一种登录异常检测方法、系统及设备技术方案

本发明专利技术涉及一种登录异常检测方法、系统及设备。包括：获取用户历史预设时间区段内的登录数据；根据所述登录数据生成基于登录的时间节点、时间类型、登录IP所属城市、两地登录速度、两次登录时间间隔、登录尝试次数中至少两维度的登录异常指数，其中，登录的时间节点、时间类型、登录IP所属城市维度至少存在一个；获取新的登录数据，结合最新登录数据的维度及该维度对应的所述登录异常指数，生成异常得分。即多维度聚合解决单一维度误报的问题，通过更多的检测维度完善目前维度不足，提高异常登录命中率。通过登录数据依据权重评分或/和异常检测算法，筛选出高分数据进行调查，多种检测方式进行检测，从根本上杜绝异常登录误漏的情况。

Login abnormal detection method, system and equipment

The invention relates to a login abnormal detection method, a system and a device. Include: login data to get the user history section within a preset time; according to the log data generation time node, login time type, login IP based on the city, two speed, two login login time interval, at least two times in attempts to log on the dimensions of the abnormal index, the time node, login time type, login IP of the city has at least one dimension; access data, the login anomaly index combined with the latest login data dimension and the dimension corresponding to the generation of abnormal scores. That is to say, multi dimensional aggregation solves the problem of single dimension false positives, improves the current dimension deficiency through more detection dimensions, and improves the abnormal login hit rate. Through the login data according to the weight score or / and anomaly detection algorithm, screening of high score data for investigation, a variety of detection methods for testing, fundamentally eliminate the abnormal login, false leakage.

【技术实现步骤摘要】
一种登录异常检测方法、系统及设备
本专利技术涉及数据交换网络，尤其涉及一种登录异常检测方法、系统及设备。
技术介绍
目前用户异常登录检查中通常基于单维度等静态规则进行匹配，在实际的应用中产生大量的假报警，导致调查人员无法一一覆盖调查异常事件，真正异常事件未被调查发现；目前常见异常登录检测维度存在凌晨登录、异地登录、多次访问失败常见维度，对真正的异常检测维度不足；目前的检测维度仅对于规则本身，尚未考虑用户自身操作习惯以及用户所在群体的操作习惯。上述每个问题，现有技术均无法解决，更不用说是同时解决上述问题，本专利技术经过大量的实验、研究开发了一种登录异常检测方法及系统，突破性的解决了上述所有问题，对本领域技术人员而言具有里程碑式的意义。
技术实现思路
为了解决上述技术问题，本专利技术的目的在于提供一种登录异常检测方法、系统及设备。根据本专利技术的一个方面，提供了一种登录异常检测方法，包括以下步骤：获取用户历史预设时间区段内的登录数据；根据所述登录数据生成基于登录的时间节点、时间类型、登录IP所属城市、两地登录速度、两次登录时间间隔、登录尝试次数中至少两维度的登录异常指数，其中，登录的时间节点、时间类型、登录IP所属城市维度至少存在一个；获取新的登录数据，结合最新登录数据的维度及该维度对应的所述登录异常指数，生成异常得分。本专利技术基于用户自身操作习惯以及用户所在群体的操作为基础建立通过时间节点、时间类型、登录IP所属城市、两地登录速度、两次登录时间间隔、登录尝试次数中至少两个维度，即多维度聚合解决单一维度误报的问题。通过更多的检测维度完善目前维度不足，检测精度高。用户无历史成功登录数据或成功登录数据累计不足预设时间区段时，异常指数赋值则为0％。进一步的，基于登录的时间节点的异常指数的生成包括：获取用户在历史预设时间区段内的成功登录数据；根据所述成功登录数据，按照时间节点顺序创建登录习惯表；获取最新的登录数据的时间节点，与所述登录习惯表对比；若最新登录数据所在时间节点与登录习惯表上的时间节点的正常值的时长间隔大于预设阈值，则为异常登录并生成异常指数；若最新登录数据所在时间节点与登录习惯表上的时间节点的正常值的时长间隔小于等于预设阈值，则为正常登录。该时间节点为一小时或半小时。进一步的，所述按照时间节点顺序创建登录习惯表包括，获取历史预设时间区段内用户各时间节点中最低登录次数；遍历各时间节点，将各时间节点的登录次数与最低登录次数对比，若大于等于最低登录次数，则将该时间节点标记为第一标识；若小于最低登录次数，且相邻的时间节点为第一标识，则将该时间节点标记为第一标识；生成习惯表。统计用户在各个时间节点成功登录的次数；计算其登录次数的平均值以及标准差；定义用户的最低登录次数＝平均值-n×标准差；其中，n＝0-2。n可根据具体业务场景设定，通常取1。进一步的，在生成习惯表之前还包括，查找未标记第一标识的孤立的时间节点；获取孤立的时间节点的位置，判断该时间节点是否位于两第一标识之间；若是，则将该孤立的时间节点标记为第二标识；若否，则将该孤立的时间节点标记为第三标识。进一步的，若最新登录数据所在时间节点与登录习惯表上的时间节点的正常值的距离大于预设阈值，包括：判断该最新登录时间节点距离第一标识或第二标识是否在预设的时长范围内，若超过预设时长范围则为异常，并根据其超出预设时长范围的时长距离生成异常指数。若最新登录数据所在时间节点与登录习惯表上的时间节点的正常值的距离小于等于预设阈值，包括：判断该最新登录时间节点距离第一标识或第二标识是否在预设的时长范围内，若未超过预设时长范围则为正常。优选，该最新登录时间节点正好对应第一标识或第二标识时，登录正常，若与第一标识或第二标识未对应，则异常，异常指数根据距离最近第一标识或第二标识的时长距离获取。进一步的，基于时间类型的异常指数的生成包括：获取用户在预设历史时间区段内的成功登录数据；将预设历史时间区段映射为工作日类型、全息日类型及节假日类型；计算各日期类型的登录比例，生成登录习惯类型；获取最新登录数据所属的日期类型；将最新登录类型与登录习惯类型对比，并生成基于时间类型的登录异常指数。全息日比例＝全息日登录的天数/全息日天数；节假日比例＝节假日登录的天数/节假日天数；工作日比例＝工作日登录的天数/工作日天数。进一步的，所述生成登录习惯类型包括，将各日期类型登录比例与登录平均值比较；若该日期类型的登录比例大于所述登录平均值，则生成第一习惯登录类型；若该日期类型的登录比例小于等于所述登录平均值，则生成非第一习惯登录类型。非第一习惯登录类型包括第二习惯性时间类型类型、第三习惯性时间类型类型，如果该日期类型的登录比例小于所述登录平均值×50％，为用户第二习惯性时间类型类型；如果该日期类型的登录比例小于所述登录平均值×30％，为用户第三习惯性时间类型类型。进一步的，将最新登录类型与登录习惯类型对比，并生成基于时间类型的登录异常指数，包括，将最新登录数据所属日期类型与登录习惯类型对比；若最新登录数据所属的日期类型为第一习惯登录类型，则为正常；若最新登录数据所属的日期类型为非第一习惯登录类型，则为异常，并根据距离所述登录平均值的数值间隔，生成异常指数。进一步的，基于两次登录时间间隔异常指数的生成包括：获取最新登录与上次登录的时间间隔；若两次登录的时间间隔小于预设的阈值，则为正常；若两次登录的时间间隔大于预设的阈值，则为异常，并根据距离阈值的时长生成异常指数。该阈值可以为7-15天。进一步的，基于登录IP所属城市异常指数的生成包括，获取用户历史预设时间区段内的登录数据；获取用户发生过登录操作的城市，并生成各城市登录比例及用户登录平均值；将各城市的登录比例与用户登录平均值进行对比，生成习惯登录IP所属城市；获取最新登录IP所属的城市；将该最新登录IP所属的城市与习惯登录IP所属城市对比，并生成基于登录IP所属城市的异常指数。进一步的，所述生成习惯登录IP所属城市包括，对比各城市的登录比例与平均值；若该登录IP所属城市的登录比例大于平均值，则为第一习惯登录IP所属城市；若该登录IP所属城市的登录比例小于等于平均值，则为非第一习惯登录IP所属城市。该非第一习惯登录IP所属城市包括第二习惯登录IP所属城市、第三习惯登录IP所属城市，如果该城市登录比例小于该用户登录IP所属城市的平均值×50％，则该城市为用户第二习惯登录IP所属城市；如果该城市登录比例小于该用户登录IP所属城市的平均值×30％，则该城市为用户第三习惯登录IP所属城市。进一步的，所述生成基于登录IP所属城市的异常指数包括，将最新登录IP所属城市与登录习惯城市对比，若最新登录操作发生在第一习惯登录IP所属城市，则为正常；若登录操作发生在非第一习惯登录IP所属城市，则为异常，并根据距离所述平均值的数值间隔，生成异常指数。进一步的，基于两地登录速度异常指数的生成包括如下步骤：获取用户两地登录速度，用户两地登录速度＝|用户上一次登录IP所属城市-用户本次登录IP所属城市|÷|用户上一次登录时间-用户本次登录时间|；将用户两地登录速度与预设速度阈值比较，若用户两地登录速度小于等于预设速度阈值则正常，若用户两地登录速度大于预设速度阈值则为异常，根据用户两地登录速度与本文档来自技高网...

【技术保护点】
一种登录异常检测方法，其特征是，包括以下步骤：获取用户历史预设时间区段内的登录数据；根据所述登录数据生成基于登录的时间节点、时间类型、登录IP所属城市、两地登录速度、两次登录时间间隔、登录尝试次数中至少两维度的登录异常指数，其中，登录的时间节点、时间类型、登录IP所属城市维度至少存在一个；获取新的登录数据，结合最新登录数据的维度及该维度对应的所述登录异常指数，生成异常得分。

【技术特征摘要】
1.一种登录异常检测方法，其特征是，包括以下步骤：获取用户历史预设时间区段内的登录数据；根据所述登录数据生成基于登录的时间节点、时间类型、登录IP所属城市、两地登录速度、两次登录时间间隔、登录尝试次数中至少两维度的登录异常指数，其中，登录的时间节点、时间类型、登录IP所属城市维度至少存在一个；获取新的登录数据，结合最新登录数据的维度及该维度对应的所述登录异常指数，生成异常得分。2.根据权利要求1所述的登录异常检测方法，其特征是，基于登录的时间节点的异常指数的生成包括，获取用户在历史预设时间区段内的成功登录数据；根据所述成功登录数据，按照时间节点顺序创建登录习惯表；获取最新的登录数据的时间节点，与所述登录习惯表对比；若最新登录数据所在时间节点与登录习惯表上的时间节点的正常值的时长间隔大于预设阈值，则为异常登录并生成异常指数；若最新登录数据所在时间节点与登录习惯表上的时间节点的正常值的时长间隔小于等于预设阈值，则为正常登录。3.根据权利要求2所述的登录异常检测方法，其特征是，所述按照时间节点顺序创建登录习惯表包括，获取历史预设时间区段内用户各时间节点中最低登录次数；遍历各时间节点，将各时间节点的登录次数与最低登录次数对比，若大于等于最低登录次数，则将该时间节点标记为第一标识；若小于最低登录次数，且相邻的时间节点为第一标识，则将该时间节点标记为第一标识；生成习惯表。4.根据权利要求3所述的登录异常检测方法，其特征是，在生成习惯表之前还包括，查找未标记第一标识的孤立的时间节点；获取孤立的时间节点的位置，判断该时间节点是否位于两第一标识之间；若是，则将该孤立的时间节点标记为第二标识；若否，则将该孤立的时间节点标记为第三标识。5.根据权利要求4所述的登录异常检测方法，其特征是，若最新登录数据所在时间节点与登录习惯表上的时间节点的正常值的距离大于预设阈值，则为异常登录并生成异常指数，包括判断该最新登录时间节点距离第一标识或第二标识是否在预设的时长范围内，若超过预设时长范围则为异常，并根据其超出预设时长范围的时长距离生成异常指数。6.根据权利要求4所述的登录异常检测方法，其特征是，若最新登录数据所在时间节点与登录习惯表上的时间节点的正常值的距离小于等于预设阈值，包括判断该最新登录时间节点距离第一标识或第二标识是否在预设的时长范围内，若未超过预设时长范围则为正常。7.根据权利要求1所述的登录异常检测方法，其特征是，基于时间类型的异常指数的生成包括，获取用户在预设历史时间区段内的成功登录数据；将预设历史时间区段映射为工作日类型、全息日类型及节假日类型；计算各日期类型的登录比例，生成登录习惯类型；获取最新登录数据所属的日期类型；将最新登录类型与登录习惯类型对比，并生成基于时间类型的登录异常指数。8.根据权利要求7所述的登录异常检测方法，其特征是，所述生成登录习惯类型包括，将各日期类型登录比例与登录平均值比较；若该日期类型的登录比例大于所述登录平均值，则生成第一习惯登录类型；若该日期类型的登录比例小于等于所述登录平均值，则生成非第一习惯登录类型。9.根据权利要求8所述的登录异常检测方法，其特征是，将最新登录类型与登录习惯类型对比，并生成基于时间类型的登录异常指数，包括，将最新登录数据所属日期类型与登录习惯类型对比；若最新登录数据所属的日期类型为第一习惯登录类型，则为正常；若最新登录数据所属的日期类型为非第一习惯登录类型，则为异常，并根据距离所述登录平均值的数值间隔，生成异常指数。10.根据权利要求1所述的登录异常检测方法，其特征是，基于两次登录时间间隔异常指数的生成包括，获取最新登录与上次登录的时间间隔；若两次登录的时间间隔小于预设的阈值，则为正常；若两次登录的时间间隔大于预设的阈值，则为异常，并...

【专利技术属性】
技术研发人员：黄丽诗，胡泽柱，
申请(专利权)人：顺丰科技有限公司，
类型：发明
国别省市：广东,44