异常登录行为识别方法、控制器及介质

异常登录行为识别方法、控制器及介质

　　技术领域

　　本发明涉及网络安全技术领域，尤其涉及一种异常登录行为识别方法、控制器及介质。

　　背景技术

　　现有判断网站异常登陆的行为通常都是通过判断登陆者的IP地址进行的，当在预定的时间内接收到来自于同一个IP地址的超过预定数量的登陆请求时，即判断该IP地址的登陆请求均为异常登陆请求。

　　现有技术虽然能够有效的识别异常登陆请求，但是，在预定的时间内接收到来自于同一个正常的IP地址的超过预定数量的登陆请求时，也会将来自于同一IP的正常登陆行为误判为异常登录行为，因此造成识别结果准确度低。此外，如果异常登陆来自于多个不同的IP地址，这种情况也无法准确识别出异常登录请求。

　　发明内容

　　本发明目的在于，提供一种异常登录行为识别方法、控制器及介质，通过对登录账号行为进行多个维度的分析，从而能够更加准确地识别出异常登陆行为，减少误判。

　　为了解决上述技术问题，本发明提供了一种异常登录行为识别方法，包括:

　　获取预设时间内待测网站的访问数据，所述访问数据包括多个IP地址以及每一IP地址对应的登录账号信息和登录密码信息；

　　基于所有IP地址请求的账号信息和密码信息确定异常登陆请求；

　　将所述异常登录请求对应的IP地址确定为异常IP地址。

　　进一步的，所述基于所有IP地址请求的账号信息和密码信息确定异常登陆请求信息包括：

　　获取所有IP地址请求对应的登录账号信息和登录密码信息中，账号相同、密码不同的登录请求的数量，若超过预设的第一数量阈值，则确定所有账号相同、密码不同的登录请求为异常登录请求。

　　进一步的，所述基于所述IP地址请求的账号信息和密码信息判断所述IP地址请求是否为异常IP请求，包括：

　　获取所述IP地址请求对应的登录账号信息和登录密码信息中，账号不同、密码不同，但是包头UA字段相同的登录请求数量，若超过第二数量阈值，则确定所有账号不同、密码不同，但是包头UA字段相同的登录请求为异常登录请求。

　　进一步的，所述基于所述IP地址请求的账号信息和密码信息判断所述IP地址请求是否为异常IP请求，包括：

　　将所述IP地址请求对应的登录账号信息和登录密码信息中，登录账号信息和登录密码信息均属于预设数据库中的登录请求确定为异常登录请求。

　　进一步的，所述预设数据库中存储有网络爆破弱账号信息和弱口令密码信息。

　　进一步的，所述获取预设时间内待测网站的访问数据，所述访问数据包括多个IP地址以及每一IP地址对应的登录账号信息和登录密码信息，之后还包括：

　　判断每一所述IP地址的请求时间间隔是否小于预设的间隔阈值，若是，则将对应的IP地址确定为异常IP地址。

　　进一步的，所述方法还包括，将所有未确定为异常IP地址的IP地址，确定为正常IP地址。

　　进一步的，所述预设时间为3分钟，所述第一预设数量阈值为5，第二预设数量为10。

　　根据本发明又一方面，提供一种控制器，其包括存储器与处理器，所述存储器存储有计算机程序，所述程序在被所述处理器执行时能够实现所述方法的步骤。

　　根据本发明又一方面，提供一种计算机可读存储介质，用于存储计算机程序，所述程序在由一计算机或处理器执行时实现所述方法的步骤。

　　本发明与现有技术相比具有明显的优点和有益效果。借由上述技术方案，本发明一种异常登录行为识别方法、控制器及介质可达到相当的技术进步性及实用性，并具有产业上的广泛利用价值，其至少具有下列优点：

　　(1)本发明基于多个IP地址的登录账号信息和登录密码信息综合进行判断，能够更加准确地识别出异常登陆行为，不会将同一个正常的IP地址的超过预定数量的登陆请求误判为异常登陆，减少误判，提高了异常登陆行为识别的准确度，尤其能有效识别出采用不同的IP地址来进行异常登陆的行为。

　　(2)本发明可以从多个维度来确定异常登录请求，从而能够更加准确、全面，可靠地识别出采用不同的IP地址来进行异常登陆的行为。

　　(3)本发明还可有效识别同一个IP地址的异常登录行为，再结合识别出采用不同的IP地址来进行异常登陆的行为，从而可以识别出所有的异常IP地址，识别效率高，准确率高。

　　上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其他目的、特征和优点能够更明显易懂，以下特举较佳实施例，并配合附图,详细说明如下。

　　附图说明

　　图1为本发明一实施例提供的异常登录行为识别方法示意图。

　　具体实施方式

　　为更进一步阐述本发明为达成预定发明目的所采取的技术手段及功效,以下结合附图及较佳实施例，对依据本发明提出的一种异常登录行为识别方法、控制器及介质的具体实施方式及其功效，详细说明如后。

　　本发明实施例提供了一种异常登录行为识别方法，如图1所示，包括:

　　步骤S1、获取预设时间内待测网站的访问数据，所述访问数据包括多个IP地址以及每一IP地址对应的登录账号信息和登录密码信息；

　　步骤S2、基于所有IP地址请求的账号信息和密码信息确定异常登陆请求；

　　步骤S3、将所述异常登录请求对应的IP地址确定为异常IP地址。

　　本发明基于多个IP地址的登录账号信息和登录密码信息综合进行判断，能够更加准确地识别出异常登陆行为，不会将同一个正常的IP地址的超过预定数量的登陆请求误判为异常登陆，减少误判，提高了异常登陆行为识别的准确度，尤其能有效识别出采用不同的IP地址来进行异常登陆的行为。

　　采用不同的IP地址来进行异常登陆的行为包主要可以分为两类，第一类是帐号密码爆破行为，是指通过自动化程序的方式，利用准备好的记录有大量账号密码的字典文件，以极短的时间间隔，尝试登录网站或者系统，直到登录成功或者字段文件内的账号密码全部尝试了一次的行为。帐号密码试错行为，是指通过人工的方式，利用收集到的网站用户常用的账号密码信息，尝试登录网站或者系统而定行为。

　　作为一种示例，所述步骤S2包括步骤S21：获取所有IP地址请求对应的登录账号信息和登录密码信息中，账号相同、密码不同的登录请求的数量，若超过预设的第一数量阈值，则确定所有账号相同、密码不同的登录请求为异常登录请求。

　　作为一种示例，所述步骤S2还包括步骤S22、

　　获取所述IP地址请求对应的登录账号信息和登录密码信息中，账号不同、密码不同，但是包头UA(User Agent，简称用户代理)字段相同的登录请求数量，若超过第二数量阈值，则确定所有账号不同、密码不同，但是包头UA字段相同的登录请求为异常登录请求。

　　作为一种示例，所述步骤S2还包括步骤S23：

　　将所述IP地址请求对应的登录账号信息和登录密码信息中，登录账号信息和登录密码信息均属于预设数据库中的登录请求确定为异常登录请求。

　　其中，所述预设数据库中存储有网络爆破弱账号信息和弱口令密码信息，网络爆破弱账号信息和弱口令密码信息是指大量用户都会使用的、简单的账号密码合集，例如admin/123456。

　　通过以上示例的每一维度均可识别出该维度下对应的异常登录请求，然后通过步骤S3将所述异常登录请求对应的IP地址确定为异常IP地址。

　　作为一种示例，所述步骤2还包括：

　　步骤S201、获取所有IP地址请求对应的登录账号信息和登录密码信息中，账号相同、密码不同的登录请求的数量，若超过预设的第一数量阈值，则确定所有账号相同、密码不同的登录请求为异常登录请求；

　　步骤S202、获取所述IP地址请求对应的登录账号信息和登录密码信息中，账号不同、密码不同，但是包头UA字段相同的登录请求数量，若超过第二数量阈值，则确定所有账号不同、密码不同，但是包头UA字段相同的登录请求为异常登录请求；

　　步骤S203、将所述IP地址请求对应的登录账号信息和登录密码信息中，登录账号信息和登录密码信息均属于预设数据库中的登录请求确定为异常登录请求，其中，所述预设数据库中存储有网络爆破弱账号信息和弱口令密码信息。

　　通过步骤S201-步骤S203可以从多个维度来确定异常登录请求，能够更加准确、全面，可靠地识别出采用不同的IP地址来进行异常登陆的行为。

　　作为另一种示例，在步骤S1之后，还可包括步骤S10、判断每一所述IP地址的请求时间间隔是否小于预设的间隔阈值，若是，则将对应的IP地址确定为异常IP地址。

　　通过步骤S10可以有效识别同一个IP地址的异常登录行为。步骤S10执行完毕后，继续执行步骤S2-步骤S3，识别出采用不同的IP地址来进行异常登陆的行为，至此，可以识别出所有的异常IP地址，识别效率高，准确率高。步骤S3执行完毕后，将除步骤S10和步骤S3确定的异常IP之外的所有IP地址，确定为正常IP地址。根据具体应用需求，可输出异常IP地址和正常IP地址。

　　根据本发明又一方面，提供一种控制器，其包括存储器与处理器，所述存储器存储有计算机程序，所述程序在被所述处理器执行时能够实现所述方法的步骤。

　　作为一种具体的实时例，预设时间可以设置为3分钟，对应的，所述第一预设数量阈值为5，第二预设数量阈值为10。但可以理解的是，上述具体数值仅为一种示例，预设时间、第一预设数量阈值、第二预设数量阈值可根据具体使用场景和使用需求来具体设定。

　　本发明实施例还提供一种控制器，其包括存储器与处理器，所述存储器存储有计算机程序，所述程序在被所述处理器执行时能够实现所述异常登录行为识别方法的步骤。

　　本发明实施例还提供一种计算机可读存储介质，用于存储计算机程序，所述程序在由一计算机或处理器执行时实现所述异常登录行为识别方法的步骤。

　　本发明实施例基于多个IP地址的登录账号信息和登录密码信息综合进行判断，能够更加准确地识别出异常登陆行为，不会将同一个正常的IP地址的超过预定数量的登陆请求误判为异常登陆，减少误判，提高了异常登陆行为识别的准确度，尤其能有效识别出采用不同的IP地址来进行异常登陆的行为，从而为分析网站登录访问人员访问行为分析提供准确地数据，此外。本发明实施例还可以从多个维度来确定异常登录请求，从而能够更加准确、全面，可靠地识别出采用不同的IP地址来进行异常登陆的行为。此外，本发明实施例还可有效识别同一个IP地址的异常登录行为，再结合识别出采用不同的IP地址来进行异常登陆的行为，从而可以识别出所有的异常IP地址，识别效率高，准确率高。

　　以上所述，仅是本发明的较佳实施例而已，并非对本发明作任何形式上的限制，虽然本发明已以较佳实施例揭露如上，然而并非用以限定本发明,任何熟悉本专业的技术人员，在不脱离本发明技术方案范围内,当可利用上述揭示的技术内容作出些许更动或修饰为等同变化的等效实施例,但凡是未脱离本发明技术方案的内容，依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰，均仍属于本发明技术方案的范围内。