本发明专利技术公开了一种账号异常检测方法、装置、系统及存储介质。其中,该方法包括:基于账号所属的群体的登录信息,确定所述群体对应的群体维度异常识别结果;基于所述账号对应的登录信息,确定所述账号对应的个体维度异常识别结果;基于所述群体维度异常识别结果和所述个体维度异常识别结果确定所述账号是否异常。由于结合了群体维度和个体维度两方面的识别结果进行综合判断,可以提高识别账号异常的准确性,且识别过程中不需要依赖登录设备信息、密码明文等附加信息,具有良好的场景普适性。具有良好的场景普适性。具有良好的场景普适性。
【技术实现步骤摘要】
一种账号异常检测方法、装置、系统及存储介质
[0001]本专利技术涉及网络安全领域,尤其涉及一种账号异常检测方法、装置、系统及存储介质。
技术介绍
[0002]账号异常登录活动预示着实际操控账号的使用者为非正常用户,往往意味着该账号可能已经失窃或者存在滥用/违规操作问题,将对系统数据或用户资产造成极大危害。比如,数据库管理员账号失窃可能会造成大量敏感数据泄密或丢失;又如,个人用户社交网站账号被盗后可以被黑客用来进行钓鱼攻击、传播不法音视频内容或恶意软件。基于上述事实,快速、准确发现账号异常活动,对个人或者企业都具有非常重要的价值。
技术实现思路
[0003]有鉴于此,本专利技术实施例提供了一种账号异常检测方法、装置、系统及存储介质,旨在快速、准确识别账号异常活动。
[0004]本专利技术实施例的技术方案是这样实现的:
[0005]本专利技术实施例提供了一种账号异常检测方法,包括:
[0006]基于账号所属的群体的登录信息,确定所述群体对应的群体维度异常识别结果;
[0007]基于所述账号的登录信息,确定所述账号对应的个体维度异常识别结果;
[0008]基于所述群体维度异常识别结果和所述个体维度异常识别结果确定所述账号是否异常。
[0009]本专利技术实施例又提供了一种账号异常检测装置,包括:
[0010]第一确定模块,用于基于账号所属的群体的登录信息,确定所述群体对应的群体维度异常识别结果;
[0011]第二确定模块,用于基于所述账号的登录信息,确定所述账号对应的个体维度异常识别结果;
[0012]异常判定模块,用于基于所述群体维度异常识别结果和所述个体维度异常识别结果确定所述账号是否异常。
[0013]本专利技术实施例还提供了一种账号异常检测系统,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,其中,所述处理器,用于运行计算机程序时,执行本专利技术实施例所述方法的步骤。
[0014]本专利技术实施例又提供了一种存储介质,所述存储介质上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现本专利技术实施例所述方法的步骤
[0015]本专利技术实施例提供的技术方案,基于账号所属的群体对应的群体维度异常识别结果和所述账号对应的个体维度异常识别结果确定所述账号是否异常。由于结合了群体维度和个体维度两方面的识别结果进行综合判断,可以提高识别账号异常的准确性,且识别过程中不需要依赖登录设备信息、密码明文等附加信息,具有良好的场景普适性。
附图说明
[0016]图1为本专利技术实施例账号异常检测方法的流程示意图;
[0017]图2为本专利技术实施例账号异常检测装置的结构示意图;
[0018]图3为本专利技术应用实施例账号异常检测装置的结构示意图;
[0019]图4为本专利技术实施例账号异常检测系统的结构示意图。
具体实施方式
[0020]下面结合附图及实施例对本专利技术再作进一步详细的描述。
[0021]除非另有定义,本文所使用的所有的技术和科学术语与属于本专利技术的
的技术人员通常理解的含义相同。本文中在本专利技术的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本专利技术。
[0022]相关技术中,为了识别账号异常,账号异常活动检测方案包括以下两种:
[0023]1、基于个人历史记录的统计方法,主要通过从用户个人历史行为角度出发,指定多种相关统计指标,比如是否出现大量登录失败、是否出现境外IP登录等人工特征。这种方法考虑了从用户自身的历史信息中挖掘异常,但未能对比其他用户的操作模式,可能存在检出灵敏但误报较高的风险,而且该方案需要人工设置的参数较多,不便于适配不同的具体场景;
[0024]2、基于用户行为序列相似度检测,根据用户时间窗口内的访问或操作行为转化为序列数据对象,比较用户与其他用户之间差异性是否达到阈值,如果超过设定阈值,则认为属于异常。该方法只考虑了用户之间的差异性,没有考虑少量个体账号操作行为的合法性以及个体账号自身登录行为变化的情况,误报和漏报都容易出现。
[0025]基于此,在本专利技术的各种实施例中,基于账号所属群体对应的群体维度异常识别结果和所述账号对应的个体维度异常识别结果确定所述账号是否异常。这里,账号异常包括:账号失陷、账号滥用等。其中,账号失陷是指账号被黑客通过社会工程学或撞库的方法获取了访问权,导致该账号会被用来执行有害操作;账号滥用是指用户违反安全规定,将账号访问方式共享给其他人员,导致出现操作行为偏差或风险操作的情况。本专利技术实施例由于结合了群体维度和个体维度两方面的识别结果进行综合判断,可以提高识别账号异常的准确性,且识别过程中不需要依赖登录设备信息、密码明文等附加信息,具有良好的场景普适性。
[0026]如图1所示,本专利技术实施例提供了一种账号异常检测方法,包括:
[0027]步骤101,基于账号所属的群体的登录信息,确定所述群体对应的群体维度异常识别结果。
[0028]步骤102,基于所述账号的登录信息,确定所述账号对应的个体维度异常识别结果。
[0029]步骤103,基于所述群体维度异常识别结果和所述个体维度异常识别结果确定所述账号是否异常。
[0030]本专利技术实施例中,基于所述群体维度异常识别结果和所述个体维度异常识别结果确定所述账号对应的异常判定值,若所述异常判定值大于或等于设定值,则确定所述账号异常。
[0031]由于结合了群体维度和个体维度两方面的识别结果进行综合判断,本专利技术实施例账号异常检测方法可以提高识别账号异常的准确性,且识别过程中不需要依赖登录设备信息、密码明文等附加信息,具有良好的场景普适性。
[0032]在一实施例中,对用户输入的账号的登录信息进行解析和预处理,转换为内部统一标准,并对转换后的字段内容进行规范化处理,得到与账号登录信息对应的字段信息。在一示例中,所述字段信息包括:登录时间、登录结果(登录成功还是失败)、用户名(即账号的名称)、源IP、登录目标(主机IP或URL(统一资源定位符))。该解析和预处理步骤,还可以对缺省的信息或异常值进行填充,比如,将缺失的用户名填充为
‘
unknown
’
;IP地址如果不合法或者缺失统一填充为
‘
0.0.0.0
’
。
[0033]本专利技术实施例中,为了确定账号所属的群体,可以基于所述账号对应的预设属性确定所述账号所属的群体,或者基于所述账号对应历史访问记录确定所述账号所属的群体。
[0034]在一实施例中,可以基于所述账号对应的预设属性确定所述账号所属的群体。具体地,可以基于用户配置,通过接入第三方日志或用户自行设定来进行账号所属的群体的划分。比如,对于特定企业内部而言,面向主机账户场景,可以导入域控服务器的信息,该域控服务器负责每一台联入网络的电脑和用户的验证工作,根据各账号对应群体分组属性来进行划分;面向内部邮件场景,可以导入员工部门本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种账号异常检测方法,其特征在于,包括:基于账号所属的群体的登录信息,确定所述群体对应的群体维度异常识别结果;基于所述账号的登录信息,确定所述账号对应的个体维度异常识别结果;基于所述群体维度异常识别结果和所述个体维度异常识别结果确定所述账号是否异常。2.根据权利要求1所述的方法,其特征在于,所述基于账号所属的群体的登录信息,确定所述群体对应的群体维度异常识别结果,包括:针对所述群体的每个账号的登录信息,统计设定时长内各账号对应的向量,得到所述群体对应的向量集合;其中,所述向量基于以下至少之一生成:账号的登录成功次数、账号的登录失败次数、账号登录成功对应的不同源IP地址的数量、账号登录对应的稀有源IP地址的数量;对所述向量集合进行归一化处理,对归一化处理后的数据基于聚类算法确定出异常账号集合,所述异常账号集合作为所述群体维度异常识别结果。3.根据权利要求1所述的方法,其特征在于,所述基于所述账号的登录信息,确定所述账号对应的个体维度异常识别结果,包括以下至少之一:基于所述账号对应的历史登录次数时间序列确定所述账号对应的第一识别结果;基于所述账号对应的相邻两次登录源IP地址的地理位置距离确定所述账号对应的第二识别结果;基于所述账号是否出现的新IP登录成功的情形确定所述账号对应的第三识别结果;基于所述账号是否出现异常登录地登录的情形确定所述账号对应的第四识别结果。4.根据权利要求1所述的方法,其特征在于,所述基于所述群体维度异常识别结果和所述个体维度异常识别结果确定所述账号是否异常,包括:基于所述群体维度异常识别结果和所述个体维度异常识别结果确定所述账号对应的异常判定值,若所述异常判定值大于或等于设定值,确定所述账号异常。5.根据权利要求4所述的方法,其特征在于,所述基于所述群体维度异常识别结果和所述个体维度异常识别结果确定所述账号对应的异...
【专利技术属性】
技术研发人员:李可,位凯志,王大伟,古亮,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。