账号异常登录不给提款处理方法 一种基于用户登录行为的账号异常检测方法与流程

本发明涉及计算机安全技术领域，特别涉及一种基于用户登录行为的账号异常检测方法。

背景技术：

随着网络的普及，互联网已经成为人们生活的重要部分。为了上网的规范化以及方便用户使用，现在网络中很多都有各自的账号，并且，随着接入网络越来越方便，用户可以在不同的终端登录自己的账号，相应地，不同的用户也可以从同一终端来登录各自的账号。在此情况下，在用户登录发生故障时，如何快速定位故障以及时进行排除，成为网络服务的提供者所关心的问题。此外，日益增长的各种恶意登录行为，也要求网络服务的提供者能够对其进行识别和处理，以维护用户的正常使用行为。

目前，网络账号的安全防范主要有两个方向：(1)事前防范:提高用户账号口令、密码的强度；要求用户使用更多的安全验证信息；依靠相关验证工具来登录账号；基于声纹识别与语音识别的安全登录等；(2)实时检测：及时检测每次账号登录的合法性，对疑似异常的登陆请求进行另外的验证、甚至直接驳回。

现有技术中，通过检测登录ip，统计一段时间内该账号的账号登录所在的省份以及在每个省份登录的天数来检测账号是否异常，若用户在最近一段时间内在多个省份登录且账号登录所在的省份的总次数超过预设值，认为该账号密码已泄露。但现有技术中检测账号异常的方法安全系数低，易被不法分子破解，例如不法分子可先登录账号，获取该账号的常用登录地，通过代理ip登录该常用登录地，则系统不能检测到账号异常。即目前的账号异常检测存在检测用户账号维度单一，易于破解的缺点。

技术实现要素：

本发明的目的是克服上述背景技术中不足，提供一种基于用户登录行为的账号异常检测方法，基于账号的非常用地，非常用时间与非常用设备的账号异常检测模型，实现多维度检测，提升检测的安全性。

为了达到上述的技术效果，本发明采取以下技术方案：

一种基于用户登录行为的账号异常检测方法，包括以下步骤：

a.登录页面通过采集用户行为信息；

b.服务器获取到用户的ip值后得到登录历史数据；

c.计算当前登录地与历史登录地数据的距离d1、计算当前登录时间与历史登录时间数据的距离d2、计算当前登录设备与历史登录设备数据的距离d3；

d.判定当前登录行为是否异常。

进一步地，所述用户行为信息包括浏览器指纹、用户登录ip、用户登录时间，其中，浏览器指纹是一种基于浏览器信息组合的识别方法，通过查询浏览器平台从配置信息、软件组成以及硬件组成等层次上获取到设备的屏幕信息、插件信息、字体信息等特征参数，通过非加密哈希算法形成可以唯一识别用户的指纹数据。

进一步地，所述步骤b中具体是服务器以获取的浏览器指纹作为登录设备数据，得到登录历史数据，且从登录历史数据中获取该账号的历史登录地数据、历史登录时间数据、历史登录设备数据。

进一步地，d1的计算公式为：

d2的计算公式为：

d3的计算公式为：

其中，m为正整数，ti为用户第i次登录行为时间距离现在的星期数，di为第i次用户登录地数据，d为当前用户登录地数据，d(d，di)为d与di的距离，当d与di相等时d(d，di)＝1，否则为0，di’为第i次用户登录时间数据，d’为当前用户登录时间数据，d(d’，di’)为d’与di’的距离，当d’与di’相等时d(d’，di’)＝1，否则为0，di”为第i次用户登录设备数据，d”为当前用户登录设备数据，d(d”，di”)为d”与di”的距离，当d”与di”相等时d(d”，di”)＝1，否则为0。

进一步地，所述步骤d具体为：当d1+d2+d3的值属于(2,3]区间时，则判定当前登录行为为低危；若属于(1,2]区间时，则判定当前登录行为为中危；若属于[0,1]区间时，则判定当前登录行为为高危。

本发明与现有技术相比，具有以下的有益效果：

本发明的基于用户登录行为的账号异常检测方法，融合了用户登录行为中登录时间，登录地，登录设备三种特征综合来判断用户登录过程中的异常行为，提高了分析的准确性，具有识别准确度高，不易破解，能够及时发现账号风险的优点，同时还极大的提高了业务系统账号的安全性。

附图说明

图1是本发明的基于用户登录行为的账号异常检测方法流程示意图。

具体实施方式

下面结合本发明的实施例对本发明作进一步的阐述和说明。

实施例：

实施例一：

如图1所示，一种基于用户登录行为的账号异常检测方法，是基于用户登录行为中登录时间，登录地，登录设备三种特征来进行账号异常检测的方法，主要包括以下步骤：

第一步，通过在登录页面使用采集用户行为信息。

具体的，需要采集的用户行为信息具体包括用户的浏览器指纹、用户登录ip、用户登录时间，目前的浏览器指纹是通过查询浏览器平台从配置信息、软件组成以及硬件组成等层次上获取到设备的，，，，，er，fonts，这些特征通过非加密哈希算法计算得到，但是存在重复的现象,本方案在原来fonts的基础上加入了”,’simhe’,”,”,”,”,”,”,”,”,”,”,”,”,”,’kaiti’,”,”这些字体，大大减少了浏览器指纹出现重复的概率，提高了识别的准确度。

具体的，浏览器指纹采用的字段特征介绍如下表：

第二步，服务器获取到用户的ip值后得到地理位置。

服务器获取的浏览器指纹作为登录设备数据。在登录历史数据中取该账号的历史登录地数据，历史登录时间数据，历史登录设备数据。

第三步，计算当前登录地与历史登录地数据的距离d1、当前登录时间与历史登录时间数据的距离d2、当前登录设备与历史登录设备数据的距离d3。

具体的，本实施例中，d1的计算公式为：

d2的计算公式为：

d3的计算公式为：

在上述计算公式中，m为正整数，ti为用户第i次登录行为时间距离现在的星期数，di为第i次用户登录地数据，d为当前用户登录地数据，d(d，di)为d与di的距离，当d与di相等时d(d，di)＝1，否则为0，di’为第i次用户登录时间数据，d’为当前用户登录时间数据，d(d’，di’)为d’与di’的距离，当d’与di’相等时d(d’，di’)＝1，否则为0，di”为第i次用户登录设备数据，d”为当前用户登录设备数据，d(d”，di”)为d”与di”的距离，当d”与di”相等时d(d”，di”)＝1，否则为0。

第四步，判定当前登录行为是否异常。

具体为，计算d1+d2+d3，当d1+d2+d3的值属于(2,3]区间时，则判定当前登录行为为低危；若属于(1,2]区间时，则判定当前登录行为为中危；若属于[0,1]区间时，则判定当前登录行为为高危。

综上可知，本发明的方法融合了用户登录行为中登录时间，登录地，登录设备三种特征综合来判断用户登录过程中的异常行为，提高了分析的准确性，其中，用户登录设备通过浏览器指纹数据来识别，具有浏览器的兼容性高，且识别准确率高的优点。

可以理解的是，以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式，然而本发明并不局限于此。对于本领域内的普通技术人员而言，在不脱离本发明的精神和实质的情况下，可以做出各种变型和改进，这些变型和改进也视为本发明的保护范围。