一种账号使用行为检测方法及装置与流程

本公开涉及账号安全管理领域，尤其涉及一种账号使用行为检测方法及装置。

背景技术：

目前，数据共享交换平台中，往往存在一个账号被多个用户在不同时间段使用的风险，容易导致数据泄漏和被破坏的严重风险。

现有技术主要是针对账号被外部人员盗用的风险，缺乏识别内部人员中多个用户在不同时间段使用一个账号的方案。

技术实现要素：

有鉴于此，本公开提供了一种账号使用行为检测方法及装置，以解决相关技术中的不足。

根据本公开实施例的第一方面，提供一种账号使用行为检测方法，所述方法包括：

检测多次登录目标账号的使用行为是否属于连续登录行为；

如果所述使用行为不属于连续登录行为，则获取所述使用行为所对应的登录特征参数；

根据所述登录特征参数，确定所述使用行为是否属于多个用户在不同时间段使用同一账号的目标使用行为。

可选地，所述检测多次登录目标账号的使用行为是否属于连续登录行为，包括：

在待检测的登录日志中，获取所述目标账号所对应的所有的登录时间点和登出时间点；

如果所述目标账号对应的至少一个登出时间点位于相邻两次登录时间点之间的时间段内，则确定多次登录目标账号的使用行为不属于连续登录行为。

可选地，所述登录特征参数包括以下至少一项：

登录互联网协议ip地址、登录设备的设备标识、登录时间点、登录后执行的业务操作、执行所述业务操作的操作时间段和登录的统一资源定位符url地址。

可选地，所述获取所述使用行为所对应的登录特征参数，包括：

从待检测的登录日志、待检测的操作日志和待检测的访问流量数据中，获取所述使用行为所对应的每个所述登录特征参数。

可选地，所述根据所述登录特征参数，确定所述使用行为是否属于多个用户在不同时间段使用同一账号的目标使用行为，包括：

在预先建立的历史使用行为模型中，确定与所述目标账号对应的目标历史登录特征参数；所述历史使用行为模型包括与每个账号对应的历史登录特征参数；

如果所述使用行为所对应的任一个所述登录特征参数不符合相应的所述目标历史登录特征参数，则确定所述使用行为属于多个用户在不同时间段使用同一账号的所述目标使用行为。

可选地，采用以下方式建立所述历史使用行为模型：

获取与每个账号对应的预设时间段内的历史使用行为数据；所述历史使用行为数据包括历史登录日志中的所有数据、历史操作日志中的所有数据和历史访问流量数据中的所有数据；

利用预设的频繁项集算法对所述历史使用行为数据进行分析，确定与每个账号对应的历史登录特征参数。

根据本公开实施例的第二方面，提供一种账号使用行为检测装置，所述装置包括：

第一检测模块，被配置为检测多次登录目标账号的使用行为是否属于连续登录行为；

参数获取模块，被配置为如果所述使用行为不属于连续登录行为，则获取所述使用行为所对应的登录特征参数；

第二检测模块，被配置为根据所述登录特征参数，确定所述使用行为是否属于多个用户在不同时间段使用同一账号的目标使用行为。

可选地，所述第一检测模块包括：

第一获取子模块，被配置为在待检测的登录日志中，获取所述目标账号所对应的所有的登录时间点和登出时间点；

第一确定子模块，被配置为如果所述目标账号对应的至少一个登出时间点位于相邻两次登录时间点之间的时间段内，则确定多次登录目标账号的使用行为不属于连续登录行为。

可选地，所述登录特征参数包括以下至少一项：

登录互联网协议ip地址、登录设备的设备标识、登录时间点、登录后执行的业务操作、执行所述业务操作的操作时间段和登录的统一资源定位符url地址。

可选地，所述参数获取模块包括：

第二获取子模块，被配置为从待检测的登录日志、待检测的操作日志和待检测的访问流量数据中，获取所述使用行为所对应的每个所述登录特征参数。

可选地，所述第二检测模块包括：

第二确定子模块，被配置为在预先建立的历史使用行为模型中，确定与所述目标账号对应的目标历史登录特征参数；所述历史使用行为模型中包括与每个账号对应的历史登录特征参数；

第三确定子模块，被配置为如果所述使用行为所对应的任一个所述登录特征参数不符合相应的所述目标历史登录特征参数，则确定所述使用行为属于多个用户在不同时间段使用同一账号的目标使用行为。

可选地，所述装置还包括：

数据获取模块，被配置为获取与每个账号对应的预设时间段内的历史使用行为数据；所述历史使用行为数据包括历史登录日志中的所有数据、历史操作日志中的所有数据和历史访问流量数据中的所有数据；

模型建立模块，被配置为利用预设的频繁项集算法对所述历史使用行为数据进行分析，确定与每个账号对应的所述历史登录特征参数。

根据本公开实施例的第三方面，提供一种计算机可读存储介质，所述存储介质存储有计算机程序，所述计算机程序用于执行上述第一方面所述的账号使用行为检测方法。

根据本公开实施例的第四方面，提供一种账号使用行为检测装置，所述装置包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，所述处理器被配置为：

检测多次登录目标账号的使用行为是否属于连续登录行为；

如果所述使用行为不属于连续登录行为，则获取所述使用行为所对应的登录特征参数；

根据所述登录特征参数，确定所述使用行为是否属于多个用户在不同时间段使用同一账号的目标使用行为。

本公开的实施例提供的技术方案可以包括以下有益效果：

本公开实施例中，可以先检测多次登录目标账号的使用行为是否属于连续登录行为，在所述使用行为不属于连续登录行为时，根据所述使用行为所对应的登录特征参数，确定所述使用行为是否属于多个用户在不同时间段使用同一账号的目标使用行为。通过上述过程，可以更加准确、高效地检测出数据共享交换平台内部是否存在多个用户在不同时间段使用同一账号的目标使用行为，从而更好地保护账号安全和数据安全。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。

图1是本公开根据一示例性实施例示出的一种账号使用行为检测方法流程图；

图2是本公开根据一示例性实施例示出的另一种账号使用行为检测方法流程图；

图3是本公开根据一示例性实施例示出的另一种账号使用行为检测方法流程图；

图4是本公开根据一示例性实施例示出的另一种账号使用行为检测方法流程图；

图5是本公开根据一示例性实施例示出的一种账号使用行为检测装置框图；

图6是本公开根据一示例性实施例示出的另一种账号使用行为检测装置框图；

图7是本公开根据一示例性实施例示出的另一种账号使用行为检测装置框图；

图8是本公开根据一示例性实施例示出的另一种账号使用行为检测装置框图；

图9是本公开根据一示例性实施例示出的另一种账号使用行为检测装置框图；

图10是本公开根据一示例性实施例示出的一种用于账号使用行为检测装置的一结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。

在本公开运行的术语是仅仅出于描述特定实施例的目的，而非旨在限制本公开。在本公开和所附权利要求书中所运行的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中运行的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本公开可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所运行的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

本公开实施例提供的账号使用行为检测方法可以用于数据共享交换平台。如图1所示，图1是根据一示例性实施例示出的一种账号使用行为检测方法，包括以下步骤：

在步骤101中，检测多次登录目标账号的使用行为是否属于连续登录行为；

在步骤102中，如果所述使用行为不属于连续登录行为，则获取所述使用行为所对应的登录特征参数；

在步骤103中，根据所述登录特征参数，确定所述使用行为是否属于多个用户在不同时间段使用同一账号的目标使用行为。

上述实施例中，可以先检测多次登录目标账号的使用行为是否属于连续登录行为，在所述使用行为不属于连续登录行为时，根据所述使用行为所对应的登录特征参数，确定所述使用行为是否属于多个用户在不同时间段使用同一账号的目标使用行为。通过上述过程，可以更加准确、高效地检测出数据共享交换平台内部是否存在多个用户在不同时间段使用同一账号的目标使用行为，从而更好地保护账号安全和数据安全。

针对上述步骤101，如图2所示，图2是在前述图1所示实施例的基础上示出的另一种账号使用行为检测方法，步骤101可以包括以下步骤：

在步骤101-1中，在待检测的登录日志中，获取所述目标账号所对应的所有的登录时间点和登出时间点；

本步骤中，待检测的登录日志中已经记录了每个账号登录时间点和登出时间点等信息，数据共享交换平台可以从待检测的所述登录日志中提取目标账号对应的所有的登录时间点和登出时间点，例如表1所示。其中，所述目标账号可以是所有账号中的任一个。

表1

在步骤101-2中，如果所述目标账号对应的至少一个登出时间点位于相邻两次登录时间点之间的时间段内，则确定多次登录目标账号的使用行为不属于连续登录行为。

本步骤中，如果所述目标账号连续两次登录时间点之间的时间段内，有用户登出所述目标账号，即所述目标账号对应的至少一个登出时间点位于相邻两次登录时间点之间的时间段内，那么可以确定多次登录所述目标账号的所述使用行为不属于连续登录行为。本公开实施例仅针对所述使用行为不属于连续登录行为的情况。

例如，根据表1中目标账号在12月1日的登出时间点9:03位于9:01至10:00之间的时间段内，因此目标账号在12月1日的两次登录所述目标账号的使用行为不属于连续登录行为。

针对上述步骤102，可选地，在本公开实施例中，所述登录特征参数可以包括以下至少一项：登录ip(internetprotocol，互联网协议)地址、登录设备的设备标识、登录时间点、登录后执行的业务操作、执行所述业务操作的操作时间段和登录的url(uniformresourcelocator，统一资源定位符)地址。

本步骤中，数据共享交换平台已经从待检测的登录日志中获取了所述目标账号对应的登录时间点，进一步地，还可以从待检测的登录日志中，获取所述目标账号对应的登录ip地址和登录设备的设备标识。

例如，数据共享交换平台在待检测的账号登录日志中提取出12月1日其中一次登录所述目标账号对应的登录ip地址为地址1，登录设备的设备标识为设备a。另一次登录所述目标账号对应的登录ip地址为地址2，登录设备的设备标识为设备b。

本公开实施例中，访问流量数据操作日志记录的是所有账号登录后所执行的业务操作流程中的哪个业务流程环节，例如账号a登录后执行了目录提交的业务流程环节。而访问流量数据中记录了所有账号登录后每次所执行的具体业务操作。例如目标账号登录后执行了目录提交的业务流程环节中的在线编辑目录、上传目录、提交目录三个业务操作。

在本步骤中，数据共享交换平台需要结合待检测的操作日志和待检测的访问流量数据同时进行分析，从而确定所述目标账号登录后执行的业务操作和执行所述业务操作的操作时间段。

进一步地，待检测的操作日志和待检测的访问流量数据中还记录了目标账号访问的所有url地址，数据共享交换平台可以从待检测的操作日志和待检测的访问流量数据中获取所述使用行为所对应访问的url地址，例如其中一次登录所述目标账号访问了url地址1，另一次登录所述目标账号访问了url地址2，第三次登录所述目标账户访问了url地址2等等。

针对上述步骤103，如图3所示，图3是在前述图1所示实施例的基础上示出的另一种账号使用行为检测方法，步骤103可以包括以下步骤：

在步骤103-1中，在预先建立的历史使用行为模型中，确定与所述目标账号对应的目标历史登录特征参数；

在本公开实施例中，数据共享交换平台已经预先建立了历史使用行为模型，所述历史使用行为模型中包括与每个账号对应的历史登录特征参数，例如表2所示。

表2

可选地，表2中的历史登录时间点可以扩展为历史登录时间段，例如历史登录时间点基本分布在9:00-10:00这个时间段内，则历史登录时间段就为9:00-10:00。本步骤中，数据共享交换平台可以根据历史使用行为模型，直接确定与目标账号对应的目标历史登录特征参数。

例如目标账号为账号a，则表2中与账号a对应的历史登录特征参数均为目标历史登录特征参数。

在步骤103-2中，如果所述使用行为所对应的任一个所述登录特征参数不符合相应的所述目标历史登录特征参数，则确定所述使用行为属于多个用户在不同时间段使用同一账号的目标使用行为。否则，在本公开实施例中，可以确定所述使用行为属于同一用户在不同时间段使用同一账号的行为。

例如，多次登录目标账号的登录ip地址为ip地址1和ip地址3，所述使用行为所对应的登录设备的设备标识均为设备a，所述使用行为所对应的登录时间点为9:00、9:30和10:00，所述使用行为所对应后执行的业务操作均为在线编辑目录，所述操作时间段分别为9:05-9:40和11:07-11:25，所述使用行为所对应的登录的url地址为url地址1，则如果所述使用行为所对应的任意一个登录特征参数不符合表2中目标账号的目标历史登录特征参数，则确定所述使用行为属于所述目标使用行为。其中登录时间点如果未位于历史登录时间段内，则可以确定所述使用行为所对应的登录时间点参数不符合目标历史登录特征参数。

在一实施例中，如图4所示，图4是在前述图1所示实施例的基础上示出的另一种账号使用行为检测方法，建立所述历史使用行为模型的过程可以包括以下步骤：

在步骤100-1中，获取与每个账号对应的预设时间段内的历史使用行为数据；

本公开实施例中，可选地，所述历史使用行为数据包括历史登录日志中的所有数据、历史操作日志中的所有数据和历史访问流量数据中的所有数据。历史使用行为数据其中，所述预设时间段可以是每天、每三天、每周、每月等。

在步骤100-2中，利用预设的频繁项集算法对所述历史使用行为数据进行分析，确定与每个账号对应的历史登录特征参数。

本公开实施例中，可选地，所述预设的频繁项集算法可以是apriori算法，数据共享交换平台按照现有技术中apriori算法以历史使用行为数据为数据源进行分析，可以获取与每个账号对应的历史登录特征参数，从而建立历史使用行为模型，该历史使用行为模型可以如上述表2所示。

上述实施例中，可以由数据共享交换平台根据历史使用行为数据，确定每个账号对应的历史登录特征参数，从而可以建立历史使用行为模型，实现简便，可用性高。

与前述方法实施例相对应，本公开还提供了装置的实施例。

如图5所示，图5是本公开根据一示例性实施例示出的一种账号使用行为检测装置框图，所述装置包括：

第一检测模块210，被配置为检测多次登录目标账号的使用行为是否属于连续登录行为；

参数获取模块220，被配置为如果所述使用行为不属于连续登录行为，则获取所述使用行为所对应的登录特征参数；

第二检测模块230，被配置为根据所述登录特征参数，确定所述使用行为是否属于多个用户在不同时间段使用同一账号的目标使用行为。

如图6所示，图6本公开根据一示例性实施例示出的另一种账号使用行为检测装置框图，该实施例在前述图5实施例的基础上，所述第一检测模块210包括：

第一获取子模块211，被配置为在待检测的登录日志中，获取所述目标账号所对应的所有的登录时间点和登出时间点；

第一确定子模块212，被配置为如果所述目标账号对应的至少一个登出时间点位于相邻两次登录时间点之间的时间段内，则确定多次登录目标账号的使用行为不属于连续登录行为。

可选地，所述登录特征参数包括以下至少一项：

登录互联网协议ip地址、登录设备的设备标识、登录时间点、登录后执行的业务操作、执行所述业务操作的操作时间段和登录的统一资源定位符url地址。

如图7所示，图7本公开根据一示例性实施例示出的另一种账号使用行为检测装置框图，该实施例在前述图5实施例的基础上，所述参数获取模块220包括：

第二获取子模块221，被配置为从待检测的登录日志、待检测的操作日志和待检测的访问流量数据中，获取所述使用行为所对应的每个所述登录特征参数。

如图8所示，图8本公开根据一示例性实施例示出的另一种账号使用行为检测装置框图，该实施例在前述图5实施例的基础上，所述第二检测模块230包括：

第二确定子模块231，被配置为在预先建立的历史使用行为模型中，确定与所述目标账号对应的目标历史登录特征参数；所述历史使用行为模型中包括与每个账号对应的历史登录特征参数；

第三确定子模块232，被配置为如果所述使用行为所对应的任一个所述登录特征参数不符合相应的所述目标历史登录特征参数，则确定所述使用行为属于多个用户在不同时间段使用同一账号的目标使用行为。

如图9所示，图9本公开根据一示例性实施例示出的另一种账号使用行为检测装置框图，该实施例在前述图5实施例的基础上，所述装置还包括：

数据获取模块240，被配置为获取与每个账号对应的预设时间段内的历史使用行为数据；所述历史使用行为数据包括历史登录日志中的所有数据、历史操作日志中的所有数据和历史访问流量数据中的所有数据；

模型建立模块250，被配置为利用预设的频繁项集算法对所述历史使用行为数据进行分析，确定与每个账号对应的所述历史登录特征参数。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本公开方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

相应的，本公开还提供一种计算机可读存储介质，所述存储介质存储有计算机程序，所述计算机程序用于执行上述任一所述的账号使用行为检测方法。

相应的，本公开还提供一种账号使用行为检测装置，所述装置包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，所述处理器被配置为：

检测多次登录目标账号的使用行为是否属于连续登录行为；

如果所述使用行为不属于连续登录行为，则获取所述使用行为所对应的登录特征参数；

根据所述登录特征参数，确定所述使用行为是否属于多个用户在不同时间段使用同一账号的目标使用行为。

如图10所示，图10是根据一示例性实施例示出的一种用于账号使用行为检测装置1000的一结构示意图。例如，装置1000可以被提供为一数据共享交换平台。参照图10，装置1000包括处理组件1022，其进一步包括一个或多个处理器，以及由存储器1032所代表的存储器资源，用于存储可由处理部件1022的执行的指令，例如应用程序。存储器1032中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外，处理组件1022被配置为执行指令，以执行上述任一所述的账号使用行为检测方法。

装置1000还可以包括一个电源组件1026被配置为执行装置1000的电源管理，一个有线或无线网络接口1050被配置为将装置1000连接到网络，和一个输入输出(i/o)接口1058。装置1000可以操作基于存储在存储器1032的操作系统，例如windowsservertm，macosxtm，unixtm,linuxtm，freebsdtm或类似。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本公开的其它实施方案。本公开旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或者惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由下面的权利要求指出。

以上所述仅为本公开的较佳实施例而已，并不用以限制本公开，凡在本公开的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本公开保护的范围之内。