本发明专利技术公开了一种筛选异常登录用户的方法及系统,用以解决现有技术筛选异常登录用户困难的问题。所述方法包括:从登录行为日志中提取预设统计时间的多种维度的用户行为参数;针对每种维度的用户行为参数,量化该用户行为参数在对应维度的奇异度,按照设定的召回量,从最大奇异度或最小奇异度开始召回对应维度的候选奇异登录用户列表;根据预设权重确定出每个候选奇异登录用户的总体奇异度;按照设定的筛选量,在所有候选奇异登录用户列表中从最大总体奇异度开始筛选出异常用户列表。
【技术实现步骤摘要】
筛选异常登录用户的方法及系统
本专利技术涉及信息安全领域,特别是涉及一种筛选异常登录用户的方法及系统。
技术介绍
非法异常登录检测是信息安全领域一个重要而核心的问题。在一个管理大量用户帐号登录的系统中,由于业务/人员的变化,往往很容易出现非法异常登录。现有技术往往依赖于各种指定的规则用于过滤筛选这些非法异常登录,这些规则往往依赖于人的主观发现,发现问题往往是在漏洞暴露很久,后果已经造成的情况下被重新定义和修正;并且普通用户行为在不断变化,很难用一个固定的规则来始终如一的筛选。因此,通过指定的规则来确定用户是否非法异常登录非常困难,而且规则的制定与更新往往是在异常行为发生很久,后果非常明显之后才被得以实施,时效性往往很差。
技术实现思路
为了克服上述现有技术的缺陷,本专利技术要解决的技术问题是提供一种筛选异常登录用户的方法及系统,用以解决现有技术筛选异常登录用户困难的问题。为解决上述技术问题,本专利技术中的一种筛选异常登录用户的方法,包括:从登录行为日志中提取预设统计时间的多种维度的用户行为参数;针对每种维度的用户行为参数,量化该用户行为参数在对应维度的奇异度,按照设定的召回量,从最大奇异度或最小奇异度开始召回对应维度的候选奇异登录用户列表;根据预设权重确定出每个候选奇异登录用户的总体奇异度;按照设定的筛选量,在所有候选奇异登录用户列表中从最大总体奇异度开始筛选出异常用户列表。可选地,所述多种维度的用户行为参数包括用户访问频率、用户登录时间、用户登录IP数量、用户使用IMEI数量和用户访问最小间隔中的至少两种。具体地,所述针对每种维度的用户行为参数,量化该用户行为参数在对应维度的奇异度的步骤,包括:当用户行为参数为用户访问频率时,统计所有用户在预设统计时间的用户访问频率奇异度;按照所述用户访问频率奇异度排序;当用户行为参数为用户登录时间时,统计所有用户在预设统计时间的用户登录时间;将每个用户的用户登录时间取归一化的对数值取负得到信息熵;根据每个用户的信息熵确定每个用户的平均登录时间奇异度;按照所有用户的平均登录时间奇异度排序;当用户行为参数为用户登录IP数量时,统计所有用户在预设统计时间使用的用户登录IP数量奇异度;按照所述用户登录IP数量奇异度排序;当用户行为参数为用户使用IMEI数量时,统计所有用户在预设统计时间使用的用户使用IMEI数量奇异度;按照所述用户使用IMEI数量奇异度排序;当用户行为参数为用户访问最小间隔时,统计所有用户在预设统计时间内相邻两次登录访问之间的用户访问最小间隔奇异度;按照所述用户访问最小间隔奇异度排序。可选地,所述根据预设权重确定出每个候选奇异登录用户的总体奇异度的步骤,包括:将每个维度的候选奇异登录用户列表分成多个区间,并将每个区间进行相应的区间编号;根据每个区间的区间编号,确定该区间的候选奇异登录用户的奇异度单项得分;根据预设权重和每个候选奇异登录用户的奇异度单项得分的乘积关系,确定出每个候选奇异登录用户的总体奇异度。具体地,所述将每个维度的候选奇异登录用户列表分成多个区间的步骤,包括:按照等奇异度值、奇异度值对数关系或者等候选奇异登录用户数量,将每个维度的候选奇异登录用户列表分成多个区间。为解决上述技术问题,本专利技术中的一种筛选异常登录用户的系统,包括:参数提起模块,用于从登录行为日志中提取预设统计时间的多种维度的用户行为参数;奇异度量化模块,用于针对每种维度的用户行为参数,量化该用户行为参数在对应维度的奇异度;召回模块,用于按照设定的召回量,从最大奇异度或最小奇异度开始召回对应维度的候选奇异登录用户列表;总体奇异度确定模块,用于根据预设权重确定出每个候选奇异登录用户的总体奇异度;异常筛选模块,用于按照设定的筛选量,在所有候选奇异登录用户列表中从最大总体奇异度开始筛选出异常用户列表。可选地,所述多种维度的用户行为参数包括用户访问频率、用户登录时间、用户登录IP数量、用户使用IMEI数量和用户访问最小间隔中的至少两种。具体地,所述奇异度量化模块,用于当用户行为参数为用户访问频率时,统计所有用户在预设统计时间的用户访问频率奇异度;按照所述用户访问频率奇异度排序;当用户行为参数为用户登录时间时,统计所有用户在预设统计时间的用户登录时间;将每个用户的用户登录时间取归一化的对数值取负得到信息熵;根据每个用户的信息熵确定每个用户的平均登录时间奇异度;按照所有用户的平均登录时间奇异度排序;当用户行为参数为用户登录IP数量时,统计所有用户在预设统计时间使用的用户登录IP数量奇异度;按照所述用户登录IP数量奇异度排序;当用户行为参数为用户使用IMEI数量时,统计所有用户在预设统计时间使用的用户使用IMEI数量奇异度;按照所述用户使用IMEI数量奇异度排序;当用户行为参数为用户访问最小间隔时,统计所有用户在预设统计时间内相邻两次登录访问之间的用户访问最小间隔奇异度;按照所述用户访问最小间隔奇异度排序。可选地,所述总体奇异度确定模块,具体用于将每个维度的候选奇异登录用户列表分成多个区间,并将每个区间进行相应的区间编号;根据每个区间的区间编号,确定该区间的候选奇异登录用户的奇异度单项得分;根据预设权重和每个候选奇异登录用户的奇异度单项得分的乘积关系,确定出每个候选奇异登录用户的总体奇异度。具体地,所述总体奇异度确定模块,还用于按照等奇异度值、奇异度值对数关系或者等候选奇异登录用户数量,将每个维度的候选奇异登录用户列表分成多个区间。本专利技术有益效果如下:本专利技术中方法及系统根据系统记录的用户行为日志,抽取用户行为中的一些关键参数;统计这些关键参数在用户访问上按时间的分布特点;量化这些参数在各自量化维度上的奇异度,按照筛选量的要求召回各维度一定数量的奇异度最大的用户列表,对召回的所有用户根据权重计算各用户总体加权求得总体奇异度,根据总体奇异度的排序求得指定筛选量要求的用户列表,由于该筛选过程以绝大多数人的行为统计特征作为衡量标准,避免了僵化的需要人为介入而写的固定规则。附图说明图1是本专利技术实施例中一种筛选异常登录用户的方法的流程图;图2是本专利技术实施例中用户登录在三天内的用户访问频率分布示意图;图3是本专利技术实施例中登录时间段评率分布(按每10分钟分辨率)与归一化的信息熵;图4是本专利技术实施例中平均登录时间奇异度分布示意图;图5是本专利技术实施例中用户使用外部ip的数量统计分布示意图;图6是本专利技术实施例中一周内用户使用不同IMEI登录的频率分布示意图;图7是本专利技术实施例中用户访问间最小时间间隔分布示意图;图8是本专利技术实施例中一种筛选异常登录用户的系统的结构示意图。具体实施方式为了解决现有技术存在的问题,本专利技术提供了一种筛选异常登录用户的方法及系统,以下结合附图以及实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本专利技术,并不限定本专利技术。异常登录一定在某些方面有异于大多数正常登录,从分布上来看,大多数的登录分布都有一些聚集特性,而异常登录则是一些有别于常人行为的离群点,通过筛选这些离群点就能有效找到异常登录人选,如果单一维度不足以判定异常,综合多维度可以增强筛选能力;由于该筛选过程以绝大多数人的行为统计特征作为衡量标准,避免了僵化的需要人为介入而写的固定规则。基于此,本专利技术实施例中一种筛本文档来自技高网...
【技术保护点】
一种筛选异常登录用户的方法,其特征在于,所述方法包括:从登录行为日志中提取预设统计时间的多种维度的用户行为参数;针对每种维度的用户行为参数,量化该用户行为参数在对应维度的奇异度,按照设定的召回量,从最大奇异度或最小奇异度开始召回对应维度的候选奇异登录用户列表;根据预设权重确定出每个候选奇异登录用户的总体奇异度;按照设定的筛选量,在所有候选奇异登录用户列表中从最大总体奇异度开始筛选出异常用户列表。
【技术特征摘要】
1.一种筛选异常登录用户的方法,其特征在于,所述方法包括:从登录行为日志中提取预设统计时间的多种维度的用户行为参数;针对每种维度的用户行为参数,量化该用户行为参数在对应维度的奇异度,按照设定的召回量,从最大奇异度或最小奇异度开始召回对应维度的候选奇异登录用户列表;根据预设权重确定出每个候选奇异登录用户的总体奇异度;按照设定的筛选量,在所有候选奇异登录用户列表中从最大总体奇异度开始筛选出异常用户列表。2.如权利要求1所述的方法,其特征在于,所述多种维度的用户行为参数包括用户访问频率、用户登录时间、用户登录IP数量、用户使用IMEI数量和用户访问最小间隔中的至少两种。3.如权利要求2所述的方法,其特征在于,所述针对每种维度的用户行为参数,量化该用户行为参数在对应维度的奇异度的步骤,包括:当用户行为参数为用户访问频率时,统计所有用户在预设统计时间的用户访问频率奇异度;按照所述用户访问频率奇异度排序;当用户行为参数为用户登录时间时,统计所有用户在预设统计时间的用户登录时间;将每个用户的用户登录时间取归一化的对数值取负得到信息熵;根据每个用户的信息熵确定每个用户的平均登录时间奇异度;按照所有用户的平均登录时间奇异度排序;当用户行为参数为用户登录IP数量时,统计所有用户在预设统计时间使用的用户登录IP数量奇异度;按照所述用户登录IP数量奇异度排序;当用户行为参数为用户使用IMEI数量时,统计所有用户在预设统计时间使用的用户使用IMEI数量奇异度;按照所述用户使用IMEI数量奇异度排序;当用户行为参数为用户访问最小间隔时,统计所有用户在预设统计时间内相邻两次登录访问之间的用户访问最小间隔奇异度;按照所述用户访问最小间隔奇异度排序。4.如权利要求1-3中任意一项所述的方法,其特征在于,所述根据预设权重确定出每个候选奇异登录用户的总体奇异度的步骤,包括:将每个维度的候选奇异登录用户列表分成多个区间,并将每个区间进行相应的区间编号;根据每个区间的区间编号,确定该区间的候选奇异登录用户的奇异度单项得分;根据预设权重和每个候选奇异登录用户的奇异度单项得分的乘积关系,确定出每个候选奇异登录用户的总体奇异度。5.如权利要求4所述的方法,其特征在于,所述将每个维度的候选奇异登录用户列表分成多个区间的步骤,包括:按照等奇异度值、奇异度值对数关系或者等候选奇异登录用户数量,将每个维度的候选奇异登录用户列...
【专利技术属性】
技术研发人员:肖会兵,
申请(专利权)人:北京五八信息技术有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。