异常登录行为识别方法、控制器及介质技术

本发明专利技术涉及一种异常登录行为识别方法、控制器及介质，所述方法包括获取预设时间内待测网站的访问数据，所述访问数据包括多个IP地址以及每一IP地址对应的登录账号信息和登录密码信息；基于所有IP地址请求的账号信息和密码信息确定异常登陆请求；将所述异常登录请求对应的IP地址确定为异常IP地址。本发明专利技术通过对登录账号行为进行多个维度的分析，能够更加准确地识别出异常登陆行为，减少误判。

【技术实现步骤摘要】
异常登录行为识别方法、控制器及介质
本专利技术涉及网络安全
，尤其涉及一种异常登录行为识别方法、控制器及介质。
技术介绍
现有判断网站异常登陆的行为通常都是通过判断登陆者的IP地址进行的，当在预定的时间内接收到来自于同一个IP地址的超过预定数量的登陆请求时，即判断该IP地址的登陆请求均为异常登陆请求。现有技术虽然能够有效的识别异常登陆请求，但是，在预定的时间内接收到来自于同一个正常的IP地址的超过预定数量的登陆请求时，也会将来自于同一IP的正常登陆行为误判为异常登录行为，因此造成识别结果准确度低。此外，如果异常登陆来自于多个不同的IP地址，这种情况也无法准确识别出异常登录请求。
技术实现思路
本专利技术目的在于，提供一种异常登录行为识别方法、控制器及介质，通过对登录账号行为进行多个维度的分析，从而能够更加准确地识别出异常登陆行为，减少误判。为了解决上述技术问题，本专利技术提供了一种异常登录行为识别方法，包括:获取预设时间内待测网站的访问数据，所述访问数据包括多个IP地址以及每一IP地址对应的登录账号信息和登录密码信息；基于所有IP地址请求的账号信息和密码信息确定异常登陆请求；将所述异常登录请求对应的IP地址确定为异常IP地址。进一步的，所述基于所有IP地址请求的账号信息和密码信息确定异常登陆请求信息包括：获取所有IP地址请求对应的登录账号信息和登录密码信息中，账号相同、密码不同的登录请求的数量，若超过预设的第一数量阈值，则确定所有账号相同、密码不同的登录请求为异常登录请求。进一步的，所述基于所述IP地址请求的账号信息和密码信息判断所述IP地址请求是否为异常IP请求，包括：获取所述IP地址请求对应的登录账号信息和登录密码信息中，账号不同、密码不同，但是包头UA字段相同的登录请求数量，若超过第二数量阈值，则确定所有账号不同、密码不同，但是包头UA字段相同的登录请求为异常登录请求。进一步的，所述基于所述IP地址请求的账号信息和密码信息判断所述IP地址请求是否为异常IP请求，包括：将所述IP地址请求对应的登录账号信息和登录密码信息中，登录账号信息和登录密码信息均属于预设数据库中的登录请求确定为异常登录请求。进一步的，所述预设数据库中存储有网络爆破弱账号信息和弱口令密码信息。进一步的，所述获取预设时间内待测网站的访问数据，所述访问数据包括多个IP地址以及每一IP地址对应的登录账号信息和登录密码信息，之后还包括：判断每一所述IP地址的请求时间间隔是否小于预设的间隔阈值，若是，则将对应的IP地址确定为异常IP地址。进一步的，所述方法还包括，将所有未确定为异常IP地址的IP地址，确定为正常IP地址。进一步的，所述预设时间为3分钟，所述第一预设数量阈值为5，第二预设数量为10。根据本专利技术又一方面，提供一种控制器，其包括存储器与处理器，所述存储器存储有计算机程序，所述程序在被所述处理器执行时能够实现所述方法的步骤。根据本专利技术又一方面，提供一种计算机可读存储介质，用于存储计算机程序，所述程序在由一计算机或处理器执行时实现所述方法的步骤。本专利技术与现有技术相比具有明显的优点和有益效果。借由上述技术方案，本专利技术一种异常登录行为识别方法、控制器及介质可达到相当的技术进步性及实用性，并具有产业上的广泛利用价值，其至少具有下列优点：(1)本专利技术基于多个IP地址的登录账号信息和登录密码信息综合进行判断，能够更加准确地识别出异常登陆行为，不会将同一个正常的IP地址的超过预定数量的登陆请求误判为异常登陆，减少误判，提高了异常登陆行为识别的准确度，尤其能有效识别出采用不同的IP地址来进行异常登陆的行为。(2)本专利技术可以从多个维度来确定异常登录请求，从而能够更加准确、全面，可靠地识别出采用不同的IP地址来进行异常登陆的行为。(3)本专利技术还可有效识别同一个IP地址的异常登录行为，再结合识别出采用不同的IP地址来进行异常登陆的行为，从而可以识别出所有的异常IP地址，识别效率高，准确率高。上述说明仅是本专利技术技术方案的概述，为了能够更清楚了解本专利技术的技术手段，而可依照说明书的内容予以实施，并且为了让本专利技术的上述和其他目的、特征和优点能够更明显易懂，以下特举较佳实施例，并配合附图,详细说明如下。附图说明图1为本专利技术一实施例提供的异常登录行为识别方法示意图。具体实施方式为更进一步阐述本专利技术为达成预定专利技术目的所采取的技术手段及功效,以下结合附图及较佳实施例，对依据本专利技术提出的一种异常登录行为识别方法、控制器及介质的具体实施方式及其功效，详细说明如后。本专利技术实施例提供了一种异常登录行为识别方法，如图1所示，包括:步骤S1、获取预设时间内待测网站的访问数据，所述访问数据包括多个IP地址以及每一IP地址对应的登录账号信息和登录密码信息；步骤S2、基于所有IP地址请求的账号信息和密码信息确定异常登陆请求；步骤S3、将所述异常登录请求对应的IP地址确定为异常IP地址。本专利技术基于多个IP地址的登录账号信息和登录密码信息综合进行判断，能够更加准确地识别出异常登陆行为，不会将同一个正常的IP地址的超过预定数量的登陆请求误判为异常登陆，减少误判，提高了异常登陆行为识别的准确度，尤其能有效识别出采用不同的IP地址来进行异常登陆的行为。采用不同的IP地址来进行异常登陆的行为包主要可以分为两类，第一类是帐号密码爆破行为，是指通过自动化程序的方式，利用准备好的记录有大量账号密码的字典文件，以极短的时间间隔，尝试登录网站或者系统，直到登录成功或者字段文件内的账号密码全部尝试了一次的行为。帐号密码试错行为，是指通过人工的方式，利用收集到的网站用户常用的账号密码信息，尝试登录网站或者系统而定行为。作为一种示例，所述步骤S2包括步骤S21：获取所有IP地址请求对应的登录账号信息和登录密码信息中，账号相同、密码不同的登录请求的数量，若超过预设的第一数量阈值，则确定所有账号相同、密码不同的登录请求为异常登录请求。作为一种示例，所述步骤S2还包括步骤S22、获取所述IP地址请求对应的登录账号信息和登录密码信息中，账号不同、密码不同，但是包头UA(UserAgent，简称用户代理)字段相同的登录请求数量，若超过第二数量阈值，则确定所有账号不同、密码不同，但是包头UA字段相同的登录请求为异常登录请求。作为一种示例，所述步骤S2还包括步骤S23：将所述IP地址请求对应的登录账号信息和登录密码信息中，登录账号信息和登录密码信息均属于预设数据库中的登录请求确定为异常登录请求。其中，所述预设数据库中存储有网络爆破弱账号信息和弱口令密码信息，网络爆破弱账号信息和弱口令密码信息是指大量用户都会使用的、简单的账号密码合集，例如admin/123456。通过以上示例的每一维度均可识别出该维度下对应的异常登录请求，本文档来自技高网...

【技术保护点】
1.一种异常登录行为识别方法，其特征在于，包括:/n获取预设时间内待测网站的访问数据，所述访问数据包括多个IP地址以及每一IP地址对应的登录账号信息和登录密码信息；/n基于所有IP地址请求的账号信息和密码信息确定异常登陆请求；/n将所述异常登录请求对应的IP地址确定为异常IP地址。/n

【技术特征摘要】
1.一种异常登录行为识别方法，其特征在于，包括:
获取预设时间内待测网站的访问数据，所述访问数据包括多个IP地址以及每一IP地址对应的登录账号信息和登录密码信息；
基于所有IP地址请求的账号信息和密码信息确定异常登陆请求；
将所述异常登录请求对应的IP地址确定为异常IP地址。


2.根据权利要求1所述的异常登录行为识别方法，其特征在于，
所述基于所有IP地址请求的账号信息和密码信息确定异常登陆请求信息包括：
获取所有IP地址请求对应的登录账号信息和登录密码信息中，账号相同、密码不同的登录请求的数量，若超过预设的第一数量阈值，则确定所有账号相同、密码不同的登录请求为异常登录请求。


3.根据权利要求2所述的异常登录行为识别方法，其特征在于，
所述基于所述IP地址请求的账号信息和密码信息判断所述IP地址请求是否为异常IP请求，包括：
获取所述IP地址请求对应的登录账号信息和登录密码信息中，账号不同、密码不同，但是包头UA字段相同的登录请求数量，若超过第二数量阈值，则确定所有账号不同、密码不同，但是包头UA字段相同的登录请求为异常登录请求。


4.根据权利要求2或3所述的异常登录行为识别方法，其特征在于，
所述基于所述IP地址请求的账号信息和密码信息判断所述IP地址请求是否为异常IP请求，包括：
将所述IP地址请求对应的登录账号信...

【专利技术属性】
技术研发人员：饶毓，严寒冰，周昊，王东，吕卓航，马莉雅，
申请(专利权)人：国家计算机网络与信息安全管理中心，
类型：发明
国别省市：北京;11