一种用户登录监测设备和方法

1.一种用户登录监测设备，包括：
登录记录获取器，配置成获取用户最近的用户登录记录列表，所述用户登录记录列表包括第一预定数量个用户登录记录，每个用户登录记录包括与用户的登录位置相关联的信息；其中，与用户的登录位置相关联的信息为用户登录时的IP地址；
常用登录位置确定器，配置成根据所获取的用户登录记录列表来确定用户的常用登录位置，其中对所述用户登录记录列表中、具有相同登录位置的用户登录记录进行统计，当具有相同登录位置的用户登录记录数量不小于第一阈值时，将与该用户登录记录相关联的登录位置确定为用户的常用登录位置；
异常登录记录标记器，配置成将登录位置不同于常用登录位置的用户登录记录标记为异常；
登录位置映射器，配置成将用户登录时的IP地址映射为用户的登录位置；当无法将用户登录时的IP地址映射为用户的登录位置时，将用户的登录位置设置为未知；和登录记录删除器，配置成从所述用户登录记录列表中删除登录位置为未知的用户登录记录；
其中，每个用户在用户注册时登记与该用户相关联的用户注册地，所述异常登录记录标记器还配置成当从所述用户登录记录列表中删除了登录位置为未知的用户登录记录之后的用户登录记录数量不大于第三阈值时，将登录位置不同于用户注册地的用户登录记录标记为异常。
2.如权利要求1所述的监测设备，所述常用登录位置确定器还配置成当所述用户登录记录列表中的各用户登录记录中的不同登录位置的数量不小于第二阈值时，将所有登录位置都确定为用户的常用登录位置。
3.如权利要求1所述的监测设备，其中所述第一阈值为所述第一预定数量的30％。
4.如权利要求2所述的监测设备，其中所述第一阈值为所述第一预定数量的30％。
5.如权利要求2所述的监测设备，其中所述第二阈值为所述第一预定数量的40％。
6.如权利要求4所述的监测设备，其中所述第二阈值为所述第一预定数量的40％。
7.如权利要求1-6中任一项所述的监测设备，其中所述第三阈值为所述第一预定数量的40％。
8.如权利要求1所述的监测设备，其中所述第一预定数量为10。
9.如权利要求1所述的监测设备，其中登录位置的单位为市。
10.一种用户登录监测方法，包括步骤：
获取用户最近的用户登录记录列表，所述用户登录记录列表包括第一预定数量个用户登录记录，每个用户登录记录包括与用户的登录位置相关联的信息；其中，与用户的登录位置相关联的信息为用户登录时的IP地址；
根据所获取的用户登录记录列表来确定用户的常用登录位置，其中对所述用户登录记录列表中、具有相同登录位置的用户登录记录进行统计，当具有相同登录位置的用户登录记录数量不小于第一阈值时，将与该用户登录记录相关联的登录位置确定为用户的常用登录位置；
将登录位置不同于常用登录位置的用户登录记录标记为异常；
将用户登录时的IP地址映射为用户的登录位置；和
当无法将用户登录时的IP地址映射为用户的登录位置时，将用户的登录位置设置为未知，并且从所述用户登录记录列表中删除登录位置为未知的用户登录记录；
其中，每个用户在用户注册时登记与该用户相关联的用户注册地，当从所述用户登录记录列表中删除了登录位置为未知的用户登录记录之后的用户登录记录数量不大于第三阈值时，将登录位置不同于用户注册地的用户登录记录标记为异常。
11.如权利要求10所述的监测方法，所述确定用户的常用登录位置的步骤还包括：
当所述用户登录记录列表中的各用户登录记录中的不同登录位置的数量不小于第二阈值时，将所有登录位置都确定为用户的常用登录位置。
12.如权利要求10所述的监测方法，其中所述第一阈值为所述第一预定数量的30％。
13.如权利要求11所述的监测方法，其中所述第一阈值为所述第 一预定数量的30％。
14.如权利要求11所述的监测方法，其中所述第二阈值为所述第一预定数量的40％。
15.如权利要求13所述的监测方法，其中所述第二阈值为所述第一预定数量的40％。
16.如权利要求10-15中任一项所述的监测方法，其中所述第三阈值为所述第一预定数量的40％。
17.如权利要求10所述的监测方法，其中所述第一预定数量为10。
18.如权利要求10所述的监测方法，其中登录位置的单位为市。

一种用户登录监测设备和方法\n技术领域\n[0001] 本发明涉及互联网技术领域，更具体地，涉及一种用户登录监测设备和方法。\n背景技术\n[0002] 随着互联网的快速发展，出现了越来越多具有大量用户的网络应用。用户一般需要登录到网络应用系统中之后，才可以使用网络应用的更加完整功能。\n[0003] 另外，网络客户端的形式也在日趋多样化，网络应用的客户端除了传统的PC客户端和web接口之外，还出现了诸如智能手机和平板之类的移动客户端。用户可以通过任何一种客户端登录到网络应用中，并执行基本相同的功能。\n[0004] 由于互联网应用的特点，用户可以在任何时间，任何位置登录网络应用系统。一些恶意人员通过窃取正常用户的密码，然后在其它地方登录网络应用系统，窃取用户的信息，给用户造成了严重的损失。因此，对用户的登录信息进行监测以便尽可能及时且准确地发现可能的异常登录，则能有效地提升用户帐号的安全性。\n发明内容\n[0005] 鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的用户登录监测设备和相应的方法。\n[0006] 按照本发明的一个方面，提供了一种用户登录监测设备，包括：\n[0007] 登录记录获取器，配置成获取用户最近的用户登录记录列表，所述用户登录记录列表包括第一预定数量个用户登录记录，每个用户登录记录包括与用户的登录位置相关联的信息；\n[0008] 常用登录位置确定器，配置成根据所获取的用户登录记录列表来确定用户的常用登录位置，其中对所述用户登录记录列表中、具有相同登录位置的用户登录记录进行统计，当具有相同登录位置的用户登录记录数量不小于第一阈值时，将与该用户登录记录相关联的登录位置确定为用户的常用登录位置；以及\n[0009] 异常登录记录标记器，配置成将登录位置不同于常用登录位置的用户登录记录标记为异常。\n[0010] 可选地，所述常用登录位置确定器还可以配置成当用户登录记录列表中的各用户登录记录中的不同登录位置的数量不小于第二阈值时，将所有登录位置都确定为用户的常用登录位置。\n[0011] 可选地，与用户的登录位置相关联的信息为用户登录时的IP地址，所述监测设备还可以包括：\n[0012] 登录位置映射器，配置成将用户登录时的IP地址映射为用户的登录位置；当无法将用户登录时的IP地址映射为用户的登录位置时，将用户的登录位置设置为未知；\n[0013] 登录记录删除器，配置成从用户登录记录列表中删除登录位置为未知的用户登录记录。\n[0014] 可选地，每个用户在用户注册时登记与该用户相关联的用户注册地，异常登录记录标记器还配置成当从用户登录记录列表中删除了登录位置为未知的用户登录记录之后的用户登录记录数量不大于第三阈值时，将登录位置不同于用户注册地的用户登录记录标记为异常。\n[0015] 按照本发明的另一方面，提供了一种用户登录监测方法，包括步骤：\n[0016] 获取用户最近的用户登录记录列表，所述用户登录记录列表包括第一预定数量个用户登录记录，每个用户登录记录包括与用户的登录位置相关联的信息；\n[0017] 根据所获取的用户登录记录列表来确定用户的常用登录位置，其中对所述用户登录记录列表中、具有相同登录位置的用户登录记录进行统计，当具有相同登录位置的用户登录记录数量不小于第一阈值时，将与该用户登录记录相关联的登录位置确定为用户的常用登录位置；以及\n[0018] 将登录位置不同于常用登录位置的用户登录记录标记为异常。\n[0019] 可选地，确定用户的常用登录位置的步骤还包括：当用户登录记录列表中的各用户登录记录中的不同登录位置的数量不小于第二阈值时，将所有登录位置都确定为用户的常用登录位置。\n[0020] 可选地，与用户的登录位置相关联的信息为用户登录时的IP地址，所述监测方法还包括步骤：\n[0021] 将用户登录时的IP地址映射为用户的登录位置；\n[0022] 当无法将用户登录时的IP地址映射为用户的登录位置时，将用户的登录位置设置为未知，并且从用户登录记录列表中删除登录位置为未知的用户登录记录。\n[0023] 可选地，每个用户在用户注册时登记与该用户相关联的用户注册地，当从用户登录记录列表中删除了登录位置为未知的用户登录记录之后的用户登录记录数量不大于第三阈值时，将登录位置不同于用户注册地的用户登录记录标记为异常。\n[0024] 可选地，在上述设备或方法中，所述第一阈值为所述第一预定数量的约30%。可选地，在上述设备或方法中，所述第二阈值为所述第一预定数量的约40%。可选地，在上述设备或方法中，所述第三阈值为所述第一预定数量的约40%。可选地，在上述设备或方法中，所述第一预定数量为10。\n[0025] 可选地，在上述设备或方法中，登录位置的单位为市。\n[0026] 根据本发明的用户登录监测设备和方法可以在用户不参与的情况下自动确定用户的常用登录位置，并根据常用登录位置判断并标记异常的登录记录，以方便用户查看或者提醒用户，从而提升用户帐号的安全性。另外，在用户出差、旅游或者特定网络等特殊情况下，本发明的用户登录监测设备和方法也可以准确确定用户登录是否异常，从而提升了准确率并降低了误报率。\n[0027] 上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。\n附图说明\n[0028] 通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：\n[0029] 图1示出了本发明的用户登录监测设备和方法的一种典型应用场合;\n[0030] 图2示出了按照本发明的用户登录监测设备的一个实施例的结构示意图;以及[0031] 图3示出了根据本发明的用户登录监测方法的一个实施例的流程图。\n具体实施方式\n[0032] 下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。\n[0033] 图1示出了本发明的用户登录监测设备和方法的一种典型应用场合。如图1所示，用户可以通过各种合适的终端，如移动终端111、Web终端113或桌面终端115通过互联网\n120登录到所需要的网络应用系统130，以使用该网络应用系统130的提供的各种功能。这样的网路应用系统130例如可以是电子邮箱、网盘、论坛、网银、网络游戏、网上商城等等。\n出于区分不同用户身份或其它方面的考虑，这些网络应用系统通常需要其用户进行注册而获得与用户对应的登录帐号和密码，并且在用户注册时还需要用户提供一些相关信息，如真实身份信息、住址、注册地等等。相应地，这样的网络应用系统通常会提供帐号系统131，以完成用户登录帐号的注册工作，并且在用户登录该网络应用系统时验证其登录帐号、密码以及其它可选信息的正确性，通过验证的用户则可以使用该网络应用系统提供的各种功能。\n[0034] 此外，帐号系统131还可以负责记录用户的登录记录数据133。该登录记录数据例如可以包括登录时间和登录IP以及可选的登录后行为类型等。登陆后行为类型例如可以包括：修改密码，重置密码，修改密保邮箱，修改密保手机，修改密保问题，修改个人信息等类型。这些登录记录数据可以以登录记录列表的方式存储在该网络应用系统中。\n[0035] 如果一些恶意人员窃取了正常用户的登录帐号和密码，那么他就可以通过登录网络应用系统而不当地获取到用户注册信息，甚至冒用正常用户使用该网络应用系统的各项功能，从而给用户带来损失。\n[0036] 尽管用户可以经常登录该网络应用系统130，通过阅览登录记录数据133来查看是否有异常的登录记录，并进而通过修改登录密码等手段保护账户的安全；但这对普通用户来说显然是非常耗费精力且不方便的。\n[0037] 本发明的用户登录监测设备200则可以在无需用户参与的情况下，通过分析网络应用系统所记录的登录记录数据133，自动判断并标记出其中的异常登录记录。这样，一方面，用户在登录后可以重点查看这些异常登录记录；另一方面，也可以在有异常登录记录出现时通过各种通信手段通知用户，以便用户及时采取相应的手段来避免损失或避免损失的扩大。在一种实施方式中，本发明的用户登录监测设备200可以内嵌在网络应用系统130中来实现。\n[0038] 本发明的用户登录监测设备和方法的基本思路是：确定正常用户的常用登录位置，而将从非常用登录位置登录的行为判定为异常。应当理解，这里的登录位置指的是实际的地理区域，而非单纯的IP地址，同一登录位置通常会存在有多个不同的IP地址。例如，该登录位置的单位可以选择为行政区域划分的区、县、市等。当然，也可以选择更大或更小的地理区域划分方式，只要所划分出的区域中各个单位区域彼此基本不重叠则可。每个划分出的地理区域则对应一个登录位置。当考虑到当前的用于反映IP地址与登录位置之间关系的IP地址映射数据库的细化程度，并考虑到正常用户的常规迁移特性时，优选采用行政区域划分的市（包括地级市和直辖市）来作为登录位置的单位。\n[0039] 图2示出了按照本发明的用户登录监测设备的一个实施例。该用户登录监测设备\n200可以包括登录记录获取器201、常用登录位置确定器203和异常登录记录标记器205，以及可选的登录位置映射器207和登录记录删除器209。\n[0040] 登录记录获取器201用于获取用户最近的用户登录记录列表211。该用户登录记录列表211包括第一预定数量个用户登录记录，每个用户登录记录包括与用户的登录位置相关联的信息。在例如图1所示场景中，该登录记录获取器201可以从帐号系统131记录的登录记录数据133中获得所需要的用户登录记录列表211。在这里，最近的用户登录记录列表最好是从该登录记录获取器201进行获取操作时刻开始向前顺序选取的第一预定数量的用户登录记录。在一个示例性实施例中，该第一预定数量可以选择为10。\n[0041] 用户登录记录中与用户的登录位置相关联的信息可以是用户登录时所使用的IP地址。可以使用登录位置映射器207将该IP地址映射为用户的登录位置。在一个实施例中，登录位置映射器207可以利用IP地址映射数据库来完成从IP地址到登录位置的映射操作。在一些情况中，例如当用户透过虚拟专用网络VPN进行登录时，登录位置映射器207可能无法将IP地址映射为用户的登录位置，此时，登录位置映射器207可以将用户的登录位置设置为“未知”。在一些情况中，例如图1所示的网络应用系统130中已经通过IP地址映射数据库或其它方式确定了用户的登录位置，并记录在登录记录数据133中，那么登录记录获取器201通过登录记录数据133所获取的用户登录记录中所包含的就是直接的登录位置，则可以在用户登录监测设备200省去该登录位置映射器207。表1示出了用户登录记录列表211的一个示例性实施例，其中在登录位置这一列已经根据IP地址映射得到了对应的登录位置。此外，该用户登录记录列表还提供了可选的登录时间以及用户可对该登录记录进行的操作。\n[0042] 表1\n[0043] \n登录位置 登录时间 操作\n北京(125.33.50.*) 2012-07-04 10:52:24 忽略本条记录\n未知 2012-07-04 14:22:22 忽略本条记录\n长沙(220.240.88.*) 2012-07-04 22:01:00 忽略本条记录\n北京(111.193.195.*) 2012-07-05 09:12:02 忽略本条记录\n保定(101.7.243.*) 2012-07-06 10:17:19 忽略本条记录\n保定(101.7.243.*) 2012-07-06 11:08:58 忽略本条记录\n保定(101.7.243.*) 2012-07-06 17:01:29 忽略本条记录\n北京(125.33.50.*) 2012-07-08 09:32:55 忽略本条记录\n北京(125.33.50.*) 2012-07-08 10:13:37 忽略本条记录\n北京(125.33.50.*) 2012-07-08 13:43:34 忽略本条记录\n[0044] 常用登录位置确定器203可以根据所获取的用户登录记录列表211来确定用户的常用登录位置。在进行操作时，常用登录位置确定器203可以对用户登录记录列表211中具有相同登录位置的用户登录记录进行统计，当具有相同登录位置的用户登录记录数量不小于第一阈值时，将与该用户登录记录相关联的登录位置确定为用户的常用登录位置。在一个实施例中，该第一阈值可以设定为第一预定数量的约30%。例如，当所述第一预定数量为10时，该第一阈值可设定为3。在这样的情况下，在表1所示的用户登录记录列表211的示例性实施例中，常用登录位置确定器203可以确定“北京”和“保定”为常用登录位置。\n[0045] 异常登录记录标记器205可以将登录位置不同于常用登录位置的用户登录记录标记为异常。例如在表1所示实施例中，异常登录记录标记器250可以将登录位置为“长沙”的登录记录标记为异常。\n[0046] 需要注意的是，如前所述，在一些情况下可能无法获得登录记录的登录位置，则可以登录记录列表将登录位置设定为“未知”。对于这种登录位置为“未知”的登录记录，可以使用登录记录删除器209将其从用户登录记录列表211中删除，这样，在常用登录位置确定器203确定常用登录位置时以及在异常登录记录标记器205对用户登录记录进行异常标记时，就可以不考虑这些登录位置为未知的用户登录记录。在另一种实施方式中，也可以将这些登录位置为未知的用户登录记录保留在用户登录记录列表211中，但常用登录位置确定器203和异常登录记录标记器205在工作时不考虑这些登录记录。此时，则可以在用户登录监测设备200省去该登录记录删除器209。\n[0047] 利用上文描述的用户登录监测设备200可以实现从用户登录记录列表211中选择出异常的用户登录记录，并对其进行标记。随后，还可以在有异常登录记录出现时通过各种通信手段，如短信、邮件等方式通知用户进行报警。\n[0048] 尽管如此，本申请人的发明人发现，可以通过对上述方案进一步改进来实现更好的技术效果，例如大大降低误标记或误报警的可能性和频率。\n[0049] 一种改进方式主要是针对迁徙频繁的用户提供的特殊处理方式。对于一些用户来说，由于其职业或者个人生活的需求，如需要在全国各个城市进行商业活动的人士、或者在一段时间内在多个城市进行旅游的人士，他们会进行频繁的地理位置的迁徙，并且在这个过程中登录网络应用系统。对于这种迁徙频繁的用户，对应的用户登录记录列表211的一个示例性实施例如表2所示。\n[0050] 表2\n[0051] \n登录位置 登录时间 操作\n北京(125.33.50.*) 2012-07-04 10:52:24 忽略本条记录\n北京(125.33.50.*) 2012-07-04 14:22:22 忽略本条记录\n保定(101.7.243.*) 2012-07-05 10:17:19 忽略本条记录\n保定(101.7.243.*) 2012-07-05 17:01:29 忽略本条记录\n太原(218.26.120.*) 2012-07-06 10:17:19 忽略本条记录\n太原(218.26.120.*) 2012-07-06 11:08:58 忽略本条记录\n太原(218.26.120.*) 2012-07-06 17:01:29 忽略本条记录\n长沙(220.240.88.*) 2012-07-08 13:43:34 忽略本条记录\n长沙(220.240.88.*) 2012-07-08 22:01:00 忽略本条记录\n北京(111.193.195.*) 2012-07-10 09:12:02 忽略本条记录\n[0052] 对于如表2所示的用户登录记录列表211，如果按照前述的一般处理方式，则“北京”和“太原”会被确定为常用登录位置，而对应于登录位置为“保定”和“长沙”的登录记录则为被标记为异常。对于频繁进行地理位置迁徙的人士来说，其登录记录可能会经常被标记异常，并且会被频繁通知有异常登录，这显然是不好的用户体验。为此，常用登录位置确定器203可以配置成当用户登录记录列表211中的各用户登录记录中的不同登录位置的数量不小于第二阈值时，将所有登录位置都确定为用户的常用登录位置。在一个实施例中，该第二阈值可以设定为第一预定数量的约40%。例如，当所述第一预定数量为10时，该第二阈值可设定为4。在这样的情况下，在表2所示的用户登录记录列表211的示例性实施例中，由于共有“北京”、“保定”、“太原”和“长沙”四个不同的登录位置，因此，除了“北京”和“太原”之外，常用登录位置确定器203还将“保定”和“长沙”确定为常用登录位置。这样，异常登录记录标记器205在工作时，对于该用户登录记录列表211中所有的登录记录都不会标记异常。按照这样的处理方式，经测算，可以降低约50%的误标记率和误报警率。\n[0053] 另一种改进方式是针对使用无法确定登录位置的常用网络的用户的特殊处理方式。对于一些用户来说，由于其常用网络可能是透过VPN虚拟专用网络连接到外部网络的，或者是由于其它原因，当用户使用其常用网络登录网络应用系统130时，该网络应用系统\n130或者用户登录监测设备200的登录位置映射器207无法获取其登录位置。对于这种类型的用户，其对应的用户登录记录列表211的一个示例性实施例如表3所示。由于无法获取常用网络所对应的登录位置，因此表3所示用户登录记录列表211存在大量的对应于未知地址的登录记录。\n[0054] 表3\n[0055] \n登录位置 登录时间 操作\n未知 2012-07-04 10:52:24 忽略本条记录\n长沙(220.240.88.*) 2012-07-04 14:22:22 忽略本条记录\n长沙(220.240.88.*) 2012-07-04 22:01:00 忽略本条记录\n未知 2012-07-05 09:12:02 忽略本条记录\n未知 2012-07-06 10:17:19 忽略本条记录\n未知 2012-07-06 11:08:58 忽略本条记录\n未知 2012-07-06 17:01:29 忽略本条记录\n长沙(220.240.88.*) 2012-07-08 04:32:55 忽略本条记录\n未知 2012-07-08 10:13:37 忽略本条记录\n未知 2012-07-08 13:43:34 忽略本条记录\n[0056] 对于如表3所示的用户登录记录列表211，如果按照前述的一般处理方式，则“长沙”会被确定为常用登录位置，那么登录地址对应于“长沙”的登录记录都不会被标记为异常。而实际上，非常有可能是用户的真实常用登录位置是被隐藏在了未知地址中，而登录位置为“长沙”的登录记录很可能是异常的。为此，异常登录记录标记器205还可以配置成当从用户登录记录列表211中删除了登录位置为未知的用户登录记录之后的用户登录记录数量不大于第三阈值时，将登录位置不同于用户注册地的用户登录记录标记为异常。其中，用户注册地可以是用户在网络应用系统130中进行用户注册时所登记的自己的注册地。在一个实施例中，该第三阈值可以设定为第一预定数量的约40%。例如，当所述第一预定数量为10时，该第三阈值可设定为4。在这样的情况下，在表3所示的用户登录记录列表211的示例性实施例中，由于去掉登录地址为“未知”的用户登录记录后，用户登录记录的数量只有3个，小于第三阈值。此时，剩余的用户登录记录中的登录位置“长沙”如果就是用户注册地，则异常登录记录标记器205不对用户登录记录标记异常，如果不是用户注册地（例如用户注册地为“北京”），则将与登录位置“长沙”所对应的用户登录记录标记异常。这可以在用户常用网络有异常的情况下提高异常登录记录的识别率。\n[0057] 图3示出了按照本发明的用户登录检测方法的一个实施例的流程图。该用户登录检测方法300适合于在前述的用户登录检测设备200中执行。\n[0058] 该方法可以始于步骤S301，用于获取用户最近的用户登录记录列表。该用户登录记录列表可以包括第一预定数量个用户登录记录，每个用户登录记录包括与用户的登录位置相关联的信息。在该步骤301中可以由图2所示的用户登录监测设备200中的登录记录获取器201获取用户登录记录列表211。\n[0059] 当步骤S301中所获取的用户登录记录所包括的与用户的登录位置相关联的信息是用户登录时所使用的IP地址时，该方法300可以进入到步骤S307，将用户登录时的IP地址映射为用户的登录位置。步骤307可以由图2所示的用户登录监测设备200中的登录位置映射器207来执行。当在步骤S301中所获取的用户登录记录已经直接包含了登录位置时，也可以省去步骤S307。当无法获取到用户的登录位置，例如当无法将用户登录时的IP地址映射为用户的登录位置时，可以将用户登录记录中的登录位置设置为“未知”。\n[0060] 随后，该方法300可以进入步骤S309，从用户登录记录列表211中删除登录位置为未知的用户登录记录。如下文将会看到，删除这些未知登录位置的用户登录记录主要是为了方便于后续步骤中进行判定和标记的方便。在另一个实施例中，也可以将这些登录位置为未知的用户登录记录保留在用户登录记录列表211中，而在后续步骤中不考虑这些登录记录，在这样的情况下，也可以省去步骤S309。该步骤S309可以由图2所示的用户登录监测设备200中的登录记录删除器209来执行。\n[0061] 随后，可选地，该方法300可以进入到步骤S313，判断从用户登录记录列表211中删除了或者不考虑登录位置为未知的用户登录记录之后的用户登录记录数量是否不大于第三阈值。如果判断结果为是，则进入步骤S315，将登录位置不同于用户注册地的用户登录记录标记为异常；否则进入步骤S303。用户注册地可以是用户在网络应用系统130中进行用户注册时所登记的自己的注册地。该步骤S313和S315可以由图2所示的用户登录监测设备200中的登录记录标记器205来执行。如前文在描述用户登录监测设备200时所说明的，这样的处理方式主要是针对使用无法确定登录位置的常用网络的用户的特殊情况。在不考虑这种特殊情况时，也可以省去步骤S313和S315。\n[0062] 随后，该方法300可以进入步骤S303，根据用户登录记录列表211来确定用户的常用登录位置。其中，可以对用户登录记录列表211中具有相同登录位置的用户登录记录进行统计，当具有相同登录位置的用户登录记录数量不小于第一阈值时，将与该用户登录记录相关联的登录位置确定为用户的常用登录位置。\n[0063] 可选地，在步骤S303中，还可以在用户登录记录列表211中的各用户登录记录中的不同登录位置的数量不小于第二阈值时，将所有登录位置都确定为用户的常用登录位置。如前文在描述用户登录监测设备200时所说明的，这样的处理方式主要是针对迁徙频繁的特殊用户的。在不考虑这种特殊情况时，在步骤S303中也可以省略这种处理方式。需要注意的是，在省略了步骤S309的情况下，这里的所有登录位置不包括或者说不考虑未知的登录位置。\n[0064] 该步骤S303可以由图2所示的用户登录监测设备200中的常用登录位置确定器\n203来执行。\n[0065] 最后，该方法300可以进入步骤S305，将登录位置不同于常用登录位置的用户登录记录标记为异常。同样需要注意的是，在省略了步骤S309的情况下，在步骤S305中也不考虑或者说不标记未知登录位置对应的用户登录记录。该步骤S305可以由图2所示的用户登录监测设备200中的登录记录标记器205来执行。\n[0066] 类似于在结合图2描述用户登录监测设备200的那样，第一阈值可以为所述第一预定数量的约30%，第二阈值可以为所述第一预定数量的约40%，和/或第三阈值可以为所述第一预定数量的约40%。其中，第一预定数量例如可以为10。\n[0067] 在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。\n各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。\n[0068] 在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。\n[0069] 类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。\n[0070] 本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书（包括伴随的权利要求、摘要和附图）中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书（包括伴随的权利要求、摘要和附图）中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。\n[0071] 此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。\n[0072] 本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器（DSP）来实现根据本发明实施例的用户登录监测设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序（例如，计算机程序和计算机程序产品）。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。\n[0073] 应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。