一种识别异常登录的方法和装置

技术领域

本发明涉及计算机技术领域，尤其涉及一种识别异常登录的方法和装置。

背景技术

随着互联网行业的不断发展，黑色攻击事件不断发生。攻击者通过漏洞攻破第三方网站或者黑市上购买等方式获取大量的用户名和密码，将获取到的用户名和密码尝试批量登录其他网站，如果登录成功则获取了用户的登录密码。目前，对异常登录行为的识别主要通过IP请求频率(统计一段时间内单个IP的请求次数)、请求特征(http请求的特征信息，例如用户代理userAgent，网站来路referrer)等进行识别。

在实现本发明过程中，发明人发现现有技术中至少存在如下问题：攻击者使用大量劫持的设备发起请求，单个IP请求的频率很低，和正常用户的IP请求频率相差不大，攻击者也可以通过程序动态的改变请求特征，从而绕过识别规则。

发明内容

有鉴于此，本发明实施例提供一种识别异常登录的方法，能够在保证正常用户登录通过情况下，有效识别出异常登录的用户，提高了识别准确率，从而可以快速、准确地检测出扫号行为，保障账号安全。

为实现上述目的，根据本发明实施例的一个方面，提供了一种识别异常登录的方法，包括：

确定登录请求发起者的历史请求记录；

根据所述历史请求记录和所述登录请求发起者当前的登录状态，确定所述登录请求发起者的登录失败情况；

在所述登录失败情况满足异常登录判定条件时，则确定所述登录请求发起者异常登录。

在可选的实施例中，确定登录请求发起者的历史请求记录包括：

确定登录请求发起者的IP地址；

根据所述IP地址，获取所述登录请求发起者的历史请求记录。

在可选的实施例中，所述历史请求记录包括所述登录请求发起者的扫号标识和首次请求时间；

在确定所述登录请求发起者的登录失败情况之前，所述方法还包括：

根据所述首次请求时间，确定所述扫号标识是否过期；

在所述扫号标识没有过期的情况下，判断所述扫号标识的值；

若所述扫号标识的值为预设值，则确定所述登录请求发起者异常登录。

在可选的实施例中，所述登录失败情况满足异常登录判定条件包括：登录失败率大于失败率阈值。

为实现上述目的，根据本发明实施例的另一个方面，提供了一种识别异常登录的装置，包括：

历史记录确定模块，用于确定登录请求发起者的历史请求记录；

登录情况确定模块，用于根据所述历史请求记录和所述登录请求发起者当前的登录状态，确定所述登录请求发起者的登录失败情况；

异常登录判断模块，用于在所述登录失败情况满足异常登录判定条件时，则确定所述登录请求发起者异常登录。

在可选的实施例中，所述历史记录确定模块还用于：确定登录请求发起者的IP地址；根据所述IP地址，获取所述登录请求发起者的历史请求记录。

在可选的实施例中，所述历史请求记录包括所述登录请求发起者的扫号标识和首次请求时间；

所述异常登录判断模块还用于：

根据所述首次请求时间，确定所述扫号标识是否过期；

在所述扫号标识没有过期的情况下，判断所述扫号标识的值；

若所述扫号标识的值为预设值，则确定所述登录请求发起者异常登录。

在可选的实施例中，所述登录失败情况满足异常登录判定条件包括：登录失败率大于失败率阈值。

为实现上述目的，根据本发明实施例的又一个方面，提供了一种电子设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现本发明实施例的识别异常登录的方法。

为实现上述目的，根据本发明实施例的一个方面，提供了一种计算机可读介质，其上存储有计算机程序，所述程序被处理器执行时实现本发明实施例的识别异常登录的方法。

上述发明中的一个实施例具有如下优点或有益效果：通过根据登录请求发起者的历史请求记录和该登录请求发起者当前的登录状态，确定该登录请求发起者的登录失败情况，在所述登录失败情况满足异常登录判定条件时，则确定所述登录请求发起者异常登录的手段，能够在保证正常用户登录通过情况下，有效识别出异常登录的用户，提高了识别准确率，从而可以快速、准确地检测出扫号行为，保障账号安全。

上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。

附图说明

附图用于更好地理解本发明，不构成对本发明的不当限定。其中：

图1是本发明实施例的识别异常登录的方法的主要流程的示意图；

图2是本发明另一个实施例的识别异常登录的方法的主要流程的示意图

图3是本发明实施例的识别异常登录的装置的主要模块的示意图；

图4是本发明实施例的识别异常登录的装置的识别异常登录的流程示意图；

图5是本发明实施例可以应用于其中的示例性系统架构图；

图6是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。

具体实施方式

以下结合附图对本发明的示范性实施例做出说明，其中包括本发明实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本发明的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。

图1是本发明实施例的识别异常登录的方法的主要流程示意图，如图1所示，该方法包括：

步骤S101：确定登录请求发起者的历史请求记录。

在本实施例中，该历史请求记录包括历史请求次数和历史登录失败次数，即登录请求发起者在此次登录请求之前发起的总请求次数和登录失败次数。

在可选的实施例中，可以根据如下过程获得登录请求发起者的历史请求记录：

确定登录请求发起者的IP地址；

根据所述IP地址，获取所述登录请求发起者的历史请求记录。

在本实施例中，可以在缓存中记录每个IP地址对应的登录请求发起者的历史请求记录。当接收到新的登录请求时可以根据当前的IP地址，从缓存中读取相应的历史请求记录。

步骤S102：根据所述历史请求记录和所述登录请求发起者当前的登录状态，确定所述登录请求发起者的登录失败情况。

其中，登录失败情况包括登录失败率，该登录失败率＝登录失败次数/总请求次数。

若所述登录请求发起者当前的登录状态包括失败和成功。若当前的登录状态为失败，则该登录请求发起者当前的登录失败率＝(历史登录失败次数+1)/(总请求次数+1)。若当前的登录状态为成功，则该登录请求发起者当前的登录失败率＝历史登录失败次数/(总请求次数+1)。

步骤S103：在所述登录失败情况满足异常登录判定条件时，则确定所述登录请求发起者异常登录。

在本步骤中，登录失败情况满足异常登录判定条件包括：登录失败率大于失败率阈值。即，当该登录请求发起者当前的登录失败率大于失败率阈值时，确定该登录请求发起者异常登录。其中，该失败率阈值在本发明不做限制。作为示例，该可以通过历史数据统计获得，正常IP的登录失败率和异常IP的登录失败率相差很大，通过登录失败率的分布图可以确定该登录失败率阈值。

本发明实施例的识别异常登录的方法，通过根据登录请求发起者的历史请求记录和该登录请求发起者当前的登录状态，确定该登录请求发起者的登录失败情况，在所述登录失败情况满足异常登录判定条件时，则确定所述登录请求发起者异常登录的手段，能够在保证正常用户登录通过情况下，有效识别出异常登录的用户，提高了识别准确率，从而可以快速、准确地检测出扫号行为，保障账号安全。

图2是本发明另一实施例的识别异常登录的方法的主要流程示意图，如图2所示，该方法包括：

步骤S201：确定登录请求发起者的IP地址；

步骤S202：根据所述IP地址，获取所述登录请求发起者的历史请求记录，其中，所述历史请求记录包括所述登录请求发起者的扫号标识(sc)、首次请求时间(ft)、历史请求次数(rc)和历史登录失败次数(fc)。

步骤S203：根据所述首次请求时间(ft)，确定所述扫号标识(sc)是否过期；

步骤S204：在所述扫号标识没有过期的情况下，判断所述扫号标识的值；

步骤S205：若所述扫号标识的值为预设值，则确定所述登录请求发起者异常登录；

步骤S206：在所述扫号标识的值不是预设值或在所述扫号标识过期的情况下，则判断该登录请求发起者的用户名和密码是否正确；

步骤S207：若正确，则该登录请求发起者当前的登录失败率＝历史登录失败次数/(总请求次数+1)；

步骤S208：若不正确，则该登录请求发起者当前的登录失败率＝(历史登录失败次数+1)/(总请求次数+1)；

步骤S209：判断该该登录请求发起者当前的登录失败率是否大于失败率阈值；

步骤S210：若是，则确定所述登录请求发起者异常登录；

步骤S211：若否，则确定所述登录请求发起者正常登录。

对于步骤S203，扫号标识用于标记某个IP之前是否存在扫号行为，若存在扫号行为，则将该IP对应的扫号标识标的值记为预设值，例如ture(真)；若不存扫号行为，则将该IP对应的扫号标识标的值记为false(假)。扫号标识是否过期是根据当前时间与首次请求时间(ft)之间的差值与预设的有效时间段来判断的。若当前时间与首次请求时间(ft)之间的差值小于或等于预设的有效时间段，则该扫号标识是有效的，若当前时间与与首次请求时间(ft)之间的差值大于预设的有效时间段，则该扫号标识是无效的。

对于步骤S207，本实施例是根据所述历史请求记录和所述登录请求发起者当前的登录状态，确定所述登录请求发起者的登录失败情况的，该登录状态包括登录成功和登录失败。而判断该登录请求发起者当前的登录状态是通过判断登录请求发起者填写的登录账号和登录密码是否正确来实现的。若当前登录账号和登录密码正确，则该登录请求发起者当前的登录状态为登录成功。若当前登录账号和登录密码其中一个不正确，则该登录请求发起者当前的登录状态为登录失败。

本发明实施例的识别异常登录的方法，通过根据登录请求发起者的历史请求记录和该登录请求发起者当前的登录状态，确定该登录请求发起者的登录失败情况，在所述登录失败情况满足异常登录判定条件时，则确定所述登录请求发起者异常登录的手段，能够在保证正常用户登录通过情况下，有效识别出异常登录的用户，提高了识别准确率，从而可以快速、准确地检测出扫号行为，保障账号安全。

图3是本发明实施例的识别异常登录的装置300的主要模块的示意图，如图3所示，该装置300包括：

历史记录确定模块301，用于确定登录请求发起者的历史请求记录；

登录情况确定模块302，用于根据所述历史请求记录和所述登录请求发起者当前的登录状态，确定所述登录请求发起者的登录失败情况；

异常登录判断模块303，用于在所述登录失败情况满足异常登录判定条件时，则确定所述登录请求发起者异常登录。

在可选的实施例中，所述历史记录确定模块301还用于：

确定登录请求发起者的IP地址；

根据所述IP地址，获取所述登录请求发起者的历史请求记录。

在可选的实施例中，所述历史请求记录包括所述登录请求发起者的扫号标识和首次请求时间；

所述异常登录判断模块303还用于：根据所述首次请求时间，确定所述扫号标识是否过期；在所述扫号标识没有过期的情况下，判断所述扫号标识的值；若所述扫号标识的值为预设值，则确定所述登录请求发起者异常登录。

在可选的实施例中，所述登录失败情况满足异常登录判定条件包括：登录失败率大于失败率阈值。

本发明实施例的识别异常登录的装置，通过根据登录请求发起者的历史请求记录和该登录请求发起者当前的登录状态，确定该登录请求发起者的登录失败情况，在所述登录失败情况满足异常登录判定条件时，则确定所述登录请求发起者异常登录的手段，能够在保证正常用户登录通过情况下，有效识别出异常登录的用户，提高了识别准确率，从而可以快速、准确地检测出扫号行为，保障账号安全。

上述装置可执行本发明实施例所提供的方法，具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节，可参见本发明实施例所提供的方法。

图4是本发明实施例的识别异常登录的装置的识别异常登录的流程示意图，如图4所示，该过程包括：

客户端向业务系统发起登录请求，业务系统根据该登录请求的IP地址，获取该登录请求发起者的历史请求信息，并将获取的历史请求信息发送到识别异常登录的装置，以识别该登录请求者是否是正常登录。该识别异常登录的装置根据接收到的历史请求信息和登录请求发起者当前的登录状态，判断该登录请求发起者的登录失败率是否大于失败率阈值，以判断该登录请求发起者是否是正常登录。具体的，先根据所述首次请求时间，确定所述扫号标识(sc)是否过期；在所述扫号标识没有过期的情况下，判断所述扫号标识的值；若所述扫号标识的值为预设值，则确定所述登录请求发起者异常登录；若所述扫号标识的值不是预设值，则判断该登录请求发起者的用户名和密码是否正确；在所述扫号标识过期的情况下，判断该登录请求发起者的用户名和密码是否正确；若正确，则该登录请求发起者当前的登录失败率＝历史登录失败次数/(总请求次数+1)；若不正确，则该登录请求发起者当前的登录失败率＝(历史登录失败次数+1)/(总请求次数+1)；判断该该登录请求发起者当前的登录失败率是否大于失败率阈值，若大于失败率，则确定所述登录请求发起者异常登录，若小于或等于失败率阈值，则确定所述登录请求发起者登录正常。

本发明实施例的识别异常登录的装置，通过根据登录请求发起者的历史请求记录和该登录请求发起者当前的登录状态，确定该登录请求发起者的登录失败情况，在所述登录失败情况满足异常登录判定条件时，则确定所述登录请求发起者异常登录的手段，能够在保证正常用户登录通过情况下，有效识别出异常登录的用户，提高了识别准确率，从而可以快速、准确地检测出扫号行为，保障账号安全。

图5示出了可以应用本发明实施例的识别异常登录的方法或识别异常登录的装置的示例性系统架构500。

如图5所示，系统架构500可以包括终端设备501、502、503，网络504和服务器505。网络504用以在终端设备501、502、503和服务器505之间提供通信链路的介质。网络504可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。

用户可以使用终端设备501、502、503通过网络504与服务器505交互，以接收或发送消息等。终端设备501、502、503上可以安装有各种通讯客户端应用，例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。

终端设备501、502、503可以是具有显示屏并且支持网页浏览的各种电子设备，包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。

服务器505可以是提供各种服务的服务器，例如对用户利用终端设备501、502、503所浏览的购物类网站提供支持的后台管理服务器。后台管理服务器可以对接收到的产品信息查询请求等数据进行分析等处理，并将处理结果(例如目标推送信息、产品信息)反馈给终端设备。

需要说明的是，本发明实施例所提供的识别异常登录的方法一般由服务器505执行，相应地，识别异常登录的装置一般设置于服务器505中。

应该理解，图5中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。

下面参考图6，其示出了适于用来实现本发明实施例的终端设备的计算机系统600的结构示意图。图6示出的终端设备仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图6所示，计算机系统600包括中央处理单元(CPU)601，其可以根据存储在只读存储器(ROM)602中的程序或者从存储部分608加载到随机访问存储器(RAM)603中的程序而执行各种适当的动作和处理。在RAM 603中，还存储有系统600操作所需的各种程序和数据。CPU 601、ROM 602以及RAM 603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。

以下部件连接至I/O接口605：包括键盘、鼠标等的输入部分606；包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分607；包括硬盘等的存储部分608；以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至I/O接口605。可拆卸介质611，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器610上，以便于从其上读出的计算机程序根据需要被安装入存储部分608。

特别地，根据本发明公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本发明公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分609从网络上被下载和安装，和/或从可拆卸介质611被安装。在该计算机程序被中央处理单元(CPU)601执行时，执行本发明的系统中限定的上述功能。

需要说明的是，本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、RF等等，或者上述的任意合适的组合。

附图中的流程图和框图，图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本发明实施例中所涉及到的模块可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中，例如，可以描述为：一种处理器包括发送模块、获取模块、确定模块和第一处理模块。其中，这些模块的名称在某种情况下并不构成对该单元本身的限定，例如，发送模块还可以被描述为“向所连接的服务端发送图片获取请求的模块”。

作为另一方面，本发明还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的设备中所包含的；也可以是单独存在，而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该设备执行时，使得该设备包括：

确定登录请求发起者的历史请求记录；

根据所述历史请求记录和所述登录请求发起者当前的登录状态，确定所述登录请求发起者的登录失败情况；

在所述登录失败情况满足异常登录判定条件时，则确定所述登录请求发起者异常登录。

本发明实施例的技术方案，通过根据登录请求发起者的历史请求记录和该登录请求发起者当前的登录状态，确定该登录请求发起者的登录失败情况，在所述登录失败情况满足异常登录判定条件时，则确定所述登录请求发起者异常登录的手段，能够在保证正常用户登录通过情况下，有效识别出异常登录的用户，提高了识别准确率，从而可以快速、准确地检测出扫号行为，保障账号安全。

上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，取决于设计要求和其他因素，可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。