恶意登录地址识别方法及装置制造方法及图纸

本发明专利技术实施例提供一种恶意登录地址识别方法及装置，该方法包括：获取用户登录时产生的日志文件；对获取的日志文件进行统计，得到日志文件统计结果；所述统计结果中包含每个登录地址的登录数据；将所述日志文件统计结果输入预先建立的回归分析模型中，根据每个登录地址的登录数据，通过所述回归分析模型确定登录地址是否是恶意登录地址；其中，所述回归分析模型根据历史日志文件统计结果生成，其输入参数为登录数据，输出参数为是否恶意登录地址判断结果。能够准确、有效的识别出恶意登录地址，减少了人工操作，提高了识别的速度和效率。

Method and device for identifying malicious login address

The embodiment of the invention provides a method and device address recognition of malicious login, the method includes: generating access user login log files; carries on the statistics to obtain the statistical results of log files, log files; log data contains each login address of the statistical results; the log file input statistics regression the pre established analysis model, according to the log data of each login address, through the model to determine whether the login address is malicious login address in the regression analysis; regression analysis model based on the statistical results of the Shi Rizhi calendar file generation, the input parameters for the log data, and output parameter is whether malicious login address judgment result. The method can accurately and effectively identify malicious login address, reduce manual operation, and improve the speed and efficiency of identification.

【技术实现步骤摘要】
恶意登录地址识别方法及装置
本专利技术涉及网络安全
，尤指一种恶意登录地址识别方法及装置。
技术介绍
随着互联网技术的发展，网络安全受到越来越多的关注。对恶意登录地址的识别是保证网络安全的重要手段。在网络管理的过程中，每个登录操作都会由日志文件记录，现在最常用的技术是通过人为浏览这些日志文件，通过人为的方式来找出发出恶意登录请求的IP地址。现有技术中，日志检查者通过统计IP地址发出的请求数量，登录帐号的个数和自身经验来人为判断出哪些IP地址属于恶意发送登录请求。这种方式人为检索的工作量极大，需要的人数和设备都比较多，并且重复性劳动，效果也并不那么好，费时费力，且不能快速、准确的识别恶意IP。现有技术中，对于大型网站或者庞大的帐号系统，由于庞大的系统产生的登录日志非常多而且实时性非常强，这时一般采用流式数据统计和固定规则的方法进行统计。比如，每小时统计一小时内各IP的请求数量，登录帐号数量等数据，依据一定的数学规则，对数据进行计算之后，根据阈值确定发出恶意登录请求的IP地址。这种方式十分依赖数学规则和固定的阈值，易被外部猜中从而使此规则失效。且此规则易误伤非恶意但登录比较频繁的IP地址，不能快速、准确的识别恶意IP。
技术实现思路
本专利技术实施例提供一种恶意登录地址识别方法及装置，用以解决现有技术中存在的不能快速、准确的识别恶意IP，现有识别方法费时费力的问题。一方面，本专利技术实施例提供了一种恶意登录地址识别方法，包括：获取用户登录时产生的日志文件；对获取的日志文件进行统计，得到日志文件统计结果；所述统计结果中包含每个登录地址的登录数据；将所述日志文件统计结果输入预先建立的回归分析模型中，根据每个登录地址的登录数据，通过所述回归分析模型确定登录地址是否是恶意登录地址；其中，所述回归分析模型根据历史日志文件统计结果生成，其输入参数为登录数据，输出参数为是否恶意登录地址判断结果。在一些可选的实施例中，对获取的日志文件进行统计，得到日志文件统计结果，具体包括：统计日志文件包括的日志记录中出现的登录地址；针对每个登录地址，统计登录数据，得到日志文件的统计结果文件，所述登录数据包括下列信息中的至少一个：发出登录请求的次数、登录帐号数、登陆成功比例、验证码输错比例。在一些可选的实施例中，回归分析模型的训练过程，具体包括：获取记录的历史日志文件；统计历史日志文件包括的日志记录中出现的登录地址；针对每个登录地址，统计登录数据，得到历史日志文件的统计结果文件；使用选定的数据挖掘算法，对所述统计结果文件进行训练，得到回归分析模型。在一些可选的实施例中，对所述统计结果文件进行训练，得到回归分析模型，具体包括：采用下列公式对统计结果文件进行训练，得到逻辑回归模型参数：其中，m表示数据的总个数；i表示第i个分量；j表示第j个日志文件；xi表示日志文件向量；yi表示是否恶意登录地址；a表示学习率；θ表示模型参数；使用得到的逻辑回归模型参数建立输入参数为统计结果文件中的登录数据，输出参数为是否恶意登录地址判断结果的逻辑回归模型；或使用决策树计算模型，得到决策树模型参数，使用得到的决策树模型参数建立输入参数为统计结果文件中的登录数据，输出参数为是否恶意登录地址判断结果的决策树模型。在一些可选的实施例中，当逻辑回归模型是决策树模型时，根据每个登录地址的登录数据，通过所述回归分析模型确定登录地址是否是恶意登录地址，具体包括：将登录数据作为输入参数x输入下列逻辑回归模型，得到登录地址是否是恶意登录地址的输出结果hθ(x)：其中，θ为训练得到的逻辑回归模型参数。在一些可选的实施例中，所述日志文件中包括下列信息中的至少一项：登录时间，登录方式，登录设备，登录地址，登录浏览器，登录请求时长，登录结果，登录帐号。本专利技术实施例还提供一种恶意登录地址识别装置，包括：获取模块，用于获取用户登录时产生的日志文件；统计模块，用于对获取的日志文件进行统计，得到日志文件统计结果；所述统计结果中包含每个登录地址的登录数据；确定模块，用于将所述日志文件统计结果输入预先建立的回归分析模型中，根据每个登录地址的登录数据，通过所述回归分析模型确定登录地址是否是恶意登录地址；其中，所述回归分析模型根据历史日志文件统计结果生成，其输入参数为登录数据，输出参数为是否恶意登录地址判断结果。在一些可选的实施例中，所述统计模块，具体用于：统计日志文件包括的日志记录中出现的登录地址；针对每个登录地址，统计登录数据，得到日志文件的统计结果文件，所述登录数据包括下列信息中的至少一个：发出登录请求的次数、登录帐号数、登陆成功比例、验证码输错比例。在一些可选的实施例中，上述装置还包括：训练模块，用于训练回归分析模型，具体包括：获取记录的历史日志文件；统计历史日志文件包括的日志记录中出现的登录地址；针对每个登录地址，统计登录数据，得到历史日志文件的统计结果文件；使用选定的数据挖掘算法，对所述统计结果文件进行训练，得到回归分析模型。在一些可选的实施例中，所述训练模块，具体用于：采用下列公式对统计结果文件进行训练，得到逻辑回归模型参数：其中，m表示数据的总个数；i表示第i个分量；j表示第j个日志文件；xi表示日志文件向量；yi表示是否恶意登录地址；a表示学习率；θ表示模型参数；使用得到的逻辑回归模型参数建立输入参数为统计结果文件中的登录数据，输出参数为是否恶意登录地址判断结果的逻辑回归模型；或使用决策树计算模型，得到决策树模型参数，使用得到的决策树模型参数建立输入参数为统计结果文件中的登录数据，输出参数为是否恶意登录地址判断结果的决策树模型。在一些可选的实施例中，所述确定模块，具体用于：当逻辑回归模型是决策树模型时，将登录数据作为输入参数x输入下列逻辑回归模型，得到登录地址是否是恶意登录地址的输出结果hθ(x)：其中，θ为训练得到的逻辑回归模型参数。上述技术方案具有如下有益效果：通过对登录时产生的历史日志文件的统计，建立回归分析模型，当需要识别登录地址是否为恶意登录地址时，将相应的日志文件输入到回归分析模型，得到是否是恶意登录地址的判断结果，这种方式，通过对历史日志文件分析得到回归分析模型，能够准确的识别恶意地址，且不需要大量的人工操作，节约人力资源成本，不需要设置阈值，不容易被猜测破解，从而能够更有效、更准确的识别出恶意登录地址，提高网络安全。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是本专利技术实施例一中恶意登录地址识别方法的流程图；图2是本专利技术实施例一中恶意登录地址识别的原理示意图；图3是本专利技术实施例二中恶意登录地址识别方法的流程图；图4是本专利技术实施例三中回归分析模型训练的流程图；图5是本专利技术实施例中恶意登录地址识别装置的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其本文档来自技高网...

【技术保护点】
一种恶意登录地址识别方法，其特征在于，包括：获取用户登录时产生的日志文件；对获取的日志文件进行统计，得到日志文件统计结果；所述统计结果中包含每个登录地址的登录数据；将所述日志文件统计结果输入预先建立的回归分析模型中，根据每个登录地址的登录数据，通过所述回归分析模型确定登录地址是否是恶意登录地址；其中，所述回归分析模型根据历史日志文件统计结果生成，其输入参数为登录数据，输出参数为是否恶意登录地址判断结果。

【技术特征摘要】
1.一种恶意登录地址识别方法，其特征在于，包括：获取用户登录时产生的日志文件；对获取的日志文件进行统计，得到日志文件统计结果；所述统计结果中包含每个登录地址的登录数据；将所述日志文件统计结果输入预先建立的回归分析模型中，根据每个登录地址的登录数据，通过所述回归分析模型确定登录地址是否是恶意登录地址；其中，所述回归分析模型根据历史日志文件统计结果生成，其输入参数为登录数据，输出参数为是否恶意登录地址判断结果。2.如权利要求1所述的方法，其特征在于，对获取的日志文件进行统计，得到日志文件统计结果，具体包括：统计日志文件包括的日志记录中出现的登录地址；针对每个登录地址，统计登录数据，得到日志文件的统计结果文件，所述登录数据包括下列信息中的至少一个：发出登录请求的次数、登录帐号数、登陆成功比例、验证码输错比例。3.如权利要求1所述的方法，其特征在于，回归分析模型的训练过程，具体包括：获取记录的历史日志文件；统计历史日志文件包括的日志记录中出现的登录地址；针对每个登录地址，统计登录数据，得到历史日志文件的统计结果文件；使用选定的数据挖掘算法，对所述统计结果文件进行训练，得到回归分析模型。4.如权利要求3所述的方法，其特征在于，对所述统计结果文件进行训练，得到回归分析模型，具体包括：采用下列公式对统计结果文件进行训练，得到逻辑回归模型参数：其中，m表示数据的总个数；i表示第i个分量；j表示第j个日志文件；xi表示日志文件向量；yi表示是否恶意登录地址；a表示学习率；θ表示模型参数；使用得到的逻辑回归模型参数建立输入参数为统计结果文件中的登录数据，输出参数为是否恶意登录地址判断结果的逻辑回归模型；或使用决策树计算模型，得到决策树模型参数，使用得到的决策树模型参数建立输入参数为统计结果文件中的登录数据，输出参数为是否恶意登录地址判断结果的决策树模型。5.如权利要求4所述的方法，其特征在于，当逻辑回归模型是决策树模型时，根据每个登录地址的登录数据，通过所述回归分析模型确定登录地址是否是恶意登录地址，具体包括：将登录数据作为输入参数x输入下列逻辑回归模型，得到登录地址是否是恶意登录地址的输出结果hθ(x)：其中...

【专利技术属性】
技术研发人员：王嘉伟，
申请(专利权)人：微梦创科网络科技中国有限公司，
类型：发明
国别省市：北京,11