账号安全防护方法、装置、电子装置和存储介质与流程

1.本技术涉及账号安全防护领域，特别是涉及账号安全防护方法、装置、电子装置和存储介质。


背景技术：

2.随着互联网技术的高速发展，互联网与人们的生产生活紧密相连，互联网+的各种服务都依赖于服务器、云计算等基础设置。用户的个人数据和商业数据都存储于服务器或云环境中，在云计算日益普及的今天，安全已经成为云计算服务的核心竞争力之一。
3.现有的云环境安全防护技术，更多的注重于对存储在云中的用户数据的进行保护，往往忽略了用户在登录云端的过程中，对用户账号安全的防护。现有的异常登录行为检测技术大多采用单一的安全防护模型进行账号保护，导致异常登录检测的准确率较低。
4.针对相关技术中单一安全防护模型的安全防护性能较差的问题，目前还没有提出有效的解决方案。


技术实现要素：

5.在本实施例中提供了一种账户安全防护方法、装置、电子装置和存储介质，以解决相关技术中单一安全防护模型的安全防护性能较差的问题。
6.第一个方面，在本实施例中提供了一种安全防护方法，应用于云环境web应用防火墙包括：
7.获取登录行为数据，所述登录行为数据包括登录账号信息、密码信息、登录ip信息、登录时间信息、登录地点信息和登录状态信息中的至少两种；
8.基于所述登录行为数据匹配安全防护模型，所述安全防护模型包括登录地点频繁变更模型、账号爆破攻击模型、ip扫描登录攻击模型以及智能学习登录模型；
9.根据所述安全防护模型对所述登录行为数据进行检测，若所述登录行为数据对应的用户登录行为属于异常登录行为，则对所述异常登录行为进行拦截。
10.在其中的一个实施例中，所述获取登录行为数据包括：获取网站访问日志；基于所述网站访问日志的资源定位标志，获取接口样本库中的登录界面标识；将所述资源定位标志与所述登录界面标识组合，得到组合数据；基于所述组合数据进行模拟访问，得到响应结果，所述响应结果至少包括响应码；根据所述响应结果获取登录行为数据。
11.在其中的一个实施例中，所述获取网站访问日志包括：通过elk系统对部署在云平台的多台服务器进行日志检索，得到网站访问日志。
12.在其中的一个实施例中，所述基于所述组合数据进行模拟访问，得到访问结果包括：根据所述接口样本库获取账号密码字段数据；基于所述组合数据获取请求报文；根据所述接口样本库获取账号密码字段数据并将所述账号密码字段数据加入所述请求报文；基于所述请求报文得到访问结果。
13.在其中的一个实施例中，所述对所述异常登录行为进行拦截还包括：获取预设拦
截时长，所述预设拦截时长是对异常登录行为对应的登录账号、登录ip以及登录接口进行拦截的时间参数；基于所述预设拦截时长对异常登录行为进行拦截。
14.在其中的一个实施例中，所述对所述异常登录行为进行拦截包括：采用ip拦截、账号拦截以及登录接口拦截中的一种或多种拦截方式对所述异常登录行为进行拦截。
15.在其中的一个实施例中，所述对所述异常登录行为拦截之后包括：获取异常行为信息；根据所述异常行为信息生成告警信息；将所述告警信息根据预设方式发送至客户端，所述预设方式至少包括电话告警、短信告警和邮件告警。
16.第二个方面，在本实施例中提供了一种账号安全防护装置，应用于云环境web应用防火墙，包括：
17.获取模块，用于获取登录行为数据，所述登录行为数据包括登录账号信息、密码信息、登录ip信息、登录时间信息、登录地点信息和登录状态信息中的至少两种；
18.匹配模块，用于基于所述登录行为数据匹配安全防护模型，所述安全防护模型包括登录地点频繁变更模型、账号爆破攻击模型、ip扫描登录攻击模型以及智能学习登录模型；
19.防护模块，用于根据所述安全防护模型对所述登录行为数据进行检测，若所述登录行为数据对应的用户登录行为属于异常登录行为，则对所述异常登录行为进行拦截。
20.第三个方面，在本实施例中提供了一种电子装置，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述第一个方面所述的账号安全防护方法。
21.第四个方面，在本实施例中提供了一种存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述第一个方面所述的账号安全防护方法。
22.与相关技术相比，在本实施例中提供的账号安全防护方法，应用于云环境web应用防火墙，通过获取登录行为数据，所述登录行为数据包括登录账号信息、密码信息、登录ip信息、登录时间信息、登录地点信息和登录状态信息中的至少两种；基于所述登录行为数据匹配安全防护模型，所述安全防护模型包括登录地点频繁变更模型、账号爆破攻击模型、ip扫描登录攻击模型以及智能学习登录模型；根据所述安全防护模型对所述登录行为数据进行检测，若所述登录行为数据对应的用户登录行为属于异常登录行为，则对所述异常登录行为进行拦截，解决了单一安全防护模型的安全防护性能较差的问题，实现了基于云计算环境下的多模型账号安全防护的技术效果。
23.本技术的一个或多个实施例的细节在以下附图和描述中提出，以使本技术的其他特征、目的和优点更加简明易懂。
附图说明
24.此处所说明的附图用来提供对本技术的进一步理解，构成本技术的一部分，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
25.图1是本实施例的账号安全防护方法的终端的硬件结构框图；
26.图2是本实施例的账号安全防护方法的流程图；
27.图3是本技术另一实施例的账号安全防护方法的流程图；
28.图4是本技术另一实施例的账号安全防护方法的业务流程图；
29.图5是本实施例的账号安全防护装置的结构框图。
具体实施方式
30.为更清楚地理解本技术的目的、技术方案和优点，下面结合附图和实施例，对本技术进行了描述和说明。
31.除另作定义外，本技术所涉及的技术术语或者科学术语应具有本技术所属技术领域具备一般技能的人所理解的一般含义。在本技术中的“一”、“一个”、“一种”、“该”、“这些”等类似的词并不表示数量上的限制，它们可以是单数或者复数。在本技术中所涉及的术语“包括”、“包含”、“具有”及其任何变体，其目的是涵盖不排他的包含；例如，包含一系列步骤或模块(单元)的过程、方法和系统、产品或设备并未限定于列出的步骤或模块(单元)，而可包括未列出的步骤或模块(单元)，或者可包括这些过程、方法、产品或设备固有的其他步骤或模块(单元)。在本技术中所涉及的“连接”、“相连”、“耦接”等类似的词语并不限定于物理的或机械连接，而可以包括电气连接，无论是直接连接还是间接连接。在本技术中所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，“a和/或b”可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。通常情况下，字符“/”表示前后关联的对象是一种“或”的关系。在本技术中所涉及的术语“第一”、“第二”、“第三”等，只是对相似对象进行区分，并不代表针对对象的特定排序。
32.在本实施例中提供的方法实施例可以在终端、计算机或者类似的运算装置中执行。比如在终端上运行，图1是本实施例的账号安全防护方法的终端的硬件结构框图。如图1所示，终端可以包括一个或多个(图1中仅示出一个)处理器102和用于存储数据的存储器104，其中，处理器102可以包括但不限于微处理器mcu或可编程逻辑器件fpga等的处理装置。上述终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对上述终端的结构造成限制。例如，终端还可包括比图1中所示更多或者更少的组件，或者具有与图1所示出的不同配置。
33.存储器104可用于存储计算机程序，例如，应用软件的软件程序以及模块，如在本实施例中的账号安全防护方法对应的计算机程序，处理器102通过运行存储在存储器104内的计算机程序，从而执行各种功能应用以及数据处理，即实现上述的方法。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
34.传输设备106用于经由一个网络接收或者发送数据。上述的网络包括终端的通信供应商提供的无线网络。在一个实例中，传输设备106包括一个网络适配器(network interface controller，简称为nic)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输设备106可以为射频(radio frequency，简称为rf)模块，其用于通过无线方式与互联网进行通讯。
35.网站的账号安全一直是网站安全防护的重中之重。由于部分用户及网站的安全防范意识薄弱，简单的账号密码和薄弱的防恶意口令机制使得黑客在对网站进行渗透攻击时，可以轻易地获取到关键业务网站权限，进而对整个网络系统进行入侵。在当前数据上云
的发展趋势下，账号安全作为网站安全管理的第一步，需要有足够的重视以及相应的安全防护策略。现有的账号安全防护方法，大多是基于单一防护模型对网站进行防护。而在云环境下，登录行为的数据量庞大，网站的攻击手段日益复杂，因此亟需一种多维度的账号安全防护方法。
36.在本实施例中提供了一种账号安全防护方法，应用于云环境web应用防火墙。云环境web应用防火墙，即云waf(web application firewall，网站应用级入侵防御系统)。云waf是基于云端的web应用防火墙，不需要用户安全，只需要把域名解析到相关地址，就能使用云waf的防护功能。云waf是未来发展的一大趋势，相比于传统的硬件waf和软件waf，其安装更简单，更新由云端负责，更加便捷，更加适用于中小企业、政府、金融和教育等网站的防护保障。同时，在云waf上应用安全防护模型，可以针对多种类型的用户网站进行模型验证，因为网站是共享云资源的。与此同时，通过云waf可以收集更多的网站访问数据。
37.图2是本实施例的账号安全防护方法的流程图，如图2所示，该流程包括如下步骤：
38.步骤s201，获取登录行为数据。
39.具体的，登录行为数据包括账号登录信息、密码信息、登录ip信息、登录时间信息、登录地点信息和登录状态信息中的至少两种，其中，登录状态信息包括登录成功和登录失败。登录行为数据可通过统计和分析网站访问日志得到。实时获取网站的网站访问日志，该网站访问日志既包括网站的登录成功日志、登录失败日志，还包括网站浏览日志。网站访问日志的来源包括与该网站相关的全部本地服务器以及云端服务器。通过对网站访问日志的分析，识别该网站访问的过程中是否产生登录行为，即用户在访问网站的过程中是否请求登录，若检测到相关登录行为数据，则基于网站访问日志提取该登录行为数据。
40.步骤s202，基于所述登录行为数据匹配安全防护模型，所述安全防护模型包括登录地点频繁变更模型、账号爆破攻击模型、ip扫描登录攻击模型以及智能学习登录模型。
41.具体的，基于登录行为数据进行统计分析，统计结果既可以是以账号为单位，也可以是以ip为单位。例如，统计出某一账号的密码强度、登录时间、登录地点、登录次数和登录状态，进一步，得到全部账号及其对应的登录时间、登录地点、登录次数和登录状态。又例如，统计出某一ip地址登录的全部账号信息，统计该ip地址登录的账号数量、以及每个账号对应的账号登录时间、登录次数以及登录状态。
42.进一步的，弱口令审计模型是针对登陆者在登录网站时，输入的口令密码强度过低的情况而设计的安全防护模型。根据口令密码强度可以将密码分为弱密码、中强度密码以及高强度密码三种类型。其中，弱密码是指密码长度低于6位，且只包含数字或字母的密码；中强度密码是指密码长度在6
‑
8位，含有数字和字母的密码。高强度密码是指密码长度在8位以上，且包括数字、大小写字母以及特殊字符的密码。根据用户输入密码的口令密码强度，可以进行相应的防护操作，比如对弱密码的登录行为禁止登录，对中强度密码的登录行为进行提示建议修改密码，对高强度密码的登录行为正常放行。
43.登录地点频繁变更模型主要是针对用户账号被盗取或者恶意分享给外部人员使用的情况。例如，获取同一账号在预设时间段内的登录次数和登录地点，若在预设时间内，该账号的登录地点变更多次，则可以判定为登录地点频繁变更。优选的，识别账号登录地点的方式为登录ip的地区查询。当出现同一账号出现在多地登录的情况，有较大几率为账号密码被泄露导致非授权用户进行登录的情形，也可能是用户将网站管理员账号分享给他人
使用的情形，以上情形均存在网站关键信息泄露的风险。在其中的一个实施例中，针对同一账号，其登录的地点在5分钟内变更3次以上则可以判定为登录地点频繁变更。
44.需要注意的是，当防护网站存在多台服务器，并且处于异地部署的情况下，通过云防护可以做统一的数据分析，无论登录请求发送到网站何地的服务器上，都可以在云端做统一的记录然后对地点变更等做判断，而当安全防护模型是基于单台服务器建立的情况下，则此时的防护模型智能针对该服务器对应的网站服务器数据进行处理，对于其他异地的服务器请求数据则无法做统一判断。
45.账号爆破攻击模型主要是针对单一账号存在高频率的异常登录行为而设计。例如，获取同一账号预设时间内的登录行为数据，若在预设时间内，该账号的登录次数超过次数阈值，并且每次登录行为均登录失败，则判断当前账号受到账号爆破攻击。在其中的一个实施例中，针对某一账号，在一分钟内如果出现20次以上的登录行为，并且登录行为都以登录失败结束，则可以判定该登录行为属于账号爆破攻击。
46.ip扫描登录攻击模型主要是弥补账号爆破攻击模型的不足，针对单一ip存在多账号的异常登录行为而设计。例如，获取同一ip地址预设时间内的账号登录情况，即获取该ip地址在预设时间内全部账号对应的登录情况数据，若在预设时间内，该ip地址产生登录行为的账号数量超过数量阈值，并且每次登录行为均登录失败，则判定当前登录ip受到ip扫描登录攻击。在其中的一个实施例中，针对某一ip地址，在1分钟内如果出现20个不同账号的登录操作，并且登录都以登录失败结束，则可以判定该登录行为属于ip扫描登录攻击。
47.智能学习登录模型可以根据网站用户的账号数据进行用户正常登录行为的学习，例如，对网站用户正常的登录时间、登录地点、登录账号进行记录，经过预设时长的机器学习，最终生成正常登录规则。若当前检测到的登录行为不符合正常登录规则，则将当前登录行为判定为异常登录。
48.步骤s203，若所述登录检测结果包括异常登录行为，则对所述异常登录行为进行拦截。
49.具体的，基于预先建立的安全防护模型对登录行为数据进行匹配和检测，即是基于安全防护模型中设置好的检测规则，针对账号或者ip对应的统计结果信息逐个进行比对检测。例如：安全防护模型的检测规则是针对预设时间段内某一账号登录次数进行识别，则获取登录时间在预设时间段内的登录行为数据，该登录行为数据是以账号为单位得出的统计结果，对每个账号及其对应的统计结果逐一进行账号安全检测，将当前账号的登录次数与安全防护模型中的次数阈值进行比对，若登录次数小于该次数阈值，则认为该账号为正常登录；若登录次数大于或等于该次数阈值，则认为该账号存在异常登录行为，据此识别是否存在异常登录情况。安全防护模型是基于云环境下的多个网站对应多个服务器的服务器日志数据分析建立的。由于多个网站数据共享云资源，因此可以基于云资源中存储的数量庞大的网站访问日志进行分析处理，并基于此分析攻击模式，从而建立起多个针对不同攻击模式的账号安全防护模型。该安全防护模型具体包括登录地点频繁变更模型、账号爆破攻击模型、ip扫描登录攻击模型以及智能学习登录模型。登录地点频繁变更模型用于检测同一账号是否发生在不同地址登录的情况。账号爆破攻击模型用于检测同一账号是否发生频繁登录且登录失败的情况。ip扫描登录攻击模型用于检测同一ip是否发生多账号登录行为的情况。智能学习登录模型是基于对同一账号过去产生的大量访问数据进行人工智能学
习建立的，智能学习登录模型包括账号的正常登录规则，根据该正常登录规则可以检测当前登录行为是否存在异常。若实时检测到的登录行为不符合安全防护模型设置的攻击模式，则不对该登录行为进行处理。若检测到的登录行为符合预先设置的安全模型的攻击模式，则存在异常登录行为，对该登录行为进行拦截。拦截过程包括拦截登录ip、封禁登录账号等。
50.通过上述步骤，本技术的账号安全防护方法通过获取云服务器中的海量网站访问日志，对云防护环境下的网站异常登录情况进行了细致的分类，并基于可能出现的攻击情况设计了多种安全防护模型，解决了单一安全防护模型的安全防护性能较差的问题，实现了多维度进行安全登录防护的技术效果。
51.在其中的一个实施例中，所述获取登录行为数据包括：获取网站访问日志；基于所述网站访问日志的资源定位标志，获取接口样本库中的登录界面标识；将所述资源定位标志与所述登录界面标识组合，得到组合数据；基于所述组合数据进行模拟访问，得到响应结果，所述响应结果至少包括响应码；根据所述响应结果获取登录行为数据。
52.具体的，对云防护环境下网站进行账户安全防护，首先需要对网站所有的网站访问日志进行分析识别，提取出其中的登录操作，然后进行相应的安全模型匹配。由于网站访问日志既包括登录行为，也包括浏览行为，因此需要精准识别哪些访问操作属于登录请求，并将登录请求的数据进行筛选和分析。登录请求的识别主要分为3个部分，登录url、http请求方法以及账号密码输入字段。http请求方法包括get请求方法和post请求方法。
53.在其中的一个实施例中，基于云服务器中存储的全部网站访问日志提取已知登录接口信息，并根据已知登录接口信息建立样本库。当网站开启账号安全防护功能时，防护系统会自动对该网站进行样本库匹配，匹配方式包括将网站和样本库中登录url进行拼接，然后对登录url进行模拟访问。url即资源定位标志。因特网上的可用资源可以用简单字符串来表示，而这些字符串被称为统一资源定位器，即资源定位标志。根据访问响应状态进行确认是否存在该登录接口，若存在登录接口，则防护系统需要对网站用户的账号登录进行防护，通过获取网站访问日志，提取网站用户的登录行为数据。例如，当需要对www.baidu.com进行登录接口的自动识别时，通过拼接样本库中的某一登录url后可得到www.baidu.com/login.html的测试登录入口，该测试登录入口即组合数据。其中，login是登录的意思；html是网页文件；login.html一般是登录页面文件，即登录界面标识。分别发起get/post请求，并在请求报文中加入登录账号密码字段信息，最后获得访问响应码，若访问响应码为200，则认为该登录接口存在，如果响应码为404或者其他异常响应码，则认为接口不存在，并进行下一样本库的样例测试，直到样本库中所有样例都测试完毕。
54.在其中的一个实施例中，本技术的账号安全防护方法还支持用户自行输入登录接口，用户可在安全防护配置模块对登录接口进行手工录入，录入要求输入登录url、http请求方法(get/post)、账号密码输入字段。通过手工录入的方式获取登录接口，使得安全防护系统基于该接口进行账号安全防护。
55.以上两种登录接口的获取方法，可以充分满足专业以及非专业网站维护人员的使用需求，最大程度的保障防护功能的有效利用。
56.在其中的一个实施例中，所述获取网站访问日志包括：通过elk系统对部署在云平台的多台服务器进行日志检索，得到网站访问日志。
57.具体的，本技术的账号安全防护方法应用于云防护环境，由于防护系统都要依靠现有的云防护网站日志数据进行分析和行为识别，所以需要一套高性能、强稳定性的日志存储分析系统，本发明采用基于elk开源组件的日志系统。elk系统主要由三大组件构成，包括elasticsearch、logstash和kibana。elasticsearch是一个分布式可扩展的实时搜索和分析引擎，一个建立在全文搜索引擎apache lucene(tm)基础上的搜索引擎。logstash主要用于日志收集，是一种具备实时数据传输能力，同时也能根据要求进行数据处理的强大工具，通过该工具将日志数据收集处理并输出给elasticsearch。kibana可以为logstash和elasticsearch提供图形化的日志分析。在web界面可以汇总、分析和搜索重要数据日志，是建立安全防护模型的重要辅助手段。
58.在其中的一个实施例中，所述基于所述组合数据进行模拟访问，得到访问结果包括：根据所述接口样本库获取账号密码字段数据；基于所述组合数据获取请求报文；根据所述接口样本库获取账号密码字段数据并将所述账号密码字段数据加入所述请求报文；基于所述请求报文得到访问结果。
59.在其中的一个实施例中，所述对所述异常登录行为进行拦截还包括：获取预设拦截时长，所述预设拦截时长是对异常登录行为对应的登录账号、登录ip以及登录接口进行拦截的时间参数；基于所述预设拦截时长对异常登录行为进行拦截。
60.具体的，针对安全防护模型检测出登录行为属于异常登录行为的情况，账号安全防护系统会对该登录行为进行相应的自动拦截处理，根据预先在安全防护配置模块设置的拦截规则，可以针对登陆者ip、登录者使用的账号名进行拦截，并且可以根据不同的网站的业务需求，设置拦截的时长。
61.在其中的一个实施例中，所述对所述异常登录行为拦截之后包括：获取异常行为信息；根据所述异常行为信息生成告警信息；将所述告警信息根据预设方式发送至客户端，所述预设方式至少包括电话告警、短信告警和邮件告警。
62.日常网站安全维护时，当通过系统的自动识别功能发现网站受到攻击时，安全防护系统可以向网站维护人员发起不同强度的告警通知，例如当出现大面积攻击行为时，进行电话告警，以及时通知维护人员进行安全加固；当检测到小范围的攻击时则可以进行短信、邮件告警，方便管理维护人员及时了解网站的安全防护情况。
63.在其中的一个实施例中，所述基于所述登录行为数据匹配安全防护模型并进行检测，得到登录检测结果包括：获取目标账号在预设时间内的登录地点和登录次数；将所述目标账号相邻两次登录行为的所述登录地点进行比对，若所述登录地点不同，则获取次数阈值；若所述登录次数大于所述次数阈值，则所述登录检测结果存在异常登录行为。
64.在其中的一个实施例中，本技术还设计了安全审计模块，用于对已发生的所有网站登录行为进行事后审计分析，通过该模块功能可以清晰的了解到网站的账户安全情况，并根据审计记录对网站安全保护方案进行更合理的调整，例如针对用户账户存在口令密码强度较弱的情况，通知用户对密码进行修改，对存在重点账号安全攻击行为的网站加固防护手段等。
65.下面通过优选实施例对本实施例进行描述和说明。
66.图3是本技术另一实施例的账号安全防护方法的流程图。如图3所示，该账号安全防护方法包括如下步骤：
67.步骤s301，对云防护站点的网站访问日志进行存储分析。
68.步骤s302，根据已存储的网站访问日志进行分析并设计安全防护模型。
69.步骤s303，根据安全防护模型对云防护站点进行安全策略配置。
70.步骤s304，实时获取登录行为数据，对所有登录操作进行实时安全分析。
71.步骤s305，若判断当前登录操作为正常行为，则登录正常通过；若当前登录操作为恶意行为，则触发拦截机制。
72.步骤s306，对已发生的所有访问登录行为进行审计分析，实时了解网站最新安全状态。
73.图4是本技术另一实施例的账号安全防护方法的业务流程图。如图4所示，该业务流程包括账号安全设置过程、登录过程和处理过程。账号安全设置过程包括对要进行防护的站点进行账号安全设置，包括账号安全设置包括开启账号防护开关和开启告警开关。拦截设置包括拦截ip配置、拦截账号配置和登录接口配置。由于本技术提供了两种接口识别方法，包括样本库接口自动识别和接口手动输入识别。因此，在登录接口配置过程中，用户也可选择性跳过该步骤。登录过程为用户登录或注册的过程，网络攻击的过程也大多发生在该阶段。在账号安全设置完成之后，用户在网站登录界面进行登录或注册，此时防护引擎对网站和账号进行实时防护，基于网站访问日志进行接口识别，若未识别到网站接口，则提醒用户手动输入登录接口进行配置，若网站接口识别成功，则自动回复登录接口配置，无需向用户发出提醒。通过安全防护模型检测当前登录行为是否存在异常登录行为，例如，通过安全防护模型检测是否存在爆破攻击行为，若不存在，则说明当前登录行为是正常登录行为，防护系统允许该登录行为通过；若存在爆破攻击行为，则说明当前登录行为是异常登录行为，则对该异常登录行为进行拦截处理，拦截处理包括封禁ip、封禁账户和告警，并且将当前登录行为记录并进行统计分析。
74.通过以上步骤，本技术提供的账号安全防护方法通过获取海量的网站访问日志，并基于网站访问日志的分析，建立了多维度的账号安全防护模型。基于多个安全防护模型可以有效的对登录操作行为进行分类，智能识别攻击行为，并根据灵活的拦截设置进行攻击拦截防护。弥补了网站账号安全本身的防护机制不足，增强了网站账号安全管理能力，保障了网站安全的第一道防线，并且加强了网站账户安全的审计分析，有助于促进整体安全系统的优化进步。
75.需要说明的是，在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
76.在本实施例中还提供了一种账号安全防护装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。以下所使用的术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管在以下实施例中所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。
77.图5是本实施例的账号安全防护装置的结构框图，如图5所示，该装置包括：
78.获取模块10，用于获取登录行为数据，所述登录行为数据包括登录账号信息、密码信息、登录ip信息、登录时间信息、登录地点信息和登录状态信息中的至少两种；
79.匹配模块20，用于基于所述登录行为数据匹配安全防护模型，所述安全防护模型
包括登录地点频繁变更模型、账号爆破攻击模型、ip扫描登录攻击模型以及智能学习登录模型；
80.防护模块30，用于根据所述安全防护模型对所述登录行为数据进行检测，若所述登录行为数据对应的用户登录行为属于异常登录行为，则对所述异常登录行为进行拦截。
81.所述获取模块10，还用于获取网站访问日志；基于所述网站访问日志的资源定位标志，获取接口样本库中的登录界面标识；将所述资源定位标志与所述登录界面标识组合，得到组合数据；基于所述组合数据进行模拟访问，得到响应结果，所述响应结果至少包括响应码；根据所述响应结果获取登录行为数据。
82.所述获取模块10，还用于通过elk系统对部署在云平台的多台服务器进行日志检索，得到网站访问日志。
83.所述获取模块10，还用于根据所述接口样本库获取账号密码字段数据；基于所述组合数据获取请求报文；根据所述接口样本库获取账号密码字段数据并将所述账号密码字段数据加入所述请求报文；基于所述请求报文得到访问结果。
84.所述防护模块30，还用于获取预设拦截时长，所述预设拦截时长是对异常登录行为对应的登录账号、登录ip以及登录接口进行拦截的时间参数；基于所述预设拦截时长对异常登录行为进行拦截。
85.所述防护模块30，还用于采用ip拦截、账号拦截以及登录接口拦截中的一种或多种拦截方式对所述异常登录行为进行拦截。
86.所述防护模块30，还用于获取异常行为信息；根据所述异常行为信息生成告警信息；将所述告警信息根据预设方式发送至客户端，所述预设方式至少包括电话告警、短信告警和邮件告警。
87.需要说明的是，上述各个模块可以是功能模块也可以是程序模块，既可以通过软件来实现，也可以通过硬件来实现。对于通过硬件来实现的模块而言，上述各个模块可以位于同一处理器中；或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
88.在本实施例中还提供了一种电子装置，包括存储器和处理器，该存储器中存储有计算机程序，该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
89.可选地，上述电子装置还可以包括传输设备以及输入输出设备，其中，该传输设备和上述处理器连接，该输入输出设备和上述处理器连接。
90.可选地，在本实施例中，上述处理器可以被设置为通过计算机程序执行以下步骤：
91.s1，获取登录行为数据。
92.s2，基于所述登录行为数据匹配安全防护模型并，所述安全防护模型包括登录地点频繁变更模型、账号爆破攻击模型、ip扫描登录攻击模型以及智能学习登录模型。
93.s3，根据所述安全防护模型对所述登录行为数据进行检测，若所述登录行为数据对应的用户登录行为属于异常登录行为，则对所述异常登录行为进行拦截。
94.需要说明的是，在本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例，在本实施例中不再赘述。
95.此外，结合上述实施例中提供的账号安全防护方法，在本实施例中还可以提供一种存储介质来实现。该存储介质上存储有计算机程序；该计算机程序被处理器执行时实现
上述实施例中的任意一种账号安全防护方法。
96.应该明白的是，这里描述的具体实施例只是用来解释这个应用，而不是用来对它进行限定。根据本技术提供的实施例，本领域普通技术人员在不进行创造性劳动的情况下得到的所有其它实施例，均属本技术保护范围。
97.显然，附图只是本技术的一些例子或实施例，对本领域的普通技术人员来说，也可以根据这些附图将本技术适用于其他类似情况，但无需付出创造性劳动。另外，可以理解的是，尽管在此开发过程中所做的工作可能是复杂和漫长的，但是，对于本领域的普通技术人员来说，根据本技术披露的技术内容进行的某些设计、制造或生产等更改仅是常规的技术手段，不应被视为本技术公开的内容不足。
[0098]“实施例”一词在本技术中指的是结合实施例描述的具体特征、结构或特性可以包括在本技术的至少一个实施例中。该短语出现在说明书中的各个位置并不一定意味着相同的实施例，也不意味着与其它实施例相互排斥而具有独立性或可供选择。本领域的普通技术人员能够清楚或隐含地理解的是，本技术中描述的实施例在没有冲突的情况下，可以与其它实施例结合。
[0099]
以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对专利保护范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术的保护范围应以所附权利要求为准。