(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111659061.5 (22)申请日 2021.12.31 (71)申请人 新浪网技 术 （中国） 有限公司 地址 100193 北京市海淀区东北旺西路中 关村软件园二期 （西扩） N-1、 N-2地块 新浪总部科研楼7层 (72)发明人 盛洋　 (74)专利代理 机构 北京卓岚智财知识产权代理 事务所 (特殊普通合伙) 11624 代理人 郭智 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种账号异常 登录自动分析方法和装置 (57)摘要 本发明实施例提供一种账号异常登录自动 分析方法和装置， 通过关联分析多个 登录验证系 统的日志信息能够发现传统账号密码登录认证 无法发现的异常登录行为， 降低了非法用户使用 正确的账号和密码进行恶意登录的风险。 权利要求书3页 说明书18页 附图3页 CN 114389871 A 2022.04.22 CN 114389871 A 1.一种账号异常 登录自动分析 方法， 其特 征在于， 包括： 收集指定账号的登录操作相关的多个登录验证系统各自的登录验证日志； 其中， 各登 录验证系统相互通信协同完成所述登录操作； 获取各登录验证日志 记录的预 先指定的至少一种敏感指标信息； 对所述至少一种敏感指标信息进行安全威胁评价， 得到 至少一个评价积分； 将所有评价积分进行加权累加， 得到 评价总积分； 如果所述评价总积分与指定分数阈值满足指定大小关系， 则将所述指定账号的登录操 作判定为异常 登录。 2.如权利要求1所述的账号异常登录自动分析方法， 其特征在于， 所述对所述至少一种 敏感指标信息进行安全威胁评价， 得到 至少一个评价积分， 包括： 分别对每种敏感指标信 息进行独立的安全威胁评价， 得到该敏感指标信 息对应的评价 积分。 3.如权利要求1所述的账号异常登录自动分析方法， 其特征在于， 所述对所述至少一种 敏感指标信息进行安全威胁评价， 得到 至少一个评价积分， 包括： 对关联敏感指标组合进行安全威胁评价， 得到该关联 敏感指标组合对应的评价积分； 其中， 关联敏感指标组合包括： 所述至少一种敏感指标信息中预先选定的部分或全部 敏感指标信息 。 4.如权利要求1所述的账号异常登录自动分析方法， 其特征在于， 所述将所述指定账号 的登录操作判定为异常 登录之后， 还 包括： 通过指定的验证方式进行二 次验证； 如果所述二 次验证的结果为正常， 则允许登录； 如 果所述二次验证的结果 为异常， 则不允许登录 。 5.如权利要求2所述的账号异常登录自动分析方法， 其特征在于， 所述登录验证系统， 包括： 通道机系统； 所述至少一种 敏感指标信息， 包括： 所述登录操作使用的通道机客户端 IP地址； 所述分别对每种敏感指标信 息进行独立的安全威胁评价， 得到该敏感指标信 息对应的 评价积分， 包括： 将所述通道机系统的登录验证日志中记录的所述登录操作使用的通道机客户端IP地 址与IP威胁情 报库中的每条IP地址进行对比； 如果所述登录操作使用的通道机客户端IP地址与所述IP威胁情报库中的某个IP地址 匹配， 则将所述登录操作使用的通道机客户端IP地址对应的第一评价积分的值设置为指 定 的第一积分值； 其中， 所述 IP威胁情 报库包括： 预 先收集的至少一个威胁IP地址 。 6.如权利要求2所述的账号异常登录自动分析方法， 其特征在于， 所述登录验证系统， 包括： 移动办公认证系统； 所述至少一种 敏感指标信息， 包括： 所述登录操作使用的移动客 户端设备ID； 所述分别对每种敏感指标信 息进行独立的安全威胁评价， 得到该敏感指标信 息对应的 评价积分， 包括： 获取所述移动办公认证系统的登录验证日志中记录的所述登录操作使用的移动客户 端设备ID；权　利　要　求　书 1/3 页 2 CN 114389871 A 2获取所述移动办公认证系统的登录验证日志中记录的所述指定账号使用过的所有历 史移动客户端设备ID； 如果所有历史移动客户端设备ID中不存在所述登录操作使用的移动客户端设备ID， 则 将所述登录操作使用的移动客户端设备ID对应的第二评价积分的值设置为指定的第二积 分值。 7.如权利要求2所述的账号异常登录自动分析方法， 其特征在于， 所述登录验证系统， 包括： 移动办公认证系统； 所述至少一种 敏感指标信息， 包括： 所述登录操作使用的移动客 户端设备ID； 所述分别对每种敏感指标信 息进行独立的安全威胁评价， 得到该敏感指标信 息对应的 评价积分， 包括： 获取所述移动办公认证系统的登录验证日志中记录的所述登录操作使用的移动客户 端设备ID； 获取所述移动办公认证系统的登录验证日志中记录的所有账号使用过的所有历史移 动客户端设备ID； 在所有账号使用过的所有历史移动客户端设备ID中查找所述登录操作使用的移动客 户端设备ID； 如果找到与所述登录操作使用的移动客户端设备ID相同的移动客户端设备ID， 并且该 相同的移动客户端设备ID对应的账号不是所述指 定账号， 则将所述登录操作使用的移动客 户端设备ID对应的第三评价积分的值设置为指定的第三积分值。 8.如权利要求3所述的账号异常登录自动分析方法， 其特征在于， 所述登录验证系统， 包括： 用户登录认证系统； 所述至少一种 敏感指标信息， 包括： 登录认证失败次数和登录认 证密码； 所述对关联敏感指标组合进行安全威胁评价， 得到该关联敏感指标组合对应的评价积 分， 包括： 获取所述用户登录认证系统的登录验证日志中记录的所述登录操作所使用的客户端 IP地址在第一指定时间范围内对应的登录认证记录； 获取所述登录认证记录中记录的登录认证失败时使用的所有登录认证密码和登录认 证失败次数； 如果所述登录认证失败次数大于或等于指定登录次数阈值， 则将每个登录认证密码与 指定弱口令密码库中的密码进行比对； 如果与所述指定弱口令密码库中的密码匹配成功的登录认证密码占所述所有登录认 证密码的比率大于或等于指定弱口令比率， 则将由登录认证失败次数和登录认证密码组成 的关联敏感指标组合对应的第四评价积分的值设置为指定的第四积分值。 9.如权利要求3所述的账号异常登录自动分析方法， 其特征在于， 所述登录验证系统， 包括： 通道机系统和移动办公认证系统； 所述至少一种 敏感指标信息， 包括： 所述登录操作 使用的通道机客户端IP地址和移动客户端IP地址； 所述对关联敏感指标组合进行安全威胁评价， 得到该关联敏感指标组合对应的评价积 分， 包括： 获取所述通道机系统的登录验证日志中记录的所述登录操作使用的通道机客户端IP权　利　要　求　书 2/3 页 3 CN 114389871 A 3