一种基于IP地址的邮件异常登录检测方法及系统与流程

本发明涉及互联网技术领域，特别是涉及一种基于ip地址的邮件异常登录检测方法、系统、服务器及可读存储介质。

背景技术：

基于电子邮箱具有收发方便、快捷的优点，电子邮箱现已成为现代人必不可少的办公、通信工具。

但是，由于部分电子邮箱用户对互联网电子邮件的私密性、安全性等认识不足，让骗子钻了空子，使用户蒙受经济损失的邮件安全事件时有发生。具体的，犯罪分子通常利用木马病毒或钓鱼网站盗取企业的电子邮箱账号后实施网络诈骗，以及一些网络黑客从网站盗取用户信息库后，将用户信息倒卖、分销给钓鱼公司，后者再借助多种高科技手段实施进一步诈骗。

目前，针对邮件账号异常登陆的安全问题，常见的告警检测方式大多直接局域ip地址判断是否进行告警。但是，在随机分配ip情况下，正在使用的ip时经常发生变动；且用户所在网络服务提供商有多个网络出口，并且会经常变动。由于存在外界引发的ip变动的情况较多，因此经常会产生误报，而误报后，还需用户进行一些安全设置工作，给邮件用户带来许多不便。

综上所述，如何有效地解决异常登录检测准确率等问题，是目前本领域技术人员急需解决的技术问题。

技术实现要素：

本发明的目的是提供一种基于ip地址的邮件异常登录检测方法、系统、服务器及可读存储介质，以提高异常登录检测准确率，提升用户体验。

为解决上述技术问题，本发明提供如下技术方案：

一种基于ip地址的邮件异常登录检测方法，包括：

接收目标用户的登录请求，并从预设邮件登录信息库中读取所述目标用户的历史登录地理位置信息；

对所述登录请求进行解析，获得所述目标用户的当前ip地址，以及所述当前ip地址对应的目标登录地理位置；

判断所述目标登录地理位置与所述历史登录地理位置信息是否匹配；

若判断结果为否，则确定所述登录请求为异常登录请求，并告警。

优选地，所述判断所述目标登录地理位置与所述历史登录地理位置信息是否匹配，包括：

从所述历史登录地理位置信息中，确定出最近登录地理位置，以及所述最近登录地理位置对应的最近登录时间；

判断所述最近登录时间与此次登录时间的时间间隔是否小于预设阈值；

如果是，则判断所述目标登录地理位置与所述最近登录地理位置是否一致。

优选地，所述判断所述目标登录地理位置与所述历史登录地理位置信息是否匹配，包括：

利用所述历史登录地理位置信息，确定出所述目标用户的常用登录地理位置集合；

判断所述目标登录地理位置是否归属于所述常用登录地理位置集合。

优选地，所述利用所述历史登录地理位置信息，确定出所述目标用户的常用登录地理位置集合，包括：

利用k-means聚类算法对所述历史登录地理位置信息进行聚类分析，获得所述目标用户的常用登录地理位置集合。

优选地，在判断所述目标登录地理位置与所述历史登录地理位置信息是否匹配之后，还包括：

将所述目标登录地理位置、登录时间、所述目标登录账户、是否成功登录记录在所述邮件登录信息库中。

优选地，对所述登录请求进行解析，获得所述目标用户的当前ip地址，以及所述当前ip地址对应的目标登录地理位置，包括：

读取所述登录请求对应的目标邮件协议；

利用所述目标邮件协议对所述登录请求进行解析，获得所述目标用户的当前ip地址；

利用地理位置对应字典，确定所述当前ip地址对应的所述目标登录地理位置。

优选地，还包括：

利用流量镜像，获得流量信息；

对所述流量信息进行解析，获得邮件登录信息；其中，所述邮件登录信息包括：邮件登录账户、邮件登录ip、邮件登录时间、是否成功登录；

从所述邮件登录信息中确定出所述目标用户的目标登录记录，并利用目标登录记录确定出所述历史登录地理位置信息。

一种基于ip地址的邮件异常登录检测系统，包括：

登录请求接收模块，用于接收目标用户的登录请求，并从预设邮件登录信息库中读取所述目标用户的历史登录地理位置信息；

目标登录地理位置确定模块，用于对所述登录请求进行解析，获得所述目标用户的当前ip地址，以及所述当前ip地址对应的目标登录地理位置；

异常判断模块，用于判断所述目标登录地理位置与所述历史登录地理位置信息是否匹配；

邮件异常告警模块，用于若判断结果为否，则确定所述登录请求为异常登录请求，并告警。

一种基于ip地址的邮件异常登录检测服务器，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现上述基于ip地址的邮件异常登录检测方法的步骤。

一种可读存储介质，所述可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述基于ip地址的邮件异常登录检测方法的步骤。

应用本发明实施例所提供的方法，接收目标用户的登录请求，并从预设邮件登录信息库中读取目标用户的历史登录地理位置信息；对登录请求进行解析，获得目标用户的当前ip地址，以及当前ip地址对应的目标登录地理位置；判断目标登录地理位置与历史登录地理位置信息是否匹配；若判断结果为否，则确定登录请求为异常登录请求，并告警。

考虑到大多数电子邮件用户在使用电子邮件时，通常不会在登录地理位置上产生较大的变动。另外，又因地理位置对应字典属于开源字典，可以从公网中获取，因而可通过对登录请求进行解析，并确定出目标用户的当前ip地址。基于当前ip地址，从地理位置对应字典中便可确定出目标用户的目标登录地理位置，即当前用户所在的地域范围。然后，将目标登录地理位置与预先存储在邮件登录信息中的目标用户的历史登录地理位置信息进行匹配性判断，便可确定出此次登录是否异常。即，在目标登录地理位置与历史登录地理位置信息不匹配时，可确定出此次登录异常，即该登录请求为异常登录请求，此时可进行告警。如此，即使在目标用户的ip地址在外界的作用下发生后，只要目标用户的实际登录地理位置未发生变化，便不会输出告警，即不会因ip地址发生变化而产生错误告警，可提升异常登录检测的准确率，提升用户体验。

相应地，本发明实施例还提供了与上述基于ip地址的邮件异常登录检测方法相对应的基于ip地址的邮件异常登录检测系统、服务器和可读存储介质，具有上述技术效果，在此不再赘述。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例中一种基于ip地址的邮件异常登录检测方法的实施流程图；

图2为本发明实施例中一种基于ip地址的邮件异常登录检测系统的结构示意图；

图3为本发明实施例中一种基于ip地址的邮件异常登录检测服务器的结构示意图；

图4为本发明实施例中一种基于ip地址的邮件异常登录检测服务器的具体结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面结合附图和具体实施方式对本发明作进一步的详细说明。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例一：

请参考图1，图1为本发明实施例中一种基于ip地址的邮件异常登录检测方法的流程图，该方法包括以下步骤：

s101、接收目标用户的登录请求，并从预设邮件登录信息库中读取目标用户的历史登录地理位置信息。

在本发明实施例中，可以预先设置一个邮件登录信息库，并在该邮件登录信息库中存储各个邮件用户的登录信息，如历史登录地理位置信息、登录时间等常见的登录信息。需要说明的是，其中历史登录地理位置信息基于用户的登录ip，并根据地理位置对应字典查询获得的。

具体的，该邮件登录信息库中的登录信息具体可通过执行以下步骤获得：

步骤一、利用流量镜像，获得流量信息；

步骤二、对流量信息进行解析，获得邮件登录信息；其中，邮件登录信息包括：邮件登录账户、邮件登录ip、邮件登录时间、是否成功登录；

步骤三、从邮件登录信息中确定出目标用户的目标登录记录，并利用目标登录记录确定出历史登录地理位置信息。

为便于描述，下面将上述三个步骤结合起来进行说明。

在邮件服务器对外提供邮件服务时，通过流量镜像的方式，获得流经该邮件服务器的流量信息。具体的，为了便于通过流量镜像的方式获得流量信息，还可对邮件服务器配置相应的信息，如配置邮件服务器ip、服务端口。另外，本文中所指的流量信息为流经邮件服务器的各种数据信息包。利用邮件协议，对流量信息进行解析，可获得邮件登录信息。其中，邮件登录信息包括邮件登录账户、邮件登录ip、邮件登录时间、是否成功登录。其中，解析流量信息，具体为，由于邮件的协议有多种，根据协议不同，所获取的邮件服务器流量信息内所包含的信息及标识不同。因此要对流量信息进行解析，首先要获取邮件服务器协议。获取邮件服务器协议之后，根据邮件服务器协议，获取流量信息内邮件登录帐号存储位置，进一步获取邮件登录帐号；根据邮件服务器协议，获取流量信息内邮件登录ip存储位置，进一步获取邮件登录ip；根据邮件服务器协议，获取流量信息内邮件登陆时间存储位置，进一步获取邮件登陆时间。另外，还可根据流量信息确定是否成功登录。完成对流量信息的解析之后，将解析获得的邮件登录信息保存至邮件登录信息库。即，在邮件登录信息库保存的邮件登录信息包括但不限于以下字段：邮件登录帐号、邮件登录ip、邮件登录时间、是否成功登录。

邮件服务器接收目标用户发送的登录请求。该登录请求具体可以为按照邮件协议，发送的请求登录的信息包。接收到登录请求之后，从预设的邮件登录信息库中读取目标用户的历史登录地理位置信息。

s102、对登录请求进行解析，获得目标用户的当前ip地址，以及当前ip地址对应的目标登录地理位置。

考虑到，正常用户在使用电子邮箱时，不会有较大的地域变化差异。例如，若存在一个账号，在十分钟前的登录地理位置是上海，但十分钟后便接收到同一账号的登录请求，但此次登录地理位置是北京。显然，这种登录是不符合常理的，为异常登录的可能性较高。基于此，在接收到登录请求之后，可对登录请求进行解析，获得目标用户的当前ip地址，以及当前ip地址对应的目标登录地理位置。也就是说，从登录请求中便可确定出目标用户的当前ip地址，以及当前ip地址对应的目标登录地理位置，即当前用户所在地理位置。获得当前ip地址和目标登录地理位置的方式至少包括但不限于以下两种方式：

方式一：

对邮件协议进行修改，使得客户端在发出登录请求时，进行定位，并将ip地址和定位信息写入登录请求中，如此，邮件服务器便可在接收到登录请求时，直接根据邮件协议读取登录请求中的当前ip地址和当前ip地址对应的目标登录地理位置。

方式二：

由于地理位置对应字典中存储了ip地址与ip地址对应的地理位置，且地理位置对应字典可从公网中获取。因此，还可无需对邮件协议进行修改便可对登录请求进行解析获得ip地址以及目标登录地理位置。具体实现步骤包括：

步骤一、读取登录请求对应的目标邮件协议；

步骤二、利用目标邮件协议对登录请求进行解析，获得目标用户的当前ip地址；

步骤三、利用地理位置对应字典，确定当前ip地址对应的目标登录地理位置。

为了便于描述，下面将上述三个步骤结合起来进行说明。

即，首先读取登录请求对应的目标邮件协议，利用目标邮件协议对登录请求进行解析，可获得目标的当前ip地址，如根据邮件服务器协议，获取登录请求对应的流量包内邮件登录ip存储位置，进一步获取邮件登录ip。然后，在地里位置对应字典中，确定出当前ip对应的目标登录地理位置。

获得ip地址和目标登录地理位置之后，可执行步骤s103的操作。

s103、判断目标登录地理位置与历史登录地理位置信息是否匹配。

得到目标登录地理位置和目标用户的历史登录地理位置信息之后，便可通过判断目标登录地理位置与历史登录地理位置信息是否匹配，进一步确定当前登录请求是否异常。

具体的，判断信息是否匹配，包括但不限于以下两种可选方式：

方式一、基于上次登录地理位置进行判断：

从历史登录地理位置信息中，确定出最近登录地理位置，以及最近登录地理位置对应的最近登录时间；判断最近登录时间与此次登录时间的时间间隔是否小于预设阈值；如果是，则判断目标登录地理位置与最近登录地理位置是否一致。

其中，预设阈值可按照用户的需求进行设置，例如可设置为10分钟、1小时或1天。即，从历史登录地理位置信息中确定出与最近登录地理位置信息，以及该最近登录地理位置信息对应的最近登录时间。判断最近登录时间与当前登录时间的时间间隔是否小于预设阈值。如果否，则可无操作；如果是，基于正常情况下本次登录与最近登录应满足用户登录地理位置信息一致。因此，可通过判断目标登录地理位置信息与最近登录位置信息是否一致，进而确定是否而异常情况。

方式二、基于常用登录地理位置进行判断：

大多数用户登录邮件的地理位置多在办公室、家中、学校或相对固定的休闲娱乐场所。即，每一个用户均对应一个或多个常用登录地理位置。因此，可通过判断目标登录地理位置是否属于常用地理位置的方式，确定登录是否异常。具体的，可利用历史登录地理位置信息，确定出目标用户的常用登录地理位置集合；判断目标登录地理位置是否归属于常用登录地理位置集合。在确定目标用户的常用登录位置集合时，可直接对历史登录地理位置信息进行统计，选择重复出现次数大于阈值的地理登录位置确定为常用登录地理位置，或对统计结果进行排序，取排名靠前的若干个地理登录位置确定为常用登录地理位置。然后，将确定出常用登录位置添加进常用地理位置集合中，并判断目标登录地理位置是否归属于常用登录地理集合。

优选地，在确定常用登录地理位置集合时，还可利用k-means聚类算法对历史登录地理位置信息进行聚类分析，获得目标用户的常用登录地理位置集合。其中，用于聚类分析的k值的取值可由k-means聚类算法根据样本数据不同，采用k-means聚类算法最优化后给定取值建议，也可以通过经验进行调整。例如，随机的选择k个中心，用样本(即历史登录地理位置信息中的历史登录地理位置)分别减这个中心值，得到距离类别中心最近的类别，归为同一个簇。然后，将这个簇的中心值归为这个簇的所有样本的平均值，并重复用样本分别减这个中心值，得到距离类别中心最近的类别，归为同一个簇的操作，直到类别中心小于某个阈值也就是终止条件。

需要说明的是，上述两种判断方式，可并行、可串行、可分别单独使用。若判断结果为是，即表明登录请求属于正常登录请求，则可按照常规的登录处理方式处理该登录请求；若判断结果为否，即表明该登录请求可能是非法用户操作的，属于异常情况，则可执行步骤s104的操作。

s104、确定登录请求为异常登录请求，并告警。

在判断结果为否时，将登录请求确定为异常登录请求，此时可输出告警信息如输出告警提示信息。当然，还可对目标用户进行身份多重验证，以确保登录操作为目标用户本人所为，例如可通过手机短信验证、密保验证问题等常见方式对用户身份进行再次校验。还可直接拒绝用户登录请求，并要求延时一段时间之后方可访问服务器。

应用本发明实施例所提供的方法，接收目标用户的登录请求，并从预设邮件登录信息库中读取目标用户的历史登录地理位置信息；对登录请求进行解析，获得目标用户的当前ip地址，以及当前ip地址对应的目标登录地理位置；判断目标登录地理位置与历史登录地理位置信息是否匹配；若判断结果为否，则确定登录请求为异常登录请求，并告警。

考虑到大多数电子邮件用户在使用电子邮件时，通常不会在登录地理位置上产生较大的变动。另外，又因地理位置对应字典属于开源字典，可以从公网中获取，因而可通过对登录请求进行解析，并确定出目标用户的当前ip地址。基于当前ip地址，从地理位置对应字典中便可确定出目标用户的目标登录地理位置，即当前用户所在的地域范围。然后，将目标登录地理位置与预先存储在邮件登录信息中的目标用户的历史登录地理位置信息进行匹配性判断，便可确定出此次登录是否异常。即，在目标登录地理位置与历史登录地理位置信息不匹配时，可确定出此次登录异常，即该登录请求为异常登录请求，此时可进行告警。如此，即使在目标用户的ip地址在外界的作用下发生后，只要目标用户的实际登录地理位置未发生变化，便不会输出告警，即不会因ip地址发生变化而产生错误告警，可提升异常登录检测的准确率，提升用户体验。

优选地，在判断目标登录地理位置与历史登录地理位置信息是否匹配之后，还可将目标登录地理位置、登录时间、目标登录账户、是否成功登录记录在邮件登录信息库中。如此，目标用户在下次发出登录请求时，邮件服务器便可基于本次邮件登录信息对登录请求进行判断。

实施例二：

相应于上面的方法实施例，本发明实施例还提供了一种基于ip地址的邮件异常登录检测系统，下文描述的基于ip地址的邮件异常登录检测系统与上文描述的基于ip地址的邮件异常登录检测方法可相互对应参照。

参见图2所示，该系统包括以下模块：

登录请求接收模块101，用于接收目标用户的登录请求，并从预设邮件登录信息库中读取目标用户的历史登录地理位置信息；

目标登录地理位置确定模块102，用于对登录请求进行解析，获得目标用户的当前ip地址，以及当前ip地址对应的目标登录地理位置；

异常判断模块103，用于判断目标登录地理位置与历史登录地理位置信息是否匹配；

邮件异常告警模块104，用于若判断结果为否，则确定登录请求为异常登录请求，并告警。

应用本发明实施例所提供的系统，接收目标用户的登录请求，并从预设邮件登录信息库中读取目标用户的历史登录地理位置信息；对登录请求进行解析，获得目标用户的当前ip地址，以及当前ip地址对应的目标登录地理位置；判断目标登录地理位置与历史登录地理位置信息是否匹配；若判断结果为否，则确定登录请求为异常登录请求，并告警。

考虑到大多数电子邮件用户在使用电子邮件时，通常不会在登录地理位置上产生较大的变动。另外，又因地理位置对应字典属于开源字典，可以从公网中获取，因而可通过对登录请求进行解析，并确定出目标用户的当前ip地址。基于当前ip地址，从地理位置对应字典中便可确定出目标用户的目标登录地理位置，即当前用户所在的地域范围。然后，将目标登录地理位置与预先存储在邮件登录信息中的目标用户的历史登录地理位置信息进行匹配性判断，便可确定出此次登录是否异常。即，在目标登录地理位置与历史登录地理位置信息不匹配时，可确定出此次登录异常，即该登录请求为异常登录请求，此时可进行告警。如此，即使在目标用户的ip地址在外界的作用下发生后，只要目标用户的实际登录地理位置未发生变化，便不会输出告警，即不会因ip地址发生变化而产生错误告警，可提升异常登录检测的准确率，提升用户体验。

在本发明的一种具体实施方式中，异常判断模块103，具体用于从历史登录地理位置信息中，确定出最近登录地理位置，以及最近登录地理位置对应的最近登录时间；判断最近登录时间与此次登录时间的时间间隔是否小于预设阈值；如果是，则判断目标登录地理位置与最近登录地理位置是否一致。

在本发明的一种具体实施方式中，异常判断模块103，具体用于利用历史登录地理位置信息，确定出目标用户的常用登录地理位置集合；判断目标登录地理位置是否归属于常用登录地理位置集合。

在本发明的一种具体实施方式中，异常判断模块103，具体用于利用k-means聚类算法对历史登录地理位置信息进行聚类分析，获得目标用户的常用登录地理位置集合。

在本发明的一种具体实施方式中，还包括：

登录信息记录模块，用于在判断目标登录地理位置与历史登录地理位置信息是否匹配之后，将目标登录地理位置、登录时间、目标登录账户、是否成功登录记录在邮件登录信息库中。

在本发明的一种具体实施方式中，目标登录地理位置确定模块102，具体用于读取登录请求对应的目标邮件协议；利用目标邮件协议对登录请求进行解析，获得目标用户的当前ip地址；利用地理位置对应字典，确定当前ip地址对应的目标登录地理位置。

在本发明的一种具体实施方式中，还包括：

历史地理位置信息记录模块，用于利用流量镜像，获得流量信息；对流量信息进行解析，获得邮件登录信息；其中，邮件登录信息包括：邮件登录账户、邮件登录ip、邮件登录时间、是否成功登录；从邮件登录信息中确定出目标用户的目标登录记录，并利用目标登录记录确定出历史登录地理位置信息。

实施例三：

相应于上面的方法实施例，本发明实施例还提供了一种基于ip地址的邮件异常登录检测服务器，下文描述的一种基于ip地址的邮件异常登录检测服务器与上文描述的一种基于ip地址的邮件异常登录检测方法可相互对应参照。

参见图3所示，该基于ip地址的邮件异常登录检测服务器包括：

存储器d1，用于存储计算机程序；

处理器d2，用于执行计算机程序时实现上述方法实施例的基于ip地址的邮件异常登录检测方法的步骤。

具体的，请参考图4，图4为本实施例提供的一种基于ip地址的邮件异常登录检测服务器的具体结构示意图，该基于ip地址的邮件异常登录检测服务器可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上处理器(centralprocessingunits，cpu)322(例如，一个或一个以上处理器)和存储器332，一个或一个以上存储应用程序342或数据344的存储介质330(例如一个或一个以上海量存储服务器)。其中，存储器332和存储介质330可以是短暂存储或持久存储。存储在存储介质330的程序可以包括一个或一个以上模块(图示没标出)，每个模块可以包括对数据处理服务器中的一系列指令操作。更进一步地，中央处理器322可以设置为与存储介质330通信，在基于ip地址的邮件异常登录检测服务器301上执行存储介质330中的一系列指令操作。

基于ip地址的邮件异常登录检测服务器301还可以包括一个或一个以上电源326，一个或一个以上有线或无线网络接口350，一个或一个以上输入输出接口358，和/或，一个或一个以上操作系统341。例如，windowsservertm，macosxtm，unixtm，linuxtm，freebsdtm等。

上文所描述的基于ip地址的邮件异常登录检测方法中的步骤可以由基于ip地址的邮件异常登录检测服务器的结构实现。

实施例四：

相应于上面的方法实施例，本发明实施例还提供了一种可读存储介质，下文描述的一种可读存储介质与上文描述的一种基于ip地址的邮件异常登录检测方法可相互对应参照。

一种可读存储介质，可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现上述方法实施例的基于ip地址的邮件异常登录检测方法的步骤。

该可读存储介质具体可以为u盘、移动硬盘、只读存储器(read-onlymemory，rom)、随机存取存储器(randomaccessmemory，ram)、磁碟或者光盘等各种可存储程序代码的可读存储介质。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。