基于动态阈值核密度估计的登录异常检测
高建 张涛 周程昊
中国电子科技集团公司第三十研究所 电子科技大学网络与数据安全四川省重点实验室
登录验证是各种信息系统的第一道门户,是保障系统安全的重中之重。但用户账号通常面临着两种风险:一是账号被撞库,二是账号被盗。其中,撞库是指黑客利用第三方泄露的账号和密码生成对应的字典库来尝试批量登录目标系统或网站的行为。针对用户登录日志通常是稀疏数据的问题,提出了一种基于动态阈值核密度估计的登录异常检测方法。该方法能够在稀疏登录日志上建立动态阈值,通过核密度估计计算用户登录历史基线,并在此基线上完成用户登录异常检测。对比实验结果表明,该算法能够有效地进行异常登录检测,并针对稀疏登录数据有着更好的检测效果。