将该第二登录标识对应的指定基线设定为用户在一天内登录失败次数小于5次。

在s203之前，本发明实施例所提供的登录异常检测方法还可以执行如下步骤：

获取各预设周期内，历史登录日志中属于各第二登录标识的第二历史登录数据的数目以及各第二登录标识对应的初始基线；

针对每一第二登录标识，基于该第二登录标识对应的初始基线，对各预设周期内属于该第二登录标识的第二历史登录数据的数目进行加权计算，得到该第二登录标识对应的指定基线。

预设周期可以为一个小时、一天、一周等，通常情况下，按天获取待检测用户每天的历史登录日志。以异常登录标识库中第二登录标识为用户登录失败标识为例，一周工作日内，获取到的待检测用户登录失败的次数分别为3次、2次、10次、1次、0次，登录失败次数越多，越说明为异常登录，因此可以利用最大次数与初始基线进行加权得到该第二登录标识对应的指定基线，例如，用户登录失败标识对应的失败最大次数为10次，而初始设置的失败次数的基线为5次，为了提高基线的准确度，可以给最大次数分配0.3的权重，给初始基线分配0.7的权重，通过加权计算：10*0.3+5*0.7＝6.5，即得到用户登录失败标识对应的指定基线为大于6.5次；当然还可以取最大次数的90％分布、95％分布等，再与初始基线进行加权得到指定基线，由于用户登录失败最大次数下用户已登录异常，为了进一步提高基线的准确度，基于上例，可以取最大次数的90％，再进行加权：10*0.9*0.3+5*0.7＝6.2，即得到用户登录失败标识对应的指定基线为大于6.2次。

s205，将属于各第二登录标识的常用登录数据构成的集合确定为用户常用登录数据集合。

本实施例中，还可以根据第一历史登录数据中属于异常登录标识库中第二登录标识的第二历史登录数据，构建用户行为知识库，再按照指定基线统计用户行为知识库中满足第二登录标识对应的指定基线的常用登录数据，从而建立用户常用登录数据集合。构建用户行为知识库的过程可以通过例如spark统计学习任务等信息流统计任务实现，信息流统计任务为用户行为知识库构建的具体软件实现方式，信息流统计任务在实现时主要执行以下步骤：根据第一历史登录数据中属于异常登录标识库中第二登录标识的第二历史登录数据，进行用户行为知识库的构建，这里不限定具体的软件实现方式，可以采用任意的编程语言。

为了达到更佳的判断准确率，例如，更为严格的要求用户登录失败的次数，之前设置的基线为大于6次，而为了达到更为严格的要求，将基线设置到大于4次，可以通过例如重新设置加权权值、分布概率等，或者重新获取历史登录日志中的历史登录数据进行分析等，对基线进行调整或者重新学习。

可选的，在s103之后，本发明实施例所提供的方法还可以执行以下步骤：

根据第二待匹配登录数据，输出关于待检测用户的异常告警信息。

异常告警信息可以包括告警指示，用来提醒管理人员有用户异常登录；异常告警信息还可以包括异常原因，例如登录区域不在常用区域、登录时间不是常用时间、登录失败次数过多等；异常告警信息还可以包括异常的威胁度，例如登录失败次数过多的威胁度较高，则会输出高威胁度的信息。具体的输出方式，可以是将异常告警信息输出给统一告警平台，由统一告警平台根据异常告警信息进行异常告警。

应用本实施例，通过获取待检测用户的当前登录日志，从当前登录日志所包括的第一待匹配登录数据中，提取属于异常登录标识库中第二登录标识的第二待匹配登录数据，判断第二待匹配登录数据是否与用户常用登录数据集合中属于第二登录标识的常用登录数据相匹配，若不匹配，则确定待检测用户登录异常。异常登录标识库为用于判断用户是否登录异常的多个登录标识的集合，用户常用登录数据集合是根据待检测用户的历史登录日志，统计得到的属于第二登录标识的常用登录数据的集合，根据待检测用户的历史登录日志来考量该用户的当前登录是否存在异常，无需人工手动设置合法登录数据，用户常用登录数据集合中参考了用户历史登录日志的常用登录数据，从而提高了判断用户登录异常的准确率。本申请实施例能够更为全面的考量用户的登录行为，不仅仅衡量某一种登录行为，实现了更为完整的判断用户是否登录异常，有效的避免了因人工设置的片面性而导致的判断结果准确率低的问题。

相应于上述方法实施例，本发明实施例提供了一种登录异常检测装置，如图3所示，该登录异常检测装置可以包括：

获取模块310，用于获取待检测用户的当前登录日志，所述当前登录日志包括至少一第一登录标识以及对应属于所述第一登录标识的第一待匹配登录数据；

提取模块320，用于从所述第一待匹配登录数据中，提取属于异常登录标识库中第二登录标识的第二待匹配登录数据，所述异常登录标识库为用于判断用户是否登录异常的多个登录标识的集合，所述至少一第一登录标识包括所述第二登录标识；

判断模块330，用于判断所述第二待匹配登录数据是否与用户常用登录数据集合中属于所述第二登录标识的常用登录数据相匹配，若不匹配，则确定所述待检测用户登录异常，所述用户常用登录数据集合为根据所述待检测用户的历史登录日志，统计的属于所述第二登录标识的常用登录数据的集合。

可选的，所述获取模块310，具体可以用于：

获取待检测用户在通过各网络接入设备访问网络时，各网络接入设备产生的设备日志；

针对每一设备日志，进行归一化处理，得到处理后的第一设备日志，所述第一设备日志至少包括用户名信息、目的地址信息及源地址信息；

基于所述用户名信息、所述目的地址信息及所述源地址信息，从对应的预设行为匹配数据库中，分别查找与所述用户名信息、所述目的地址信息及所述源地址信息相匹配的第一登录标识及对应属于所述第一登录标识的第一待匹配登录数据，并根据所述第一登录标识及所述第一待匹配登录数据，得到所述待检测用户的当前登录日志。

可选的，所述获取模块310，还可以用于获取所述待检测用户的历史登录日志，所述历史登录日志包括至少一第三登录标识以及对应属于所述第三登录标识的第一历史登录数据；

所述提取模块320，还可以用于从所述第一历史登录数据中，提取属于所述异常登录标识库中所述第二登录标识的第二历史登录数据，所述至少一第三登录标识包括所述第二登录标识；

所述装置还可以包括：

统计模块，用于基于属于各第二登录标识的第二历史登录数据，统计各第二登录标识对应的历史统计数据；

确定模块，用于针对每一第二登录标识，在该第二登录标识对应的历史统计数据满足该第二登录标识对应的指定基线时，确定属于该第二登录标识的第二历史登录数据为常用登录数据；将属于各第二登录标识的常用登录数据构成的集合确定为所述用户常用登录数据集合。

可选的，所述获取模块310，具体可以用于按照预设周期，获取所述预设周期内所述待检测用户的多个历史登录日志；

所述获取模块310，还可以用于获取各预设周期内，所述历史登录日志中属于各第二登录标识的第二历史登录数据的数目以及各第二登录标识对应的初始基线；

所述装置还可以包括：

加权模块，用于针对每一第二登录标识，基于该第二登录标识对应的初始基线，对所述各预设周期内属于该第二登录标识的第二历史登录数据的数目进行加权计算，得到该第二登录标识对应的指定基线。

可选的，所述装置还可以包括：

输出模块，用于根据所述第二待匹配登录数据，输出关于所述待检测用户的异常告警信息。

应用本实施例，通过获取待检测用户的当前登录日志，从当前登录日志所包括的第一待匹配登录数据中，提取属于异常登录标识库中第二登录标识的第二待匹配登录数据，判断第二待匹配登录数据是否与用户常用登录数据集合中属于第二登录标识的常用登录数据相匹配，若不匹配，则确定待检测用户登录异常。异常登录标识库为用于判断用户是否登录异常的多个登录标识的集合，用户常用登录数据集合是根据待检测用户的历史登录日志，统计得到的属于第二登录标识的常用登录数据的集合，根据待检测用户的历史登录日志来考量该用户的当前登录是否存在异常，无需人工手动设置合法登录数据，用户常用登录数据集合中参考了用户历史登录日志的常用登录数据，从而提高了判断用户登录异常的准确率。本申请实施例更为全面的考量用户的登录行为，不仅仅衡量某一种登录行为，实现了更为完整的判断用户是否登录异常，有效的避免了因人工设置的片面性而导致的判断结果准确率低的问题。

本发明实施例还提供了一种服务器，如图4所示，包括处理器401和机器可读存储介质402，所述机器可读存储介质402存储有能够被所述处理器401执行的机器可执行指令，所述处理器401被所述机器可执行指令促使执行本发明实施例提供的登录异常检测方法的所有步骤。

上述计算机可读存储介质可以包括ram(randomaccessmemory，随机存取存储器)，也可以包括nvm(non-volatilememory，非易失性存储器)，例如至少一个磁盘存储器。可选的，计算机可读存储介质还可以是至少一个位于远离前述处理器的存储装置。

上述处理器可以是通用处理器，包括cpu(centralprocessingunit，中央处理器)、np(networkprocessor，网络处理器)等；还可以是dsp(digitalsignalprocessor，数字信号处理器)、asic(applicationspecificintegratedcircuit，专用集成电路)、fpga(field-programmablegatearray，现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

本实施例中，处理器401通过读取机器可读存储介质402中存储的机器可执行指令，被机器可执行指令促使能够实现：通过获取待检测用户的当前登录日志，从当前登录日志所包括的第一待匹配登录数据中，提取属于异常登录标识库中第二登录标识的第二待匹配登录数据，判断第二待匹配登录数据是否与用户常用登录数据集合中属于第二登录标识的常用登录数据相匹配，若不匹配，则确定待检测用户登录异常。异常登录标识库为用于判断用户是否登录异常的多个登录标识的集合，用户常用登录数据集合是根据待检测用户的历史登录日志，统计得到的属于第二登录标识的常用登录数据的集合，根据待检测用户的历史登录日志来考量该用户的当前登录是否存在异常，无需人工手动设置合法登录数据，用户常用登录数据集合中参考了用户历史登录日志的常用登录数据，从而提高了判断用户登录异常的准确率。

另外，为了提高判断用户登录异常的准确率，本发明实施例提供了一种机器可读存储介质，存储有机器可执行指令，在被处理器调用和执行时，所述机器可执行指令促使所述处理器执行本发明实施例所提供的登录异常检测方法的所有步骤。

本实施例中，机器可读存储介质在运行时执行本发明实施例所提供的登录异常检测方法的机器可执行指令，因此能够实现：通过获取待检测用户的当前登录日志，从当前登录日志所包括的第一待匹配登录数据中，提取属于异常登录标识库中第二登录标识的第二待匹配登录数据，判断第二待匹配登录数据是否与用户常用登录数据集合中属于第二登录标识的常用登录数据相匹配，若不匹配，则确定待检测用户登录异常。异常登录标识库为用于判断用户是否登录异常的多个登录标识的集合，用户常用登录数据集合是根据待检测用户的历史登录日志，统计得到的属于第二登录标识的常用登录数据的集合，根据待检测用户的历史登录日志来考量该用户的当前登录是否存在异常，无需人工手动设置合法登录数据，用户常用登录数据集合中参考了用户历史登录日志的常用登录数据，从而提高了判断用户登录异常的准确率。

对于服务器以及机器可读存储介质实施例而言，由于其涉及的方法内容基本相似于前述的方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置、服务器及机器可读存储介质实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。