專利名稱:異常登錄檢測(cè)方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)系統(tǒng)安全領(lǐng)域,尤其涉及一種對(duì)系統(tǒng)登錄過程中的異常登錄行為檢測(cè)的方法及裝置����。
背景技術(shù):
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,很多傳統(tǒng)行業(yè)都在英特網(wǎng)上以B/S模式����,或C/S模式提供業(yè)務(wù)服務(wù),用戶可以使用任意的終端進(jìn)行登錄操作����,以完成與系統(tǒng)的交互。例如隨著電子商務(wù)的快速發(fā)展��,用戶可以使用不同的設(shè)備登錄在線交易系統(tǒng)的服務(wù)器,完成查詢、轉(zhuǎn)賬�����、付款、 買賣等涉及實(shí)物財(cái)產(chǎn)的金融活動(dòng)��。此類在線系統(tǒng)提供了便捷����,但是同時(shí)也具備一定的風(fēng)險(xiǎn)。 例如不法分子利用黑客技術(shù)盜取用戶的賬戶密碼���,然后進(jìn)行窺探他人隱私���、甚至非法的財(cái)產(chǎn)侵占等不法活動(dòng)。現(xiàn)有的服務(wù)提供系統(tǒng)(例如在線交易系統(tǒng))的服務(wù)器端只能驗(yàn)證用戶的賬戶密碼以識(shí)別用戶身份���,而無法通過用戶的登錄數(shù)據(jù)驗(yàn)證該賬戶密碼是否被非法分子所利用�,因此安全系數(shù)較低���。
發(fā)明內(nèi)容
針對(duì)上述技術(shù)問題�,本發(fā)明提供了一種異常登錄檢測(cè)方法及裝置�,可以通過分析用戶的登錄數(shù)據(jù)提高在線交易系統(tǒng)的安全性。為達(dá)到上述目的,一方面�����,本發(fā)明提供了一種異常登錄檢測(cè)方法�,該方法包括接收用戶的登錄行為的屬性數(shù)據(jù);獲取與該用戶對(duì)應(yīng)的行為標(biāo)準(zhǔn)���,其中所述行為標(biāo)準(zhǔn)至少記錄一組登錄行為的歷史屬性數(shù)據(jù)��,并記錄根據(jù)該至少一組歷史登錄行為數(shù)據(jù)的統(tǒng)計(jì)結(jié)果生成的判定值����;并根據(jù)該判定值與預(yù)設(shè)閾值進(jìn)行比較��,檢測(cè)所述登錄行為數(shù)據(jù)是否存在異常���;若所述登錄行為不存在異常�,則正常提供服務(wù)�����,若所述登錄行為存在異常�,則發(fā)出預(yù)警通知或中止提供服務(wù)����。另一方面��,本發(fā)明提供了一種異常登錄檢測(cè)裝置����,該裝置包括接收模塊����,用于接收用戶的登錄行為的屬性數(shù)據(jù);檢測(cè)模塊���,用于獲取與該用戶對(duì)應(yīng)的行為標(biāo)準(zhǔn)��,其中所述行為標(biāo)準(zhǔn)至少記錄一組登錄行為的歷史屬性數(shù)據(jù)��,并記錄根據(jù)該至少一組歷史登錄行為數(shù)據(jù)的統(tǒng)計(jì)結(jié)果生成的判定值����;并根據(jù)該判定值與預(yù)設(shè)閾值進(jìn)行比較��,檢測(cè)所述登錄行為數(shù)據(jù)是否存在異常��;輸出模塊,用于若所述登錄行為不存在異常��,則提示正常提供服務(wù)�����,若所述登錄行為存在異常��,則發(fā)出預(yù)警通知或中止提供服務(wù)��。本發(fā)明提供的異常登錄檢測(cè)方法及裝置�,一方面,通過比較判定值和預(yù)設(shè)閾值判斷用戶的登錄行為數(shù)據(jù)是否存在異常�,如果存在異常自動(dòng)發(fā)出預(yù)警通知或觸發(fā)其他安全保障相關(guān)動(dòng)作,提高了服務(wù)提供系統(tǒng)的安全性���;另一方面�����,根據(jù)所述登錄行為更新所述判定值�,可以根據(jù)用戶登錄習(xí)慣的改變所導(dǎo)致的數(shù)據(jù)屬性改變來動(dòng)態(tài)調(diào)整預(yù)警標(biāo)準(zhǔn)����,實(shí)現(xiàn)智能地自學(xué)習(xí)過程���,使得異常登錄的判定更加準(zhǔn)確,減少了在服務(wù)提供系統(tǒng)管理員的工作量�,也提高了工作效率。具體而言���,在本發(fā)明中,為每個(gè)用戶設(shè)定其自己的行為標(biāo)準(zhǔn)���,該行為標(biāo)準(zhǔn)中包括至少一組行為屬性數(shù)據(jù)�。對(duì)用戶每次登錄涉及到的行為屬性數(shù)據(jù)進(jìn)行記錄����,并隨時(shí)對(duì)其賬戶下的數(shù)據(jù)記錄以及根據(jù)該數(shù)據(jù)記錄統(tǒng)計(jì)結(jié)果生成的判定值進(jìn)行更新。隨著大量數(shù)據(jù)積累�����,該判定值趨于準(zhǔn)確且穩(wěn)定���,基于該判定值與適當(dāng)閾值的比較�,可以快捷���、準(zhǔn)確地檢查出異常登錄行為�����,進(jìn)一步提高了業(yè)務(wù)服務(wù)系統(tǒng)的安全性和有效性�。
通過閱讀參照以下附圖所作的對(duì)非限制性實(shí)施例所作的詳細(xì)描述,本發(fā)明的其它特征����、目的和優(yōu)點(diǎn)將會(huì)變得更明顯圖1是根據(jù)本發(fā)明的異常登錄檢測(cè)方法的一種具體實(shí)施方式
的流程圖;圖2是根據(jù)本發(fā)明的異常登錄檢測(cè)裝置的一種具體實(shí)施方式
的結(jié)構(gòu)示意圖及其應(yīng)用狀態(tài)的示意圖��;附圖中相同或相似的附圖標(biāo)記代表相同或相似的部件����。
具體實(shí)施例方式為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚��,下面將結(jié)合附圖對(duì)本發(fā)明的實(shí)施例作詳細(xì)描述�。首先請(qǐng)參考圖1,圖1是根據(jù)本發(fā)明的基于自學(xué)習(xí)的異常登錄檢測(cè)方法的一種具體實(shí)施方式
的流程圖�����,該方法包括如下步驟步驟S101,接收用戶的登錄行為的屬性數(shù)據(jù)���,并判斷是否能夠獲取與該用戶對(duì)應(yīng)的行為標(biāo)準(zhǔn)�。如果能夠獲取與用戶對(duì)于的行為標(biāo)準(zhǔn)��,則執(zhí)行步驟S102 ����;否則,則執(zhí)行步驟 Sioe0具體地���,其中所述行為標(biāo)準(zhǔn)至少記錄一組登錄行為的歷史屬性數(shù)據(jù),并記錄根據(jù)該至少一組歷史登錄行為數(shù)據(jù)的統(tǒng)計(jì)結(jié)果生成的判定值�;步驟S102,將該判定值與預(yù)設(shè)閾值進(jìn)行比較�����,檢測(cè)所述登錄行為數(shù)據(jù)是否存在異常����;若是,則執(zhí)行步驟S103�����,若否,則執(zhí)行步驟S104 �����;步驟S103�����,發(fā)出預(yù)警通知或中止提供服務(wù)���;步驟S104����,正常提供服務(wù)��;步驟S103或步驟S104結(jié)束后�����,執(zhí)行步驟S105��,即根據(jù)所述屬性數(shù)據(jù)更新與該屬性數(shù)據(jù)對(duì)應(yīng)的所述判定值�����;可選地,當(dāng)步驟SlOl中未能獲取與該用戶對(duì)應(yīng)的行為標(biāo)準(zhǔn)�,則執(zhí)行步驟S106,即保存所述屬性數(shù)據(jù)�,根據(jù)該屬性數(shù)據(jù)計(jì)算并保存該屬性數(shù)據(jù)的判定值,并且正常提供服務(wù)����。無論是B/S模式,還是C/S模式����,現(xiàn)有的服務(wù)提供系統(tǒng)的登錄流程通常是如下步驟服務(wù)器接受登錄數(shù)據(jù)——服務(wù)器驗(yàn)證登錄數(shù)據(jù)——驗(yàn)證登錄數(shù)據(jù)通過后所述服務(wù)器提供服務(wù)——提供服務(wù)過程中服務(wù)器與終端交互數(shù)據(jù)——用戶退出登錄——服務(wù)結(jié)束,上述步驟中登錄數(shù)據(jù)和提供服務(wù)過程中的交互數(shù)據(jù)都可以反映特定用戶的登錄習(xí)慣�����,系統(tǒng)可以以上述數(shù)據(jù)作為判定登錄是否異常的標(biāo)準(zhǔn)��。典型地�,所述登錄行為是針對(duì)系統(tǒng)的登錄行為��,所述系統(tǒng)是在線交易系統(tǒng)���,例如商品在線交易系統(tǒng)�、有價(jià)證券在線交易系統(tǒng)等。本方法用于檢測(cè)在線交易系統(tǒng)是否有異常登錄�����,在現(xiàn)有技術(shù)中�����,所述在線交易系統(tǒng)通常采用B/S模式或C/S模式設(shè)計(jì)����,例如在B/S模式中,用戶通過瀏覽器(Browser)向服務(wù)器發(fā)送所述登錄行為數(shù)據(jù)���;在C/S模式中�����,用戶通過客戶端(Client)向服務(wù)器發(fā)送所述登錄行為數(shù)據(jù)�����。具體地����,在本實(shí)施例中,無論所述系統(tǒng)設(shè)計(jì)為B/S模式還是C/S模式�����,針對(duì)該系統(tǒng)的登錄行為的屬性數(shù)據(jù)包括登錄時(shí)間��、登錄IP��、登錄方式���、登錄終端類型���、登錄終端版本號(hào)、 登錄持續(xù)時(shí)長(zhǎng)和登錄操作中至少一項(xiàng)�。例如,一個(gè)用戶的登錄行為中包括以下屬性數(shù)據(jù) 2011年6月5日(登錄時(shí)間)���、1· 1. 1. 1(登錄IP)、PC登錄(登錄方式)���、PC終端(登錄終端類型)�、Version 1. 7 (登錄版本號(hào))、2小時(shí)(登錄時(shí)長(zhǎng))����、查詢操作(登錄操作)。在線交易系統(tǒng)中通常 所述用戶的賬戶名稱的字符組合是唯一的�����,因此可以使用該賬戶名稱作為所述唯一身份標(biāo)識(shí)來判斷是否存在與所述用戶對(duì)應(yīng)的行為標(biāo)準(zhǔn)�����,此外�,所述用戶的ID號(hào)通常也是唯一的,因此還可以將ID號(hào)作為所述唯一身份標(biāo)識(shí)來判斷是否存在與所述用戶對(duì)應(yīng)的行為標(biāo)準(zhǔn)����。所述行為標(biāo)準(zhǔn)內(nèi)記錄的所述判定值是根據(jù)至少一組歷史登錄行為數(shù)據(jù)的統(tǒng)計(jì)結(jié)果生成的,其具體生成方法是根據(jù)歷史登錄行為統(tǒng)計(jì)所述屬性數(shù)據(jù)的累積登錄次數(shù)和單位時(shí)間內(nèi)的登錄次數(shù)�����,并根據(jù)上述兩者計(jì)算所得所述判定值�����。其中,所述歷史登錄行為記錄了多次歷史的屬性數(shù)據(jù)與產(chǎn)生該屬性數(shù)據(jù)的時(shí)間��,因此可以根據(jù)該歷史登錄行為統(tǒng)計(jì)得到每一所述屬性數(shù)據(jù)的累積登錄次數(shù)和單位時(shí)間內(nèi)的登錄次數(shù)(所述單位時(shí)間可以根據(jù)實(shí)際需求確定��,例如一周����、十天或三十天)。以登錄IP這一屬性數(shù)據(jù)為例說明所述判定值的生成過程�,針對(duì)一個(gè)用戶,如果
在該用戶的歷史登錄數(shù)據(jù)中習(xí)慣使用IP1�����、IP2........IPn的多個(gè)IP地址來進(jìn)行登錄���,
對(duì)該用戶歷史登錄數(shù)據(jù)中的IP地址進(jìn)行統(tǒng)計(jì)�,創(chuàng)建給定長(zhǎng)度的IP地址屬性集合���,該屬性
UPl [Ctime, Mtime, Cumulation, Activity], ΙΡ2 [Ctime, Mtime,
Cumulation, Activity],.........IPn [Ctime, Mtime, Cumulation, Activity]},其中��,
Ctime為所屬IP的初次登錄時(shí)間�����,Mtime為所屬IP的最近一次登錄時(shí)間�,Cumulation為累積登錄次數(shù)�,Activity為單位時(shí)間內(nèi)的登錄次數(shù),根據(jù)競(jìng)爭(zhēng)算法獲得每個(gè)IP屬性的權(quán)重�����, 其中各IP屬性間的權(quán)重是是互斥關(guān)系�����,某IP被調(diào)用����,其權(quán)重會(huì)相應(yīng)的增加,而IP地址屬性集合中的的其他IP的權(quán)重會(huì)相應(yīng)降低���,權(quán)重降低至零的屬性應(yīng)被清除出該屬性集合�����。根據(jù)每個(gè)IP屬性的權(quán)重����、計(jì)算每個(gè)IP屬性的判定值。因此對(duì)于同一登錄行為中的任一屬性數(shù)據(jù)�����,在開始階段都需要設(shè)定一個(gè)周期進(jìn)行初始的學(xué)習(xí)才能統(tǒng)計(jì)出所述判定值����,例如首先在三十天內(nèi)記錄所述用戶的登錄行為中出現(xiàn)的各個(gè)登錄IP及其出現(xiàn)時(shí)間,以IPl為例�,其 Cumulation的數(shù)值在三十天內(nèi)是100,其Activity的數(shù)值在最近十天的內(nèi)是50�,根據(jù)競(jìng)爭(zhēng)算法在特定權(quán)重下對(duì)兩者進(jìn)行比較以獲得判定值。具體地��,每一所述屬性數(shù)據(jù)中包括的單
元項(xiàng)都對(duì)應(yīng)一個(gè)判定值�,例如IP1、IP2........IPn分別對(duì)應(yīng)不同的判定值���,相應(yīng)地��,用戶
也可以對(duì)IP1�����、IP2........IPn預(yù)先配置不同的預(yù)設(shè)閾值�����。典型地���,在一次登錄中,接收用
戶的登錄行為的屬性數(shù)據(jù)表示用戶是使用IPl登錄�,則調(diào)用IPl對(duì)應(yīng)的判定值和預(yù)設(shè)閾值比對(duì)來進(jìn)行所述異常檢測(cè),如果用戶的登錄行為的屬性數(shù)據(jù)表示用戶是使用IP2登錄�,相應(yīng)地則調(diào)用IP2對(duì)應(yīng)的判定值和預(yù)設(shè)閾值比對(duì)來進(jìn)行所述異常檢測(cè)。如果在步驟SlOl中獲取到行為標(biāo)準(zhǔn)�����,并從中提取出所述判定值���,則執(zhí)行步驟 S102��。步驟S102中��,將所述判定值與預(yù)設(shè)閾值進(jìn)行比較����,以檢測(cè)所述登錄行為是否存在異常。所述預(yù)設(shè)閾值是用戶指定的或者是系統(tǒng)預(yù)設(shè)的��,其用于與判定值相比較來檢測(cè)登錄行為是否存在異常�。用戶可以根據(jù)監(jiān)測(cè)力度和具體需求設(shè)置該預(yù)設(shè)閾值的具體值,以滿足各種強(qiáng)度的異常檢測(cè)需求�����。 一旦所述判定值超出所述預(yù)設(shè)閾值的范圍,則判斷為該次登錄行為數(shù)據(jù)存在異常�����,然后執(zhí)行步驟S103;若所述判定值并未超出所述預(yù)設(shè)閾值適用的范圍��,則判斷為該次登錄數(shù)據(jù)不存在異常,然后執(zhí)行步驟S104。本實(shí)施例中,步驟S103中的發(fā)出預(yù)警通知具體包括提示輸入用于驗(yàn)證所述用戶的身份的信息,例如要求用戶輸入密碼保護(hù)問題答案或注冊(cè)時(shí)提供的證件號(hào)碼;也可以向所述用戶預(yù)留的手機(jī)號(hào)碼上發(fā)送預(yù)警短信或向所述用戶預(yù)留的電子郵箱中發(fā)送預(yù)警電郵���, 和/或向所述系統(tǒng)的管理員發(fā)送短信或電郵等形式的預(yù)警通知等�,提示用戶賬號(hào)存在異常登錄的情況���。步驟S104中正常提供服務(wù)典型地指的是所述在線交易系統(tǒng)向登錄后為檢測(cè)出異常登錄情況的用戶正常提供有關(guān)在線交易所支持的電子商務(wù)服務(wù)�。在另一個(gè)實(shí)施例中����,步驟S103中在檢測(cè)出異常登錄情況時(shí)��,還可能采取中止提供服務(wù)的行為�����。其中中止提供服務(wù)的具體實(shí)現(xiàn)方式例如可以是凍結(jié)所述在線交易系統(tǒng)中該用戶的操作���。具體而言�����,在某些在線交易系統(tǒng)中���,例如在各種網(wǎng)上銀行中,可能在網(wǎng)上銀行系統(tǒng)的初次登錄后,在具體涉及貨幣交易等的操作時(shí)需要進(jìn)一步的登錄行為�����,這種登錄行為由于將直接導(dǎo)致用戶賬號(hào)金額的改變���,因此需要進(jìn)行更嚴(yán)格的檢測(cè)��。特別地����,本實(shí)施例中的中止提供服務(wù)即針對(duì)這種進(jìn)一步的登錄行為����,如果此時(shí)檢測(cè)到異常登錄行為����,則會(huì)導(dǎo)致中止向該用戶提供在該網(wǎng)上銀行頁面上的任何其他操作的相關(guān)服務(wù)。步驟S103或步驟S104結(jié)束后,均執(zhí)行步驟S105�,根據(jù)所述屬性數(shù)據(jù)更新與該屬性數(shù)據(jù)對(duì)應(yīng)的所述判定值����,其具體過程是保存所述屬性數(shù)據(jù)����,根據(jù)該屬性數(shù)據(jù)和歷史屬性數(shù)據(jù)計(jì)算出新的判定值,并使用該新的判定值替換所述判定值�����。典型地����,例如所述屬性數(shù)據(jù)是登錄 IP,其中 IPl 的詳細(xì)記錄是 IPl :[ctime, Mtime, Cumulation, Activity]���,當(dāng)最新一次登錄行為中產(chǎn)生IPl的記錄時(shí)���,相應(yīng)地要更新IPl的詳細(xì)記錄中的Cumulation和Activity 的值�����,隨著Cumulation和Activity值的變化����,重新計(jì)算IP屬性集合中每個(gè)屬性的新的判定值�����,用該新的判定值替換原有的所述判定值即可完成判定值的更新過程���。例如每次進(jìn)行所述更新后���,IP屬性中的每個(gè)IP項(xiàng)的判定值即重新計(jì)算所得?���?蛇x地,在一些特殊情況下�,在所述用戶初次登錄所述在線交易系統(tǒng)或清空歷史記錄后首次登錄所述在線交易系統(tǒng)時(shí)���,系統(tǒng)中并不存在相關(guān)用戶登錄行為的歷史數(shù)據(jù)����,因此也無法計(jì)算所得判定值����,則步驟SlOl中判斷結(jié)果是無法獲取判定值�,這種情況下步驟 SlOl結(jié)束后則執(zhí)行步驟S106�,即保存所述屬性數(shù)據(jù),并正常提供服務(wù)��。以記錄登錄IP為例, 用戶在1月1日使用IPl登錄��,相應(yīng)地保存的IPl詳細(xì)記錄為IP1:[1月1日��,1月1日�����,1�, 1]��。自本次記錄開始����,自學(xué)習(xí)引擎對(duì)所述IP屬性開始進(jìn)行學(xué)習(xí)過程���,例如三十天的學(xué)習(xí)過程�����。需要說明的是,上述實(shí)施例中均與登錄IP作為示例說明了本方法的流程��,對(duì)應(yīng)于屬性數(shù)據(jù)中其他類型的數(shù)據(jù)�,例如登錄時(shí)間���、登錄方式、登錄終端類型�����、登錄終端版本號(hào)���、登錄持續(xù)時(shí)長(zhǎng)和登錄操作中的任一項(xiàng),均可以參考登錄IP示出的方法來進(jìn)行異常檢測(cè)���。相應(yīng)地�����,本發(fā)明提供了一種異常登錄檢測(cè)裝置�,圖2是根據(jù)本發(fā)明的基于自學(xué)習(xí)的異常登錄檢測(cè)裝置100的一種具體實(shí)施方式
的結(jié)構(gòu)示意圖及其應(yīng)用狀態(tài)的示意圖,該檢測(cè)裝置100包括接收模塊110��、檢測(cè)模塊120和輸出模塊130��,其中
接收模塊110�,用于接收用戶的登錄行為的屬性數(shù)據(jù);檢測(cè)模塊120���,用于獲取與該用戶對(duì)應(yīng)的行為標(biāo)準(zhǔn),其中所述行為標(biāo)準(zhǔn)至少記錄一組登錄行為的歷史屬性數(shù)據(jù)����,并記錄根據(jù)該至少一組歷史登錄行為數(shù)據(jù)的統(tǒng)計(jì)結(jié)果生成的判定值;并根據(jù)該判定值與預(yù)設(shè)閾值進(jìn)行比較���,檢測(cè)所述登錄行為數(shù)據(jù)是否存在異常�;���;輸出模塊130�����,用于若所述登錄行為不存在異常�����,則提示正常提供服務(wù)����,若所述登錄行為存在異常,則發(fā)出預(yù)警通知或中止提供服務(wù)���。具體地���,無論所述在線交易系統(tǒng)設(shè)計(jì)為B/S模式還是C/S模式,針對(duì)該系統(tǒng)的登錄行為的屬性數(shù)據(jù)包括登錄時(shí)間����、登錄IP、登錄方式�����、登錄終端類型���、登錄終端版本號(hào)�、登錄持續(xù)時(shí)長(zhǎng)和登錄操作中至少一項(xiàng)。其中��,所述唯一身份標(biāo)識(shí)是用戶的ID號(hào)或用戶的賬戶名稱�����。所述判定值是根據(jù)歷史登錄行為生成的�����,其具體生成方法是根據(jù)歷史登錄行為統(tǒng)計(jì)所述屬性數(shù)據(jù)的累積登錄次數(shù)和單位時(shí)間內(nèi)的登錄次數(shù)���,并根據(jù)上述兩者計(jì)算所得所述判定值���,�����。所述預(yù)設(shè)閾值是用戶指定的或者是系統(tǒng)預(yù)設(shè)的���,其用于與判定值相比較來檢測(cè)登錄行為是否存在異常�?��?蛇x地���,檢測(cè)模塊120在所述檢測(cè)的同時(shí)或者之后���,根據(jù)所述屬性數(shù)據(jù)更新與該屬性數(shù)據(jù)對(duì)應(yīng)的所述判定值。其中����,檢測(cè)模塊120根據(jù)所述屬性數(shù)據(jù)更新與該屬性數(shù)據(jù)對(duì)應(yīng)的所述判定值的具體步驟包括保存所述屬性數(shù)據(jù),根據(jù)該屬性數(shù)據(jù)和歷史屬性數(shù)據(jù)計(jì)算出IP屬性組合中每個(gè)屬性的新的判定值����,并使用該新的判定值替換所述判定值??蛇x地,若未能獲取與該用戶對(duì)應(yīng)的行為標(biāo)準(zhǔn)�,則檢測(cè)模塊120保存所述屬性數(shù)據(jù),根據(jù)該屬性數(shù)據(jù)計(jì)算并保存該屬性數(shù)據(jù)的判定值����,并且輸出模塊130提示正常提供服務(wù)。通常所述用戶的賬戶名稱的字符組合是唯一的�,或該用戶的ID號(hào)通常也是唯一的,因此檢測(cè)模塊120可以根據(jù)所述用戶的ID號(hào)或用戶的賬戶名稱獲取該用戶對(duì)應(yīng)的行為標(biāo)準(zhǔn)。上述屬性數(shù)據(jù)包括登錄IP�����、登錄時(shí)間����、登錄方式、登錄終端類型�、登錄終端版本號(hào)、登錄持續(xù)時(shí)長(zhǎng)和登錄操作中至少一項(xiàng)�。當(dāng)檢測(cè)模塊120根據(jù)所述判定值檢測(cè)出所述登錄行為存在異常時(shí),輸出模塊130 發(fā)出預(yù)警通知包括提示輸入用于驗(yàn)證所述用戶的身份的信息��、向所述用戶預(yù)留的手機(jī)號(hào)碼上發(fā)送預(yù)警短信或向所述用戶預(yù)留的電子郵箱中發(fā)送預(yù)警電郵���,和/或向所述系統(tǒng)的管理員發(fā)送預(yù)警通知����。典型地�����,在圖2中示出了檢測(cè)裝置100在應(yīng)用中與其他設(shè)備結(jié)合使用的的結(jié)構(gòu)示意圖����,其中,用戶可以使用地區(qū)1內(nèi)的PC終端201或移動(dòng)設(shè)備終端202向檢測(cè)裝置100發(fā)起登錄以便于從服務(wù)器300獲取服務(wù)�����,或使用地區(qū)2內(nèi)的PC終端203向檢測(cè)裝置100發(fā)起登錄以便于從服務(wù)器300獲取服務(wù)�����。通常所述服務(wù)器300是提供在線交易系統(tǒng)的服務(wù)的數(shù)據(jù)服務(wù)器��。本發(fā)明提供的異常登錄檢測(cè)方法及裝置�,一方面,通過比較判定值和預(yù)設(shè)閾值判斷用戶的登錄行為數(shù)據(jù)是否存在異常����,如果存在異常自動(dòng)發(fā)出預(yù)警通知或觸發(fā)其他安全保障相關(guān)動(dòng)作,提高了服務(wù)提供系統(tǒng)的安全性����;另一方面,根據(jù)所述登錄行為更新所述判定值�,可以根據(jù)用戶登錄習(xí)慣的改變所導(dǎo)致的數(shù)據(jù)屬性改變來動(dòng)態(tài)調(diào)整預(yù)警標(biāo)準(zhǔn),實(shí)現(xiàn)智能地自學(xué)習(xí)過程��,使得異常登錄的判定更加準(zhǔn)確,減少了在服務(wù)提供系統(tǒng)管理員的工作量�����,也提高了工作效率�。具體而言,在本發(fā)明中���,為每個(gè)用戶設(shè)定其自己的行為標(biāo)準(zhǔn)��,該行為標(biāo)準(zhǔn)中包括至少一組行為屬性數(shù)據(jù)���。對(duì)用戶每次登錄涉及到的行為屬性數(shù)據(jù)進(jìn)行記錄,并隨時(shí)對(duì)其賬戶下的數(shù)據(jù)記錄以及根據(jù)該數(shù)據(jù)記錄統(tǒng)計(jì)結(jié)果生成的判定值進(jìn)行更新�����。隨著大量數(shù)據(jù)積累����,該判定值趨于準(zhǔn)確且穩(wěn)定,基于該判定值與適當(dāng)閾值的比較��,可以快捷���、準(zhǔn)確地檢查出異常登錄行為�����,進(jìn)一步提高了業(yè)務(wù)服務(wù)系統(tǒng)的安全性和有效性�。 本發(fā)明提供的異常登錄檢測(cè)方法可以使用可編程邏輯器件結(jié)合來實(shí)現(xiàn)���,也可以實(shí)施為計(jì)算機(jī)程序軟件�,例如根據(jù)本發(fā)明的實(shí)施例可以是一種計(jì)算機(jī)程序產(chǎn)品����,運(yùn)行該程序產(chǎn)品使計(jì)算機(jī)執(zhí)行用于所示范的方法。所述計(jì)算機(jī)程序產(chǎn)品包括計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)��,該介質(zhì)上包含計(jì)算機(jī)程序邏輯或代碼部分�����,用于實(shí)現(xiàn)上述異常登錄檢測(cè)方法����。所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)可以是被安裝在計(jì)算機(jī)中的內(nèi)置介質(zhì)或者可從計(jì)算機(jī)主體拆卸的可移動(dòng)介質(zhì) (例如熱拔插技術(shù)存儲(chǔ)設(shè)備)。所述內(nèi)置介質(zhì)包括但不限于可重寫的非易失性存儲(chǔ)器�����,例如 RAM、ROM�����、快閃存儲(chǔ)器和硬盤���。所述可移動(dòng)介質(zhì)包括但不限于光存儲(chǔ)媒體(例如CD-ROM和 DVD)�、磁光存儲(chǔ)媒體(例如M0)�����、磁存儲(chǔ)媒體(例如盒帶或移動(dòng)硬盤)�、具有內(nèi)置的可重寫的非易失性存儲(chǔ)器的媒體(例如存儲(chǔ)卡)和具有內(nèi)置ROM的媒體(例如ROM盒)。以上所揭露的僅為本發(fā)明的一些較佳實(shí)施例而已��,當(dāng)然不能以此來限定本發(fā)明之權(quán)利范圍�,因此依本發(fā)明權(quán)利要求所作的等同變化,仍屬本發(fā)明所涵蓋的范圍�����。
權(quán)利要求
1.一種異常登錄檢測(cè)方法���,其特征在于����,該方法包括 接收用戶的登錄行為的屬性數(shù)據(jù)�;獲取與該用戶對(duì)應(yīng)的行為標(biāo)準(zhǔn),其中所述行為標(biāo)準(zhǔn)至少記錄一組登錄行為的歷史屬性數(shù)據(jù)�����,并記錄根據(jù)該至少一組歷史登錄行為數(shù)據(jù)的統(tǒng)計(jì)結(jié)果生成的判定值�;并根據(jù)該判定值與預(yù)設(shè)閾值進(jìn)行比較,檢測(cè)所述登錄行為是否存在異常��;若所述登錄行為不存在異常�����,則正常提供服務(wù)��,若所述登錄行為存在異常����,則發(fā)出預(yù)警通知或中止提供服務(wù)。
2.根據(jù)權(quán)利要求1所述的方法���,其特征在于�����,該方法還包括在所述檢測(cè)的同時(shí)或者之后��,根據(jù)所述屬性數(shù)據(jù)更新與該屬性數(shù)據(jù)對(duì)應(yīng)的所述判定值�����。
3.根據(jù)權(quán)利要求2所述的方法����,其特征在于,根據(jù)所述屬性數(shù)據(jù)更新與該屬性數(shù)據(jù)對(duì)應(yīng)的所述判定值包括保存所述屬性數(shù)據(jù)�,根據(jù)該屬性數(shù)據(jù)和歷史屬性數(shù)據(jù)計(jì)算出新的判定值,并使用該新的判定值替換所述判定值����。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于�,該方法還包括若未能獲取與該用戶對(duì)應(yīng)的行為標(biāo)準(zhǔn),則保存所述屬性數(shù)據(jù)�,根據(jù)該屬性數(shù)據(jù)計(jì)算并保存該屬性數(shù)據(jù)的判定值,并且正常提供服務(wù)。
5.根據(jù)權(quán)利要求1所述的方法�����,其特征在于根據(jù)所述用戶的ID號(hào)或用戶的賬戶名稱獲取該用戶對(duì)應(yīng)的行為標(biāo)準(zhǔn)���。
6.根據(jù)權(quán)利要求1至5任一項(xiàng)所述的方法�,其特征在于�,所述判定值的生成方法包括 根據(jù)歷史登錄行為統(tǒng)計(jì)所述屬性數(shù)據(jù)的累積登錄次數(shù)和單位時(shí)間內(nèi)的登錄次數(shù)���,并根據(jù)上述兩者計(jì)算所得所述判定值�。
7.根據(jù)權(quán)利要求1至5任一項(xiàng)所述的方法��,其特征在于���,所述屬性數(shù)據(jù)包括登錄IP�、登錄時(shí)間��、登錄方式����、登錄終端類型、登錄終端版本號(hào)���、登錄持續(xù)時(shí)長(zhǎng)和登錄操作中至少一項(xiàng)����。
8.根據(jù)權(quán)利要求1至5任一項(xiàng)所述的方法,其特征在于��,所述發(fā)出預(yù)警通知包括 提示輸入用于驗(yàn)證所述用戶的身份的信息����、向所述用戶預(yù)留的手機(jī)號(hào)碼上發(fā)送預(yù)警短信、向所述用戶預(yù)留的電子郵箱中發(fā)送預(yù)警電郵���,和/或向系統(tǒng)的管理員發(fā)送預(yù)警通知��。
9.一種異常登錄檢測(cè)裝置����,其特征在于�,該裝置包括 接收模塊,用于接收用戶的登錄行為的屬性數(shù)據(jù)��;檢測(cè)模塊���,用于獲取與該用戶對(duì)應(yīng)的行為標(biāo)準(zhǔn)�����,其中所述行為標(biāo)準(zhǔn)至少記錄一組登錄行為的歷史屬性數(shù)據(jù)����,并記錄根據(jù)該至少一組歷史登錄行為數(shù)據(jù)的統(tǒng)計(jì)結(jié)果生成的判定值;并根據(jù)該判定值與預(yù)設(shè)閾值進(jìn)行比較���,檢測(cè)所述登錄行為數(shù)據(jù)是否存在異常�����;輸出模塊,用于若所述登錄行為不存在異常�����,則提示正常提供服務(wù)����,若所述登錄行為存在異常,則發(fā)出預(yù)警通知或中止提供服務(wù)���。
10.根據(jù)權(quán)利要求9所述的裝置���,其特征在于所述檢測(cè)模塊在所述檢測(cè)的同時(shí)或者之后�,根據(jù)所述屬性數(shù)據(jù)更新與該屬性數(shù)據(jù)對(duì)應(yīng)的所述判定值�。
11.根據(jù)權(quán)利要求10所述的裝置,其特征在于��,所述檢測(cè)模塊根據(jù)所述屬性數(shù)據(jù)更新與該屬性數(shù)據(jù)對(duì)應(yīng)的所述判定值包括保存所述屬性數(shù)據(jù)��,根據(jù)該屬性數(shù)據(jù)和歷史屬性數(shù)據(jù)計(jì)算出新的判定值����,并使用該新的判定值替換所述判定值。
12.根據(jù)權(quán)利要求9所述的裝置�,其特征在于若未能獲取與該用戶對(duì)應(yīng)的行為標(biāo)準(zhǔn),則所述檢測(cè)模塊保存所述屬性數(shù)據(jù)���,根據(jù)該屬性數(shù)據(jù)計(jì)算并保存該屬性數(shù)據(jù)的判定值�,并且所述輸出模塊提示正常提供服務(wù)��。
13.根據(jù)權(quán)利要求9所述的裝置����,其特征在于所述檢測(cè)模塊根據(jù)所述用戶的ID號(hào)或用戶的賬戶名稱獲取該用戶對(duì)應(yīng)的行為標(biāo)準(zhǔn)���。
14.根據(jù)權(quán)利要求9至13任一項(xiàng)所述的裝置,其特征在于�,所述檢測(cè)模塊根據(jù)歷史登錄行為統(tǒng)計(jì)所述屬性數(shù)據(jù)的累積登錄次數(shù)和單位時(shí)間內(nèi)的登錄次數(shù),并根據(jù)上述兩者計(jì)算所得所述判定值���。
15.根據(jù)權(quán)利要求9至13任意一項(xiàng)所述的裝置�����,其特征在于�����,所述屬性數(shù)據(jù)包括 登錄IP�����、登錄時(shí)間、登錄方式�����、登錄終端類型����、登錄終端版本號(hào)����、登錄持續(xù)時(shí)長(zhǎng)和登錄操作中至少一項(xiàng)����。
16.根據(jù)權(quán)利要求9所述的裝置,其特征在于��,所述輸出模塊發(fā)出的預(yù)警通知包括 提示輸入用于驗(yàn)證所述用戶的身份的信息���、向所述用戶預(yù)留的手機(jī)號(hào)碼上發(fā)送預(yù)警短信����、向所述用戶預(yù)留的電子郵箱中發(fā)送預(yù)警電郵���,和/或向所述系統(tǒng)的管理員發(fā)送預(yù)警通知�。
全文摘要
本發(fā)明提供了一種異常登錄檢測(cè)方法���,該方法包括接收用戶的登錄行為的屬性數(shù)據(jù)�;獲取與該用戶對(duì)應(yīng)的行為標(biāo)準(zhǔn)�����,其中所述行為標(biāo)準(zhǔn)至少記錄一組登錄行為的歷史屬性數(shù)據(jù),并記錄根據(jù)該至少一組歷史登錄行為數(shù)據(jù)的統(tǒng)計(jì)結(jié)果生成的判定值���;并根據(jù)該判定值與預(yù)設(shè)閾值進(jìn)行比較���,檢測(cè)所述登錄行為數(shù)據(jù)是否存在異常;若所述登錄行為不存在異常����,則正常提供服務(wù),若存在異常�,則發(fā)出預(yù)警通知或中止提供服務(wù)。相應(yīng)地��,本發(fā)明還提供了一種異常登錄檢測(cè)裝置��。實(shí)施本發(fā)明���,提高了服務(wù)提供系統(tǒng)的安全性,并減少了服務(wù)提供系統(tǒng)管理員的工作量����,也提高了工作效率�。
文檔編號(hào)H04L12/26GK102325062SQ20111028052
公開日2012年1月18日 申請(qǐng)日期2011年9月20日 優(yōu)先權(quán)日2011年9月20日
發(fā)明者侯奎宇, 徐洋 申請(qǐng)人:北京神州綠盟信息安全科技股份有限公司