登录异常检测方法和系统与流程

本发明涉及网络安全技术领域，特别是涉及一种登录异常检测方法和系统。

背景技术：

随着互联网的急速发展，互联网账户的安全问题越来越严重。针对账户安全受攻击的问题，一般的应对方法是对账户登录的安全性进行检测，当发现账户存在登录异常时，则对账户进行安全验证或安全处理。

目前，互联网账户登录异常的检测方法一般是对账户登录设备进行检测，根据登录设备的情况判定账户是否存在登录异常。然而，每当账户切换登录设备或者是设备更新时，都有可能触发异常检测，而且部分账户本身并不绑定登录设备，无法识别其唯一身份，因此，目前采用的登录异常检测方法存在检测效果差的技术问题。

技术实现要素：

基于此，有必要针对上述目前采用的登录异常检测方法检测效果差的技术问题，提供一种登录异常检测方法和系统、计算机存储介质及设备。

一种登录异常检测方法，包括以下步骤：

获取在预设时间范围内通过目标ip地址登录的登录信息特征值；

将所述登录信息特征值与参考值进行比较，若所述登录信息特征值超过参考值，则获取所述登录信息特征值对应的异常分值；

若所述异常分值超过第一阈值，则确定所述目标ip地址存在登录异常。

上述登录异常检测方法，通过获取预设时间范围内通过目标ip地址登录的登录信息特征值，将该特征值与参考值进行比较，若特征值超过参考值，则获取登录信息特征值对应的异常分值，当异常分值超过第一阈值则确定目标ip地址存在登录异常，根据ip地址一定时间范围内登录的登录信息，综合判断ip地址异常情况，不受账户登录设备影响，提高了登录异常检测方法的检测效果。

在其中一个实施例中，所述登录信息特征值包括账户登录量、账户用户代理相似度、账户异地登录量、账户登录失败量、账户密码相似度和账户账号相似度中的至少一种；

若账户登录量、账户用户代理相似度、账户异地登录量、账户登录失败量、账户密码相似度和账户账号相似度中的任意一种登录信息特征值超过对应的第二阈值，则确认所述目标ip地址存在登录异常。

通过根据在目标ip地址登录的登录信息特征值，若任意一个特征值出现高度异常，则确定ip地址存在登录异常，提高了登录异常检测的检测效果和效率。

在其中一个实施例中，所述登录信息特征值的数量为多个，所述登录异常检测方法还包括以下步骤：

根据各个登录信息特征值分别获取对应的异常分值，并根据各个所述异常分值计算总异常分值，若所述总异常分值超过所述第一阈值，则确定所述目标ip地址存在登录异常。

通过结合各个登录信息特征值所对应的异常分值，综合判定ip地址的异常情况，提高了登录异常检测方法的检测准确度和效果。

在其中一个实施例中，若所述登录信息特征值超过参考值，则获取所述登录信息特征值对应的异常分值的步骤包括：

获取所述登录信息特征值对应的类型；

若所述登录信息特征值的数值超过对应的参考值，则根据所述类型获取所述登录信息特征值对应的异常分值。

通过根据不同的登录信息的类型确定对应的异常分值，即根据不同类型的登录信息在判定ip地址异常情况中的权重不同，进一步提高综合判定ip地址的异常情况的准确性，提高登录异常检测方法的检测效果。

在其中一个实施例中，在获取在预设时间范围内通过目标ip地址登录的登录信息特征值的步骤之后，还包括：

若所述账户登录量高于对应的参考值且低于所述第二阈值，则获取所述目标ip地址的账户访问量；

若所述账户访问量高于第三阈值，则确定所述目标ip地址存在登录异常。

通过结合账户登录量和账户访问量，确定ip地址的登录异常情况，提高了登录异常检测方法的检测准确性和效果。

在其中一个实施例中，在获取在预设时间范围内通过目标ip地址登录的登录信息特征值的步骤之后，还包括：

若所述账户登录量超过对应的参考值且所述账户密码相似度超过对应的参考值，则获取所述目标ip地址中各个登录账户的登录失败率，根据各个所述登录失败率计算所述目标ip地址的平均登录失败率；

根据所述平均登录失败率确认所述目标ip地址的登录异常类型。

通过根据ip地址下各个登录账户的登录失败率计算平均登录失败率，从而可确定ip地址的登录异常的类型，提高登录异常检测方法的检测效果。

在其中一个实施例中，在根据各个所述登录失败率计算所述目标ip地址的平均登录失败率的步骤之后，还包括：

若所述平均登录失败率低于第四阈值，则确定所述目标ip地址的登录异常类型为弱密码攻击；

或；

若所述平均登录失败率高于第四阈值，则确定所述目标ip地址的登录异常类型为养号。

通过根据平均登录失败率的数值，确认对应的ip地址的登录异常类型，进一步提高登录异常检测方法的检测效果。

在其中一个实施例中，还包括：

若确定所述目标ip地址的登录异常类型为弱密码攻击，则对所述目标ip地址进行验证码登录处理；

或；

若确定所述目标ip地址的登录异常类型为养号，则对所述目标ip地址进行限制登录处理。

通过根据不同的登录异常类型，进行不同的登录处理，提高账户登录的安全性，提高登录异常检测方法的检测效果。

在其中一个实施例中，获取在预设时间范围内通过目标ip地址登录的登录信息特征值的步骤包括：

获取在预设时间范围内通过目标ip地址登录的账户登录日志；

从所述账户登录日志中提取所述登录信息特征值。

通过获取用户登录的账户登录日志，从日志中提取登录信息特征值，不影响用户正常登录，并对异常情况进行实时分析，提高登录异常检测方法的检测效果。

一种登录异常检测系统，包括：

获取模块，用于获取在预设时间范围内通过目标ip地址登录的登录信息特征值；

比较模块，用于将所述登录信息特征值与参考值进行比较，若所述登录信息特征值超过参考值，则获取所述登录信息特征值对应的异常分值；

确定模块，用于若所述异常分值超过第一阈值，则确定所述目标ip地址存在登录异常。

上述登录异常检测系统，通过获取模块获取预设时间范围内通过目标ip地址登录的登录信息特征值，利用比较模块将该特征值与参考值进行比较，若特征值超过参考值，则获取登录信息特征值对应的异常分值，通过确定模块在异常分值超过第一阈值则确定目标ip地址存在登录异常，本系统根据ip地址一定时间范围内登录的登录信息，综合判断ip地址异常情况，不受账户登录设备影响，提高了登录异常检测方法的检测效果。

一种计算机存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现所述的登录异常检测方法。

上述计算机存储介质，通过其存储的计算机程序，提高了登录异常检测方法的检测效果。

一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现所述的登录异常检测方法。

上述计算机设备，通过所述处理器上运行的计算机程序，提高了登录异常检测的检测效果。

附图说明

图1为一个实施例的登录异常检测方法流程图；

图2为一个实施例的登录异常检测时序图；

图3为一个实施例的登录异常检测系统结构示意图。

具体实施方式

下面结合具体的实施例及附图对本发明的技术方案进行详细的描述，以使其更加清楚。

如图1所示，本发明实施例提供一种登录异常检测方法，可包括以下步骤：

s101：获取在预设时间范围内通过目标ip地址登录的登录信息特征值；

s102：将所述登录信息特征值与参考值进行比较，若所述登录信息特征值超过参考值，则获取所述登录信息特征值对应的异常分值；

s103：若所述异常分值超过第一阈值，则确定所述目标ip地址存在登录异常。

其中，登录信息特征值可包括账户登录量、账户用户代理相似度、账户异地登录量、账户登录失败量、账户密码相似度和账户账号相似度。在一定时间内，同一ip地址下若存在使用机器人进行大量操作时，登录信息特征值会存在异常情况。从而，获取在预设时间范围内通过ip地址登录的登录信息特征值，若其中任意一种登录信息特征值超过对应的第二阈值，即高度异常值，则确认该ip地址存在登录异常。通过根据在ip地址登录的登录信息特征值，若任意一个特征值出现高度异常，则确定ip地址存在登录异常，提高了登录异常检测的检测效果和效率。

在一个实施例中，获取10分钟内通过目标ip地址登录的登录信息特征值，其中账户登录量为100000，该账户登录量明显超过对应的第二阈值5000，从而认定账户登录量存在高度异常，确认目标ip地址存在登录异常。

同样地，在同一ip地址下的登录行为应是不同用户，而不同用户选择的登录设备是不同的，即对应的用户代理也不相同，因此，在短时间内同一ip地址下，账户用户代理相似度高于第二阈值，则可确认ip地址存在登录异常；而异常登录情况是根据账户预设的常用登录地或账户历史登录数据进行判断，在短时间内同一ip地址下的账户异地登录量超过对应的第二阈值，则可确认ip地址存在登录异常；在短时间内同一ip地址下的登录失败量、账户密码相似度和账户账号相似度超过第二阈值，即可确认ip地址存在登录异常。其中，对账户用户代理相似度、账户密码相似度和账户账号相似度的判定可在预设数量的账户登录量的基础上进行。

可选地，在步骤s101获取在预设时间范围内通过目标ip地址登录的登录信息特征值之后还可包括，获取的登录信息特征值包括账户登录量，若账户登录量高于对应的参考值且低于第二阈值，则获取目标ip地址的账户访问量，若账户访问量高于第三阈值，则确定所述目标ip地址存在登录异常。登录异常的ip地址当存在账户登录量高的情况下，同时会进行大量的访问，即出现高账户访问量，从而通过结合账户登录量和账户访问量确定ip地址的登录异常情况，提高了登录异常检测方法的检测准确性和效果。其中，若账户访问量低于第三阈值，则可认为ip地址不存在登录异常或再根据其他参数进行判定。

在一个实施例中，获取10分钟内通过目标ip地址登录的登录信息特征值，其中账户登录量为1500，该账户登录量超过对应的参考值500且低于对应的第二阈值5000，从而获取ip地址的账户访问量为1500000，账户访问量高于第三阈值150000，从而确定目标ip地址存在登录异常。

另外，获取的登录信息特征值的数量可为多个，则根据各个登录信息特征值分别获取对应的异常分值，并根据各个所述异常分值计算总异常分值，即进行加和计算总分值，若总异常分值超过第一阈值则确定目标ip地址存在登录异常。通过结合各个登录信息特征值所对应的异常分值，综合判定ip地址的异常情况，提高了登录异常检测方法的检测准确度和效果。其中，可通过统计分析根据ip地址的历史异常数据，根据历史异常数据确定第一阈值。

在一个实施例中，获取10分钟内通过ip地址登录的登录信息特征值，包括账户登录量1000、账户异地登录量500、账户登录失败量300和账户密码相似度40％，其中，各个登录信息特征值均超过对应的参考值，即账户登录量参考值500、账户异地登录量200、账户登录失败量100和账户密码相似度20％，从而获取各个登录信息特征值对应的异常分值为账户登录量异常分值1、账户异地登录量异常分值1、账户登录失败量异常分值1和账户密码相似度异常分值1，进行加和获取总异常分值为4，超过预设第一阈值3，从而确定ip地址存在登录异常。

进一步地，步骤s102登录信息特征值超过参考值，则获取登录信息特征值对应的分值可包括根据各个登录信息特征值对应的类型，确定登录信息特征值对应的异常分值，即为各个不同类型的登录信息特征值设置不同权重，从而根据不同的登录信息的类型确定对应的异常分值，进一步提高综合判定ip地址的异常情况的准确性，提高登录异常检测方法的检测效果。

在一个实施例中，获取10分钟内通过ip地址登录的登录信息特征值，包括账户登录量1000、账户登录失败量300和账户密码相似度40％，其中，各个登录信息特征值均超过对应的参考值，即账户登录量参考值500、账户登录失败量100和账户密码相似度20％，从而根据账户登录量的预设权重1，确定账户登录量异常分值为1，根据账户登录失败量的预设权重1确定账户登录失败量的异常分值为1，根据账户密码相似度的预设权重2确定账户密码相似度的异常分值为2，进行加和获取总异常分值为4，超过预设第一阈值3，从而确定ip地址存在登录异常。

其中，步骤s101获取在预设时间范围内通过目标ip地址登录的登录信息特征值可包括，获取目标ip地址下各个登录账户的登录失败率，根据各个登录失败率计算ip地址的平均登录失败率。进而可将平均登录失败率与对应的参考值进行比较，获取相应的异常分值，可根据平均登录失败率的数值高低，获取对应的异常分值，进而根据获取的其他多个登录信息特征值对应的异常分值，综合判断ip地址的登录异常情况。

在一个实施例中，获取10分钟内通过ip地址登录的登录信息特征值，包括账户登录量1000和账户登录失败量300，其中，各个登录信息特征值均超过对应的参考值，即账户登录量参考值500和账户登录失败量100，从而根据账户登录量的预设权重1确定账户登录量异常分值为1，根据账户登录失败量的预设权重1确定账户登录失败量的异常分值为1，获取ip地址下各个登录账户的登录失败率计算平均登录失败率为30％，处于预设平均失败率第二级别20％-40％，从而确定平均登录失败率异常分值2，进行加和获取总异常分值为4，超过预设第一阈值3，从而确定ip地址存在登录异常。其中，平均登录失败率的判定级别和对应异常分值可根据实际情况设定。

在步骤s103确定目标ip地址存在登录异常后，还可以判断登录异常的类型，可包括若账户登录量超过对应的参考值且账户密码相似度超过对应的参考值，则获取目标ip地址中各个登录账户的登录失败率，根据各个登录失败率计算目标ip地址的平均登录失败率，根据平均登录失败率确认目标ip地址的登录异常类型，通过根据ip地址下各个登录账户的登录失败率计算平均登录失败率，从而可确定ip地址的登录异常的类型，提高登录异常检测方法的检测效果。

在一个实施例中，确定目标ip地址存在登录异常，其中账户登录量超过对应的参考值且账户密码相似度超过对应的参考值，从而获取目标ip地址中各个登录账户的登录失败率，并计算ip地址的平均登录失败率为50％，该平均登录失败率高于第四阈值20％，从而确定目标ip地址的登录异常类型为弱密码攻击

在另一个实施例中，确定目标ip地址存在登录异常，其中账户登录量超过对应的参考值且账户密码相似度超过对应的参考值，从而获取目标ip地址中各个登录账户的登录失败率，并计算ip地址的平均登录失败率为15％，低于第四阈值20％，从而确定目标ip地址的登录异常类型为养号，即一种违背网络原则的作弊性的账户升级。

上述根据ip地址的平均登录失败率确定ip地址的登录异常类型，提高了登录异常检测方法的检测效果。

并且，在确定ip地址的登录异常类型之后，还可根据ip地址的登录异常类型，进行相应的登录处理。其中，若确定ip地址的登录异常类型为弱密码攻击，则对ip地址进行验证码登录处理，若确定ip地址的登录异常类型为养号，则对ip地址进行限制登录处理。通过根据不同的登录异常类型，进行不同的登录处理，提高账户登录的安全性，提高登录异常检测方法的检测效果。

在一个实施例中，获取在预设时间范围内通过目标ip地址登录的登录信息特征值的步骤，可包括获取在预设时间范围内通过目标ip地址登录的账户登录日志，从账户登录日志中提取所述登录信息特征值。通过获取用户登录的账户登录日志，从日志中提取登录信息特征值，不影响用户正常登录，并对异常情况进行实时分析，提高登录异常检测方法的检测效果。为使本实施例的技术方案更加清楚，提供如图2所示一个实施例的登录异常检测方法的时序图，其中包括：

步骤s201：检测到用户在目标ip地址下进行登录操作；

步骤s202：通过服务器集群获取预定时间内各个通过目标ip地址登录的账户；

步骤s203：根据各个账户的登录操作生成相应的账户登录日志；

步骤s204：采集服务器集群下的各个账户登录日志并进行聚合；

步骤s205：将聚合的各个日志数据进行分发；

步骤s206：对各个日志数据进行分析计算，并向服务器集群反馈异常情况；

其中，分析日志可使用flume+kafka+sparkstreming的实时流式处理架构，通过flume采集集群下各个日志并聚合至kafka，通过kafka分发至spark，利用spark对日志数据进行分析计算，从而获取登录异常情况。此处实时流式处理架构也可替换成storm等其他类似的中间件或者是直接提供接口，直接将相关的登录信息特征值上传后再进行分析。

上述任意一个实施例的登录异常检测方法，通过获取预设时间范围内通过目标ip地址登录的登录信息特征值，将该特征值与参考值进行比较，若特征值超过参考值，则获取登录信息特征值对应的异常分值，当异常分值超过第一阈值则确定目标ip地址存在登录异常，根据ip地址一定时间范围内登录的登录信息，综合判断ip地址异常情况，不受账户登录设备影响，提高了登录异常检测方法的检测效果，减少登录账户的安全风险。

有必要针对传统技术登录异常检测的检测效果差的问题，在一个实施例中，提供一种登录异常检测系统，参考图3，为一个实施例的登录异常检测系统的结构示意图，该系统可包括：

获取模块101，用于获取在预设时间范围内通过目标ip地址登录的登录信息特征值；

比较模块102，用于将所述登录信息特征值与参考值进行比较，若所述登录信息特征值超过参考值，则获取所述登录信息特征值对应的异常分值；

确定模块103，用于若所述异常分值超过第一阈值，则确定所述目标ip地址存在登录异常。

其中，登录信息特征值可包括账户登录量、账户用户代理相似度、账户异地登录量、账户登录失败量、账户密码相似度和账户账号相似度。在一定时间内，同一ip地址下若存在使用机器人进行大量操作时，登录信息特征值会存在异常情况。从而，获取模块101获取在预设时间范围内通过ip地址登录的登录信息特征值，利用比较模块102在若其中任意一种登录信息特征值超过对应的第二阈值，即高度异常值，则由确定模块103确认该ip地址存在登录异常。通过根据在ip地址登录的登录信息特征值，若任意一个特征值出现高度异常，则确定ip地址存在登录异常，提高了登录异常检测的检测效果和效率。

在一个实施例中，获取模块101获取10分钟内通过目标ip地址登录的登录信息特征值，其中账户登录量为100000，比较模块102比较到该账户登录量明显超过对应的第二阈值5000，从而确定模块103确定账户登录量存在高度异常，确认目标ip地址存在登录异常。

同样地，在同一ip地址下的登录行为应是不同用户，而不同用户选择的登录设备是不同的，即对应的用户代理也不相同，因此，在短时间内同一ip地址下，账户用户代理相似度高于第二阈值，则可确认ip地址存在登录异常；而异常登录情况是根据账户预设的常用登录地或账户历史登录数据进行判断，在短时间内同一ip地址下的账户异地登录量超过对应的第二阈值，则可确认ip地址存在登录异常；在短时间内同一ip地址下的登录失败量、账户密码相似度和账户账号相似度超过第二阈值，即可确认ip地址存在登录异常。其中，对账户用户代理相似度、账户密码相似度和账户账号相似度的判定可在预设数量的账户登录量的基础上进行。

可选地，获取模块101获取在预设时间范围内通过目标ip地址登录的登录信息特征值之后还可包括，获取的登录信息特征值包括账户登录量，从而比较模块102进行比较，若账户登录量高于对应的参考值且低于第二阈值，则获取目标ip地址的账户访问量，若账户访问量高于第三阈值，则通过确定模块103确定所述目标ip地址存在登录异常。登录异常的ip地址当存在账户登录量高的情况下，同时会进行大量的访问，即出现高账户访问量，从而通过结合账户登录量和账户访问量确定ip地址的登录异常情况，提高了登录异常检测方法的检测准确性和效果。其中，若账户访问量低于第三阈值，则可认为ip地址不存在登录异常或再根据其他参数进行判定。

在一个实施例中，获取模块101获取10分钟内通过目标ip地址登录的登录信息特征值，其中账户登录量为1500，比较模块102进行比较到该账户登录量超过对应的参考值500且低于对应的第二阈值5000，从而获取ip地址的账户访问量为1500000，账户访问量高于第三阈值150000，从而通过确定模块103确定目标ip地址存在登录异常。

另外，获取模块101获取的登录信息特征值的数量可为多个，则由比较模块102进行比较并根据各个登录信息特征值分别获取对应的异常分值，并根据各个所述异常分值计算总异常分值，即进行加和计算总分值，若总异常分值超过第一阈值则通过确定模块103确定目标ip地址存在登录异常。通过结合各个登录信息特征值所对应的异常分值，综合判定ip地址的异常情况，提高了登录异常检测方法的检测准确度和效果。其中，可通过统计分析根据ip地址的历史异常数据，根据历史异常数据确定第一阈值。

在一个实施例中，获取模块101获取10分钟内通过ip地址登录的登录信息特征值，包括账户登录量1000、账户异地登录量500、账户登录失败量300和账户密码相似度40％，其中，比较模块102进行比较，各个登录信息特征值均超过对应的参考值，即账户登录量参考值500、账户异地登录量200、账户登录失败量100和账户密码相似度20％，从而获取各个登录信息特征值对应的异常分值为账户登录量异常分值1、账户异地登录量异常分值1、账户登录失败量异常分值1和账户密码相似度异常分值1，进行加和获取总异常分值为4，超过预设第一阈值3，从而确定模块103确定ip地址存在登录异常。

进一步地，比较模块102实现登录信息特征值超过参考值，则获取登录信息特征值对应的分值的功能，还可包括根据各个登录信息特征值对应的类型，确定登录信息特征值对应的异常分值，即为各个不同类型的登录信息特征值设置不同权重，从而确定模块103根据不同的登录信息的类型确定对应的异常分值，进一步提高综合判定ip地址的异常情况的准确性，提高登录异常检测方法的检测效果。

在一个实施例中，获取模块101获取10分钟内通过ip地址登录的登录信息特征值，包括账户登录量1000、账户登录失败量300和账户密码相似度40％，其中，比较模块102将登陆信息特征值与对应的参考值进行比较，各个登录信息特征值均超过对应的参考值，即账户登录量参考值500、账户登录失败量100和账户密码相似度20％，从而根据账户登录量的预设权重1，确定账户登录量异常分值为1，根据账户登录失败量的预设权重1确定账户登录失败量的异常分值为1，根据账户密码相似度的预设权重2确定账户密码相似度的异常分值为2，进行加和获取总异常分值为4，超过预设第一阈值3，从而确定模块103确定ip地址存在登录异常。

其中，获取模块101实现获取在预设时间范围内通过目标ip地址登录的登录信息特征值的功能还可包括，获取目标ip地址下各个登录账户的登录失败率，根据各个登录失败率计算ip地址的平均登录失败率。进而比较模块102可将平均登录失败率与对应的参考值进行比较，获取相应的异常分值，可根据平均登录失败率的数值高低，获取对应的异常分值，进而根据获取的其他多个登录信息特征值对应的异常分值，由确定模块103综合判断ip地址的登录异常情况。

在一个实施例中，获取模块102获取10分钟内通过ip地址登录的登录信息特征值，包括账户登录量1000和账户登录失败量300，其中，比较模块102进行数值比较，各个登录信息特征值均超过对应的参考值，即账户登录量参考值500和账户登录失败量100，从而根据账户登录量的预设权重1确定账户登录量异常分值为1，根据账户登录失败量的预设权重1确定账户登录失败量的异常分值为1，获取ip地址下各个登录账户的登录失败率计算平均登录失败率为30％，处于预设平均失败率第二级别20％-40％，从而确定平均登录失败率异常分值2，进行加和获取总异常分值为4，超过预设第一阈值3，从而确定模块103确定ip地址存在登录异常。其中，平均登录失败率的判定级别和对应异常分值可根据实际情况设定。

在确定模块103确定目标ip地址存在登录异常后，还可以判断登录异常的类型，可包括若账户登录量超过对应的参考值且账户密码相似度超过对应的参考值，则通过获取模块101获取目标ip地址中各个登录账户的登录失败率，根据各个登录失败率计算目标ip地址的平均登录失败率，根据平均登录失败率确认目标ip地址的登录异常类型，通过根据ip地址下各个登录账户的登录失败率计算平均登录失败率，从而由确定模块103确定ip地址的登录异常的类型，提高登录异常检测方法的检测效果。

在一个实施例中，确定目标ip地址存在登录异常，其中账户登录量超过对应的参考值且账户密码相似度超过对应的参考值，从而获取模块101获取目标ip地址中各个登录账户的登录失败率，并计算ip地址的平均登录失败率为50％，比较模块102进行数值比较，平均登录失败率高于第四阈值20％，从而确定模块103确定目标ip地址的登录异常类型为弱密码攻击

在另一个实施例中，确定目标ip地址存在登录异常，其中账户登录量超过对应的参考值且账户密码相似度超过对应的参考值，从而获取模块101获取目标ip地址中各个登录账户的登录失败率，并计算ip地址的平均登录失败率为15％，比较模块102进行数值比较，平均登录失败率低于第四阈值20％，从而确定模块103确定目标ip地址的登录异常类型为养号。

上述确定模块103根据ip地址的平均登录失败率确定ip地址的登录异常类型，提高了登录异常检测方法的检测效果。

并且，在确定ip地址的登录异常类型之后，还可通过确定模块103根据ip地址的登录异常类型，进行相应的登录处理。其中，若确定ip地址的登录异常类型为弱密码攻击，则对ip地址进行验证码登录处理，若确定ip地址的登录异常类型为养号，则对ip地址进行限制登录处理。通过确定模块103根据不同的登录异常类型，进行不同的登录处理，提高账户登录的安全性，提高登录异常检测方法的检测效果。

在一个实施例中，获取模块101实现获取在预设时间范围内通过目标ip地址登录的登录信息特征值的功能，可包括获取在预设时间范围内通过目标ip地址登录的账户登录日志，从账户登录日志中提取所述登录信息特征值。通过获取用户登录的账户登录日志，从日志中提取登录信息特征值，不影响用户正常登录，并对异常情况进行实时分析，提高登录异常检测方法的检测效果。

上述任意一个实施例的登录异常检测系统，通过获取模块获取预设时间范围内通过目标ip地址登录的登录信息特征值，利用比较模块将该特征值与参考值进行比较，若特征值超过参考值，则获取登录信息特征值对应的异常分值，通过确定模块在异常分值超过第一阈值则确定目标ip地址存在登录异常，本系统根据ip地址一定时间范围内登录的登录信息，综合判断ip地址异常情况，不受账户登录设备影响，提高了登录异常检测方法的检测效果。

本发明的登录异常检测系统与本发明的登录异常检测方法一一对应，在上述登录异常检测方法的实施例阐述的技术特征及其有益效果均适用于登录异常检测系统的实施例中，特此声明。

本发明还提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述任意实施例中的登录异常检测的方法。该计算机可读存储介质所执行的方法与上述实施例中的登录异常检测的方法相同，此处不再赘述。

计算机可读介质的更具体的示例(非穷尽性列表)包括以下：具有一个或多个布线的电连接部(电子装置)，便携式计算机盘盒(磁装置)，随机存取存储器(ram)，只读存储器(rom)，可擦除可编辑只读存储器(eprom或闪速存储器)，光纤装置，以及便携式光盘只读存储器(cdrom)。另外，计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。

本发明还提供一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上述任意实施例中的登录异常检测的方法。该计算机设备中的处理器所执行的方法与上述实施例中的登录异常检测的方法相同，此处不再赘述。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。