(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210500487.4 (22)申请日 2022.05.10 (65)同一申请的已公布的文献号 申请公布号 CN 114640546 A (43)申请公布日 2022.06.17 (73)专利权人 北京微步在线科技有限公司 地址 100082 北京市海淀区苏州街 49-3号3 层301室 (72)发明人 王鑫　赵林林　童兆丰　薛锋　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 专利代理师 蒋姗 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01)(56)对比文件 CN 113542227 A,2021.10.2 2 CN 105763548 A,2016.07.13 WO 2018072580 A1,2018.04.26 审查员 潘小丹 (54)发明名称 一种登录行为检测的方法、 装置、 存储设备 及电子设备 (57)摘要 本申请的一些实施例提供了一种登录行为 检测的方法、 装置、 存储设备及电子设备， 该方法 包括： 至少获取任一客户端登录任一服务器端所 产生的目标登录数据； 通过分析所述目标登录数 据获取所述任一客户端的登录行为特征， 其中， 所述登录行为特征至少用于表征所述多次登录 过程中的所有用户名和所有登录密码之间的关 系； 根据所述登录行为特征确定登录行为检测结 果， 其中， 所述登录行为检测结果用于表征所述 任一客户端存在爆破攻击行为、 喷洒攻击行为、 撞库攻击 行为或弱口令登录风险行为。 本申请一 些实施例提供的方法可以实现对登录行为的安 全检测， 通用性较高。 权利要求书3页 说明书10页 附图2页 CN 114640546 B 2022.10.11 CN 114640546 B 1.一种登录行为检测的方法， 其特 征在于， 包括： 至少获取任一客户端登录任一服务器端所产生的目标登录数据， 其中， 所述目标登录 数据包括与多次登录过程对应的多对登录数据， 一次登录过程生成一对登录数据， 每一对 登录数据包括用户名以及登录密码； 通过分析所述目标登录数据获取所述任一客户端的登录行为特征， 其中， 所述登录行 为特征至少用于表征 所述多次登录过程中的所有用户名和所有登录密码之间的关系； 根据所述登录行为特征确定登录行为检测结果， 其中， 所述登录行为检测结果用于表 征所述任一客户端存在爆破攻击行为、 喷洒攻击行为、 撞库攻击行为或弱口令登录风险行 为； 其中， 如果所述所有用户名  为同一个用户名， 且所述所有登录密码中包括多个不同密 码， 其中， 所述通过分析所述目标登录数据获取所述任一客户端的登录行为特征， 包括： 通 过分析所述目标登录数据， 确认所述任一客户端存在采用所述同一个用户名并采用所述多 个不同密码登录所述任一 服务器端的行为特 征； 所述根据所述登录行为特征确定登录行为检测结果， 包括： 若在预设时间内所述行为 特征的发生次数 大于第一阈值， 则确认所述任一 客户端存在所述爆破攻击行为； 所述方法还 包括： 如果所述所有用户名中包括多个不同用户名， 且所述所有登录密码为同一个密码， 其 中， 所述通过分析所述目标登录数据获取所述任一客户端的登录行为特征， 包括： 通过分析 所述目标登录数据， 确认所述任一客户端存在 采用所述多个不同用户名并采用所述同一个 密码登录所述任一 服务器端的行为特 征； 所述根据所述登录行为特征确定登录行为检测结果， 包括： 若在预设时间内所述行为 特征的发生次数 大于第二阈值， 则确认所述任一 客户端存在所述喷洒 攻击行为； 如果所述所有用户名中包括多个用户名， 且所述所有登录密码中包括多个密码， 一个 用户名匹配一个密码， 其中， 所述通过分析所述 目标登录数据获取所述任一客户端的登录 行为特征， 包括： 通过分析所述目标登录数据， 确认所述任一客户端存在 采用所述多个用户 名并采用所述多个密码登录所述任一 服务器端的行为特 征； 所述根据所述登录行为特征确定登录行为检测结果， 包括： 若在预设时间内所述行为 特征的发生次数 大于第三阈值， 则确认所述任一 客户端存在所述撞库攻击行为； 所述方法还 包括： 获取所述任一客户端利用所述目标登录数据登录所述任一服务器端的登录状态； 根据 所述登录状态， 确认与所述登录行为检测结果对应的风险攻击状态， 其中， 若 所述登录状态 为成功， 则确认所述风险攻击状态为成功， 若所述登录状态 为失败， 则确认所述风险攻击状 态为失败。 2.如权利要求1所述的方法， 其特征在于， 所述至少获取任一客户端登录任一服务器端 所产生的目标登录数据， 包括： 采集所述任一 客户端登录所述任一 服务器端的登录参数 数据； 从所述登录参数 数据中提取 出所述目标登录数据。 3.如权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 获取所述任一 服务器端绑定的应用系统；权　利　要　求　书 1/3 页 2 CN 114640546 B 2生成与所述任一客户端对应的风险报告， 其中， 所述风险报告包括： 所述任一客户端的 地址、 所述应用系统的类型、 所述目标登录数据、 所述登录状态以及所述风险攻击状态中的 至少一种。 4.如权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 获取采用所述目标登录数据登录所述任一 服务器端的所有客户端； 生成与所述任一服务器端对应的监控报告， 其中， 所述监控报告包括： 所述所有客户端 中每一个客户端的地址以及所述目标登录数据对应的用户列表。 5.如权利要求2所述的方法， 其特 征在于， 所述至少获取任一 客户端登录任一 服务器端所产生的目标登录数据， 包括： 获取所述目标登录数据和弱口令词典， 其中， 所述弱口令词典包括多个弱口令， 所述多 个弱口令包括： 采集到的初始弱口令以及对所述初始弱口令进行处 理得到的目标弱口令； 在所述通过分析所述目标登录数据获取所述任一客户端的登录行为特征之前， 所述方 法还包括： 若所述弱口令词典中存在与所述多对登录数据中的任一对登录数据中的登录密码相 同的弱口令， 则确认所述任一对登录数据中的登录密码存在弱口令风险。 6.如权利要求5所述的方法， 其特 征在于， 所述通过分析 所述目标登录数据获取 所述任一 客户端的登录行为特 征， 包括： 利用所述任一对登录数据， 从所述任一客户端登录所述任一服务器端， 获取所述登录 行为特征， 其中， 所述登录行为特征用于表征所述任一客户端登录所述任一服务器端的登 录响应状态； 所述根据所述登录行为特 征确定登录行为检测结果， 包括： 若所述登录响应 状态为登录成功， 则确认所述任一 客户端存在弱口令登录风险行为； 或者， 若所述登录响应状态为登录失败， 则确认所述任一客户端不存在弱口令登录风险行 为。 7.如权利要求5 ‑6任一项所述的方法， 其特 征在于， 所述方法还 包括： 获取所述目标登录数据中所有存在弱口令风险的登录数据； 生成与所述所有存在弱口令风险的登录数据对应的弱口令风险用户表。 8.如权利要求6所述的方法， 其特 征在于， 所述方法还 包括： 当所述确认所述任一对登录数据中的登录密码存在弱口令风险时， 执 行如下操作： 监控所述任一客户端利用所述任一对登录数据登录的所有服务器端， 以及所述所有服 务器端绑定的应用系统； 生成与所述任一对登录数据对应的网络资产列表， 其中， 所述网络资产列表包括： 所述 所有服务器端中每 个服务器端的地址、 所述应用系统的类型和数量。 9.一种登录行为检测的装置， 其特 征在于， 包括： 数据获取模块， 被配置为至少获取任一客户端登录任一服务器端所产生的目标登录数 据， 其中， 所述目标登录数据包括与多次登录过程对应的多对登录数据， 一次登录过程生成 一对登录数据， 每一对登录数据包括用户名以及登录密码； 数据分析模块， 被配置为通过分析所述目标登录数据获取所述任一客户端的登录行为权　利　要　求　书 2/3 页 3 CN 114640546 B 3