CN104348810A - 被盗帐号的检测方法、装置及系统 - Google Patents

被盗帐号的检测方法、装置及系统 Download PDF

Info

Publication number
CN104348810A
CN104348810A CN201310337072.0A CN201310337072A CN104348810A CN 104348810 A CN104348810 A CN 104348810A CN 201310337072 A CN201310337072 A CN 201310337072A CN 104348810 A CN104348810 A CN 104348810A
Authority
CN
China
Prior art keywords
account number
user account
stolen
data
type identification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201310337072.0A
Other languages
English (en)
Other versions
CN104348810B (zh
Inventor
张�杰
刘畅
刘海生
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Tencent Computer Systems Co Ltd
Original Assignee
Shenzhen Tencent Computer Systems Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Tencent Computer Systems Co Ltd filed Critical Shenzhen Tencent Computer Systems Co Ltd
Priority to CN201310337072.0A priority Critical patent/CN104348810B/zh
Priority to PCT/CN2014/083706 priority patent/WO2015018314A1/en
Publication of CN104348810A publication Critical patent/CN104348810A/zh
Application granted granted Critical
Publication of CN104348810B publication Critical patent/CN104348810B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Social Psychology (AREA)
  • Health & Medical Sciences (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种被盗帐号的检测方法、装置、及系统,其中的方法包括:服务器检测用户终端通过用户帐号进行操作的数据,根据预置规则判断与每个用户帐号相关的数据是否发生异常,所述与用户帐号相关的数据包括多种类型,每种类型对应一个类型标识;收集数据发生异常的用户帐号以及发生异常的数据所对应的所述类型标识;根据所收集的每个用户帐号所对应的类型标识以及预存的每个类型标识对应的被盗概率值,计算每个所收集的用户帐号被盗的联合概率;判断所述用户帐号被盗的联合概率是否大于预设阈值,若是,则确定所述用户帐号已被盗,并将所述用户帐号存储在被盗帐号库中。本发明可以准确、有效的检测用户帐号是否被盗。

Description

被盗帐号的检测方法、装置及系统
技术领域
本发明涉及一种互联网技术领域,尤其涉及一种信息安全领域,具体涉及一种被盗帐号的检测方法、装置及系统。
背景技术
随着互联网技术的飞速发展与普及,互联网上用户所使用的帐号信息泄漏的问题也越来越严重。
一方面部分用户的帐号的密码设置过于简单,容易被坏人破解,另一方面,坏人会通过钓鱼或者木马的方式盗取用户的帐号及密码,纵使用户十分小心翼翼的保护自己的帐号信息,一些网站数据库的泄密也会使用户的帐号信息落入坏人手中。坏人获取用户的帐号信息后,可以进行窥探个人隐私、向他人发送广告信息、色情图片、甚至非法侵占财产等不法活动,对他人和社会都会造成很大的危害。现有的帐号服务提供系统只能验证用户的帐号密码以识别用户身份,无法判断该帐号的密码是否被坏人盗取,因此,有必要提供一种被盗帐号的检测方法。
发明内容
本发明实施例提供一种被盗帐号的检测方法、装置及系统,可检测用户帐号是否被盗。
本发明实施例提供了一种被盗帐号的检测方法,可包括:服务器检测用户终端通过用户帐号进行操作的数据,根据预置规则判断与每个用户帐号相关的数据是否发生异常,所述与用户帐号相关的数据包括多种类型,每种类型对应一个类型标识;收集数据发生异常的用户帐号以及发生异常的数据所对应的所述类型标识;根据所收集的每个用户帐号所对应的类型标识以及预存的每个类型标识对应的被盗概率值,计算每个所收集的用户帐号被盗的联合概率;判断所述用户帐号被盗的联合概率是否大于预设阈值,若是,则确定所述用户帐号已被盗,并将所述用户帐号存储在被盗帐号库中。
本发明实施例提供了另一种被盗帐号的检测方法,可包括:检测服务器检测用户终端通过用户帐号进行操作的不同类型的数据,根据预置规则判断与每个用户帐号相关的各种类型的数据是否发生异常,如果发生异常,将发生异常的该种类型对应的类型标识以及所述用户帐号发送给计算服务器;计算服务器收集数据发生异常的用户帐号以及发生异常的数据所对应的所述类型标识,根据所收集的每个用户帐号所对应的类型标识以及预存的每个类型标识对应的被盗概率值,计算每个所收集的用户帐号被盗的联合概率,并判断所述用户帐号被盗的联合概率是否大于预设阈值,若是,则确定所述用户帐号已被盗,并将所述用户帐号发送给存储服务器进行存储。
本发明实施例提供了一种被盗帐号的检测装置,可包括:检测及判断模块,用于检测用户终端通过用户帐号进行操作的数据,根据预置规则判断与每个用户帐号相关的数据是否发生异常,所述与用户帐号相关的数据包括多种类型,每种类型对应一个类型标识;收集模块,用于收集数据发生异常的用户帐号以及发生异常的数据所对应的所述类型标识;计算模块,用于根据所收集的每个用户帐号所对应的类型标识以及预存的每个类型标识对应的被盗概率值,计算每个所收集的用户帐号被盗的联合概率;判断及存储模块,用于判断所述用户帐号被盗的联合概率是否大于预设阈值,若是,则确定所述用户帐号已被盗,并将所述用户帐号存储在被盗帐号库中。
本发明实施例提供了一种被盗帐号的检测系统,包括检测服务器、计算服务器以及存储服务器。所述检测服务器用于检测用户终端通过用户帐号进行操作的不同类型的数据,根据预置规则判断与每个用户帐号相关的各种类型的数据是否发生异常,如果发生异常,则将发生异常的该种类型对应的类型标识以及所述用户帐号发送给所述计算服务器;所述计算服务器用于收集数据发生异常的用户帐号以及发生异常的数据所对应的所述类型标识,根据所收集的每个用户帐号所对应的类型标识以及预存的每个类型标识对应的被盗概率值,计算每个所收集的用户帐号被盗的联合概率,并判断所述用户帐号被盗的联合概率是否大于预设阈值,若是,则确定所述用户帐号已被盗,并将所述用户帐号发送给所述存储服务器进行存储。
本发明实施例,具有如下有益效果:
本发明实施例通过检测用户终端通过用户帐号进行操作的数据,根据预置规则判断与每个用户帐号相关的数据是否发生异常,收集数据发生异常的用户帐号以及发生异常的数据所对应的所述类型标识,根据所收集的每个用户帐号所对应的类型标识以及预存的每个类型标识对应的被盗概率值,计算每个所收集的用户帐号被盗的联合概率,判断所述用户帐号被盗的联合概率是否大于预设阈值,若是,则确定所述用户帐号已被盗,并将所述用户帐号存储在被盗帐号库中。本发明实施例根据多种类型的数据的异常情况来综合检测用户帐号是否为被盗帐号,准确性更高,更便于系统对用户账号进行更有效的保护。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的被盗帐号的检测方法的一种运行环境图;
图2为本发明实施例提供的一种被盗帐号的检测方法的流程图;
图3为图2中的每个类型标识对应的被盗概率值的计算方法的流程图;
图4为本发明实施例提供的另一种被盗帐号的检测方法的流程图;
图5为本发明实施例提供的一种被盗帐号的检测装置的结构图;
图6为图5中计算模块的结构图;
图7为本发明实施例提供的一种被盗帐号的检测系统的结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例所提供的被盗帐号的检测方法和装置可以应用于一个服务器中也可以应用于如图1所示的多个服务器中。该一个或多个服务器通过通信网络直接连接与提供应用的应用服务器(包括接口服务器和业务服务器等)相连接或者可以是应用服务器本身。
本发明实施例中的用户帐号优选为用户登录用户终端的浏览器或应用时所使用的帐号,例如:用户登录即时通信应用时所使用的帐号。在用户第一次使用该帐号时,终端会将帐号信息以及终端的基本信息上报给应用服务器,应用服务器会将其记录在帐号列表中,帐号列表中记录了与每个帐号信息对应的所有终端的基本信息。其中,终端的基本信息可以包括终端的身份标识、终端类型等信息。本发明实施例中的被盗帐号是指密码被盗取的帐号。用户终端可以包括:PC、平板电脑、手机、电子阅读器、笔记本电脑、智能电视、机顶盒、车载终端等终端设备。
下面将结合附图1至附图4,对本发明实施例提供的被盗帐号的检测方法进行详细介绍。
请参见图2,为本发明实施例提供的一种被盗帐号的检测方法的流程图;该方法可包括以下步骤S11至步骤S14。
步骤S11,服务器检测用户终端通过用户帐号进行操作的数据,根据预置规则判断与每个用户帐号相关的数据是否发生异常,所述与用户帐号相关的数据包括多种类型,每种类型对应一个类型标识。
服务器可以通过检测用户终端通过用户帐号进行操作的数据来判断与每个用户帐号相关的数据是否发生异常。于本发明实施例中,用户终端通过用户帐号进行操作的数据存储在提供应用的应用服务器中。这些数据可以分为多种类型,每种类型是相互独立的。每种类型对应一个类型标识,用于唯一标识与其对应的类型,例如可以是序列号等。也可以理解为,每种类型代表一个独立的纬度,服务器检测每个用户帐号在各个独立纬度上的数据是否发生异常。
具体的,所述与用户帐号相关的数据的类型可以包括,但不仅限于以下几种类型:所述用户帐号的登录数据(包括登录时间、登录密码、登录地点、登录时所使用的用户终端等)、所述用户帐号的虚拟财产的消费数据(包括消费金额、消费频率等)、所述用户帐号向其他用户帐号发送的文本数据、以及所述用户帐号向其他用户帐号发送的图片数据中的一种或几种。
进一步的,所述预置规则可以包括,但不仅限于于以下规则:
如果所述用户帐号的登录数据中的登录密码发生改变、或者登录地点发生改变、或者登录时所使用的用户终端发生改变,则判定该类型的数据发生异常;或者
如果所述用户帐号的虚拟财产的消费数据中的消费金额超过预定额度或者消费频率超过预定频率,则判定该类型的数据发生异常;或者
如果所述用户帐号向其他用户帐号发送的文本数据中包括广告信息,则判定该类型的数据发生异常;或者
如果所述用户帐号向其他用户帐号发送的图片数据中包括色情图片,则判定该类型的数据发生异常。
可以理解的是,与用户帐号相关的数据的类型以及预置规则可以根据实际情况进行设定,本发明的具体实施方式并不以此为限,每增加一种新的类型,对应的也增加一个用于唯一标识该类型的类型标识。步骤S12,收集数据发生异常的用户帐号以及发生异常的数据所对应的所述类型标识。
服务器检测到与用户帐号相关的数据发生异常时,收集数据发生异常的用户帐号以及发生异常的数据所对应的所述类型标识。例如与用户帐号的登录数据对应的类型标识为L1,与用户帐号的虚拟财产的消费数据对应的类型标识为L2,与用户帐号向其他用户帐号发送的文本数据对应的类型标识为L3,与用户帐号向其他用户帐号发送的图片数据对应的类型标识为L4。当服务器检测到所述用户帐号的登录数据中的登录密码发生改变、或者登录时所使用的用户终端发生改变时,服务器将收集所述用户帐号以及L1;当服务器检测到用户帐号的虚拟财产的消费数据中的消费金额超过预定额度或者消费频率超过预定频率时,服务器将收集所述用户帐号以及L2;当服务器检测到用户帐号向其他用户帐号发送的文本数据中包括广告信息时,服务器将收集所述用户帐号以及L3;当服务器检测到用户帐号向其他用户帐号发送的图片数据中包括色情图片,服务器将收集所述用户帐号以及L4,等等。
步骤S13,根据所收集的每个用户帐号所对应的类型标识以及预存的每个类型标识对应的被盗概率值,计算每个所收集的用户帐号被盗的联合概率。
其中,所述预存的每个类型标识对应的被盗概率值通过样本分析计算获得,请参照图3,计算方法可以包括:
步骤S131,采集多个被盗帐号样本以及多个正常帐号样本;
步骤S132,统计所述多个被盗帐号样本中与每个类型标识对应的异常样本数量以及所述多个正常帐号样本中与每个类型标识对应的异常样本数量;
步骤S133,根据与每个类型标识对应的正常样本数量、异常样本数量以及被盗帐号样本和正常帐号样本的总数量,计算每个类型标识对应的被盗概率值。
优选的,可以通过贝叶斯等算法计算每个所收集的用户帐号被盗的联合概率。
具体的,在步骤S131中,假设采集5万个被盗帐号样本(以下用S表示)以及5万个正常帐号样本(也就是未被盗的帐号样本,以下用S’表示)。在步骤S132中,经统计发现,其中8900个被盗帐号样本的类型标识为L1的数据有异常,即在被盗帐号样本中,这个类型的数据发生异常的概率P(L1/S)=8900/50000=17.8%。经统计发现,其中2790个正常帐号样本的类型标识为L1的数据有异常,即在正常帐号样本中,这个类型的数据发生异常的概率P(L1/S’)=2790/50000=5.58%。
在步骤S133中,根据贝叶斯算法,如果一个用户帐号的类型标识为L1的数据有异常,与类型标识L1对应的被盗概率值可以通过以下公式计算获得,类型标识L1对应的被盗概率值为76%:
P ( S / L 1 ) = P ( L 1 / S ) * P ( S ) P ( L 1 / S ) * P ( S ) + P ( L 1 / S ′ ) * P ( S ′ ) = P ( L 1 / S ) P ( L 1 / S ) + P ( L 1 / S ′ ) , 其中P(S)=P(S’)
同理,假设根据相同的算法计算出类型标识L2对应的被盗概率值为60%,类型标识L3对应的被盗概率值为70%,类型标识L4对应的被盗概率值为50%。
根据所收集的每个用户帐号所对应的类型标识以及预存的每个类型标识对应的被盗概率值,计算每个所收集的用户帐号被盗的联合概率。
优选的,可以通过贝叶斯算法计算每个所收集的用户帐号被盗的联合概率。
假设服务器收集的某用户帐号发生异常的数据所对应的类型标识为L1、L2、L3。根据贝叶斯算法,该用户帐号被盗的联合概率P可以通过以下公式计算获得,该用户帐号被盗的联合概率为92%。
P = P ( S / L 1 ) * P ( S / L 2 ) * P ( S / L 3 ) P ( S / L 1 ) * P ( S / L 2 ) * P ( S / L 3 ) + ( 1 - P ( S / L 1 ) ) * ( 1 - P ( S / L 2 ) ) * ( 1 - P ( S / L 3 ) )
可以理解的是,本发明实施例中的联合概率也可以采用其他算法(例如累加),并不仅限于使用贝叶斯算法。
步骤S14,判断所述用户帐号被盗的联合概率是否大于预设阈值,若是,则确定所述用户帐号已被盗,并将所述用户帐号存储在被盗帐号库中。
该预设预置可以根据经验值来设定,假设根据经验值,联合概率超过80%的用户帐号即为被盗帐号,则可以设定该预设阈值为80%,可以理解的是,本发明的具体实施方式并不以此为限。
进一步的还可以将被盗帐号库中的用户帐号提交到用户帐号保护系统,以便帐号保护系统对用户号码执行保护或限制,例如下发异常通知给相应的客户端,通知用户存在哪些风险、建议用户修改密码,或者直接进行封号等。
本发明实施例通过检测用户终端通过用户帐号进行操作的数据,根据预置规则判断与每个用户帐号相关的数据是否发生异常,收集数据发生异常的用户帐号以及发生异常的数据所对应的所述类型标识,根据所收集的每个用户帐号所对应的类型标识以及预存的每个类型标识对应的被盗概率值,计算每个所收集的用户帐号被盗的联合概率,判断所述用户帐号被盗的联合概率是否大于预设阈值,若是,则确定所述用户帐号已被盗,并将所述用户帐号存储在被盗帐号库中。本发明实施例根据多种类型的数据的异常情况来综合检测用户帐号是否为被盗帐号,准确性更高,更便于系统对用户账号进行更有效的保护。
请参见图4,为本发明实施例提供的另一种被盗帐号的检测方法的流程图;本实施例为图1所示的各服务器所执行的被盗帐号的检测方法;该方法可包括以下步骤S21至步骤S24。
步骤S21,检测服务器检测用户终端通过用户帐号进行操作的不同类型的数据,根据预置规则判断与每个用户帐号相关的各种类型的数据是否发生异常,如果发生异常,将发生异常的该种类型对应的类型标识以及所述用户帐号发送给计算服务器。
检测服务器的数量可以是一个,也可以是多个,优选的为多个,每个检测服务器,分别检测用户终端通过用户账号进行操作的一种类型的数据。例如第1检测服务器用于检测用户终端通过用户账号进行操作的类型标识为L1的数据,第2检测服务器用于检测用户终端通过用户账号进行操作的类型标识为L2的数据,等等。具体的,可以参考关于步骤S11的详细说明,这里不再赘述。
步骤S22,计算服务器收集数据发生异常的用户帐号以及发生异常的数据所对应的所述类型标识。
具体的,可以参考关于步骤S12的详细说明,这里不再赘述。
步骤S23,计算服务器根据所收集的每个用户帐号所对应的类型标识以及预存的每个类型标识对应的被盗概率值,计算每个所收集的用户帐号被盗的联合概率。
具体的,可以参考关于步骤S13的详细说明,这里不再赘述。
步骤S24,计算服务器判断所述用户帐号被盗的联合概率是否大于预设阈值,若是,则确定所述用户帐号已被盗,并将所述用户帐号发送给存储服务器进行存储。
具体的,可以参考关于步骤S14的详细说明,这里不再赘述。
本发明实施例通过检测服务器检测用户终端通过用户帐号进行操作的数据,根据预置规则判断与每个用户帐号相关的数据是否发生异常,如果发生异常,将发生异常的该种类型对应的类型标识以及所述用户帐号发送给计算服务器,计算服务器收集数据发生异常的用户帐号以及发生异常的数据所对应的所述类型标识,根据所收集的每个用户帐号所对应的类型标识以及预存的每个类型标识对应的被盗概率值,计算每个所收集的用户帐号被盗的联合概率,判断所述用户帐号被盗的联合概率是否大于预设阈值,若是,则确定所述用户帐号已被盗,并将所述用户帐号存储在被盗帐号库中。本发明实施例根据多种类型的数据的异常情况来综合检测用户帐号是否为被盗帐号,准确性更高,更便于系统对用户账号进行更有效的保护。
本发明实施例提供了一种计算机存储介质,所述计算机存储介质存储有程序,该程序执行时包括图2至图4任一实施例所示方法的全部或部分步骤。
请参见图5,为本发明实施例提供的一种被盗帐号的检测装置的结构图;该装置10可包括:检测及判断模块11、收集模块12、计算模块13以及判断及存储模块14。
其中,检测及判断模块11用于检测用户终端通过用户帐号进行操作的数据,根据预置规则判断与每个用户帐号相关的数据是否发生异常,所述与用户帐号相关的数据包括多种类型,每种类型对应一个类型标识;
收集模块12用于收集数据发生异常的用户帐号以及发生异常的数据所对应的所述类型标识;
计算模块13用于根据所收集的每个用户帐号所对应的类型标识以及预存的每个类型标识对应的被盗概率值,计算每个所收集的用户帐号被盗的联合概率;
判断及存储模块14用于判断所述用户帐号被盗的联合概率是否大于预设阈值,若是,则确定所述用户帐号已被盗,并将所述用户帐号存储在被盗帐号库中。
其中,所述与用户帐号相关的数据的类型可以包括:所述用户帐号的虚拟财产的消费数据、所述用户帐号向其他用户帐号发送的文本数据、以及所述用户帐号向其他用户帐号发送的图片数据中的一种或几种。
其中,所述预置规则可以包括:
如果所述用户帐号的虚拟财产的消费数据中的消费金额超过预定额度或者消费频率超过预定频率,则判定该类型的数据发生异常;或者
如果所述用户帐号向其他用户帐号发送的文本数据中包括广告信息,则判定该类型的数据发生异常;或者
如果所述用户帐号向其他用户帐号发送的图片数据中包括色情图片,则判定该类型的数据发生异常。
进一步的,如图6所示,计算模块13可以包括:
样本采集单元131,用于采集多个被盗帐号样本以及多个正常帐号样本;
统计单元132,用于统计所述多个被盗帐号样本中与每个类型标识对应的异常样本数量以及所述多个正常帐号样本中与每个类型标识对应的异常样本数量;
第一计算单元133,用于根据与每个类型标识对应的正常样本数量、异常样本数量以及被盗帐号样本和正常帐号样本的总数量,计算每个类型标识对应的被盗概率值;以及
第二计算单元134,用于计算每个所收集的用户帐号被盗的联合概率。
优选的,可以采用贝叶斯算法计算每个所收集的用户帐号被盗的联合概率。
需要说明的是,本发明实施例的被盗帐号的识别装置的各功能模块的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,在此不赘述。
需要说明的是,上述模块是基于逻辑功能划分的,在实际应用中,一个模块的功能也可以由多个模块来实现,或者多个模块的功能由一个模块实现。
本发明实施例通过检测用户终端通过用户帐号进行操作的数据,根据预置规则判断与每个用户帐号相关的数据是否发生异常,收集数据发生异常的用户帐号以及发生异常的数据所对应的所述类型标识,根据所收集的每个用户帐号所对应的类型标识以及预存的每个类型标识对应的被盗概率值,计算每个所收集的用户帐号被盗的联合概率,判断所述用户帐号被盗的联合概率是否大于预设阈值,若是,则确定所述用户帐号已被盗,并将所述用户帐号存储在被盗帐号库中。本发明实施例根据多种类型的数据的异常情况来综合检测用户帐号是否为被盗帐号,准确性更高,更便于系统对用户账号进行更有效的保护。
请参见图7,为本发明实施例提供的一种被盗帐号的检测系统的结构示意图;该系统20可包括:检测服务器21、计算服务器22、存储服务器23。
其中,所述检测服务器21用于检测用户终端通过用户帐号进行操作的不同类型的数据,根据预置规则判断与每个用户帐号相关的各种类型的数据是否发生异常,如果发生异常,则将发生异常的该种类型对应的类型标识以及所述用户帐号发送给所述计算服务器22;
所述计算服务器22用于收集数据发生异常的用户帐号以及发生异常的数据所对应的所述类型标识,根据所收集的每个用户帐号所对应的类型标识以及预存的每个类型标识对应的被盗概率值,计算每个所收集的用户帐号被盗的联合概率,并判断所述用户帐号被盗的联合概率是否大于预设阈值,若是,则确定所述用户帐号已被盗,并将所述用户帐号发送给所述存储服务器23进行存储。
需要说明的是,本发明实施例的被盗帐号的检测系统的各服务器的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,在此不赘述。
本发明实施例通过检测用户终端通过用户帐号进行操作的数据,根据预置规则判断与每个用户帐号相关的数据是否发生异常,收集数据发生异常的用户帐号以及发生异常的数据所对应的所述类型标识,根据所收集的每个用户帐号所对应的类型标识以及预存的每个类型标识对应的被盗概率值,计算每个所收集的用户帐号被盗的联合概率,判断所述用户帐号被盗的联合概率是否大于预设阈值,若是,则确定所述用户帐号已被盗,并将所述用户帐号存储在被盗帐号库中。本发明实施例根据多种类型的数据的异常情况来综合检测用户帐号是否为被盗帐号,准确性更高,更便于系统对用户账号进行更有效的保护。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者装置中还存在另外的相同要素。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制,虽然本发明已以较佳实施例揭露如上,然而并非用以限定本发明,任何熟悉本专业的技术人员,在不脱离本发明技术方案范围内,当可利用上述揭示的技术内容做出些许更动或修饰为等同变化的等效实施例,但凡是未脱离本发明技术方案内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均仍属于本发明技术方案的范围内。

Claims (12)

1.一种被盗帐号的识别方法,其特征在于,包括:
服务器检测用户终端通过用户帐号进行操作的数据,根据预置规则判断与每个用户帐号相关的数据是否发生异常,所述与用户帐号相关的数据包括多种类型,每种类型对应一个类型标识;收集数据发生异常的用户帐号以及发生异常的数据所对应的所述类型标识;
根据所收集的每个用户帐号所对应的类型标识以及预存的每个类型标识对应的被盗概率值,计算每个所收集的用户帐号被盗的联合概率;
判断所述用户帐号被盗的联合概率是否大于预设阈值,若是,则确定所述用户帐号已被盗,并将所述用户帐号存储在被盗帐号库中。
2.根据权利要求1所述的方法,其特征在于,所述与用户帐号相关的数据的类型包括:所述用户帐号的登录数据、所述用户帐号的虚拟财产的消费数据、所述用户帐号向其他用户帐号发送的文本数据、以及所述用户帐号向其他用户帐号发送的图片数据中的一种或几种。
3.根据权利要求2所述的方法,其特征在于,所述预置规则包括:
如果所述用户帐号的登录数据中的登录密码发生改变、或者登录地点发生改变、或者登录时所使用的用户终端发生改变,则判定该类型的数据发生异常;或者
如果所述用户帐号的虚拟财产的消费数据中的消费金额超过预定额度或者消费频率超过预定频率,则判定该类型的数据发生异常;或者
如果所述用户帐号向其他用户帐号发送的文本数据中包括广告信息,则判定该类型的数据发生异常;或者
如果所述用户帐号向其他用户帐号发送的图片数据中包括色情图片,则判定该类型的数据发生异常。
4.根据权利要求1所述的方法,其特征在于,所述预存的每个类型标识对应的被盗概率值通过样本分析计算获得,包括:
采集多个被盗帐号样本以及多个正常帐号样本;
统计所述多个被盗帐号样本中与每个类型标识对应的异常样本数量以及所述多个正常帐号样本中与每个类型标识对应的异常样本数量;
根据与每个类型标识对应的正常样本数量、异常样本数量以及被盗帐号样本和正常帐号样本的总数量,计算每个类型标识对应的被盗概率值。
5.根据权利要求1所述的方法,其特征在于,通过贝叶斯算法计算每个所收集的用户帐号被盗的联合概率。
6.一种被盗帐号的识别方法,其特征在于,包括:
检测服务器检测用户终端通过用户帐号进行操作的不同类型的数据,根据预置规则判断与每个用户帐号相关的各种类型的数据是否发生异常,如果发生异常,将发生异常的该种类型对应的类型标识以及所述用户帐号发送给计算服务器;
计算服务器收集数据发生异常的用户帐号以及发生异常的数据所对应的所述类型标识,根据所收集的每个用户帐号所对应的类型标识以及预存的每个类型标识对应的被盗概率值,计算每个所收集的用户帐号被盗的联合概率,并判断所述用户帐号被盗的联合概率是否大于预设阈值,若是,则确定所述用户帐号已被盗,并将所述用户帐号发送给存储服务器进行存储。
7.一种被盗帐号的识别装置,其特征在于,包括:
检测及判断模块,用于检测用户终端通过用户帐号进行操作的数据,根据预置规则判断与每个用户帐号相关的数据是否发生异常,所述与用户帐号相关的数据包括多种类型,每种类型对应一个类型标识;
收集模块,用于收集数据发生异常的用户帐号以及发生异常的数据所对应的所述类型标识;
计算模块,用于根据所收集的每个用户帐号所对应的类型标识以及预存的每个类型标识对应的被盗概率值,计算每个所收集的用户帐号被盗的联合概率;
判断及存储模块,用于判断所述用户帐号被盗的联合概率是否大于预设阈值,若是,则确定所述用户帐号已被盗,并将所述用户帐号存储在被盗帐号库中。
8.根据权利要求7所述的装置,其特征在于,所述与用户帐号相关的数据的类型包括:所述用户帐号的虚拟财产的消费数据、所述用户帐号向其他用户帐号发送的文本数据、以及所述用户帐号向其他用户帐号发送的图片数据中的一种或几种。
9.根据权利要求8所述的装置,其特征在于,所述预置规则包括:
如果所述用户帐号的虚拟财产的消费数据中的消费金额超过预定额度或者消费频率超过预定频率,则判定该类型的数据发生异常;或者
如果所述用户帐号向其他用户帐号发送的文本数据中包括广告信息,则判定该类型的数据发生异常;或者
如果所述用户帐号向其他用户帐号发送的图片数据中包括色情图片,则判定该类型的数据发生异常。
10.根据权利要求7所述的装置,其特征在于,所述计算模块包括:
样本采集单元,用于采集多个被盗帐号样本以及多个正常帐号样本;
统计单元,用于统计所述多个被盗帐号样本中与每个类型标识对应的异常样本数量以及所述多个正常帐号样本中与每个类型标识对应的异常样本数量;
第一计算单元,用于根据与每个类型标识对应的正常样本数量、异常样本数量以及被盗帐号样本和正常帐号样本的总数量,计算每个类型标识对应的被盗概率值。
11.根据权利要求7所述的装置,其特征在于,所述计算模块包括:第二计算单元,通过贝叶斯算法计算每个所收集的用户帐号被盗的联合概率。
12.一种被盗帐号的识别系统,其特征在于,包括:检测服务器、计算服务器以及存储服务器,
所述检测服务器用于检测用户终端通过用户帐号进行操作的不同类型的数据,根据预置规则判断与每个用户帐号相关的各种类型的数据是否发生异常,如果发生异常,则将发生异常的该种类型对应的类型标识以及所述用户帐号发送给所述计算服务器;
所述计算服务器用于收集数据发生异常的用户帐号以及发生异常的数据所对应的所述类型标识,根据所收集的每个用户帐号所对应的类型标识以及预存的每个类型标识对应的被盗概率值,计算每个所收集的用户帐号被盗的联合概率,并判断所述用户帐号被盗的联合概率是否大于预设阈值,若是,则确定所述用户帐号已被盗,并将所述用户帐号发送给所述存储服务器进行存储。
CN201310337072.0A 2013-08-05 2013-08-05 被盗帐号的检测方法、装置及系统 Active CN104348810B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201310337072.0A CN104348810B (zh) 2013-08-05 2013-08-05 被盗帐号的检测方法、装置及系统
PCT/CN2014/083706 WO2015018314A1 (en) 2013-08-05 2014-08-05 Method, device and system for detecting whether account is stolen

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310337072.0A CN104348810B (zh) 2013-08-05 2013-08-05 被盗帐号的检测方法、装置及系统

Publications (2)

Publication Number Publication Date
CN104348810A true CN104348810A (zh) 2015-02-11
CN104348810B CN104348810B (zh) 2019-02-22

Family

ID=52460652

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310337072.0A Active CN104348810B (zh) 2013-08-05 2013-08-05 被盗帐号的检测方法、装置及系统

Country Status (2)

Country Link
CN (1) CN104348810B (zh)
WO (1) WO2015018314A1 (zh)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105992211A (zh) * 2015-02-12 2016-10-05 深圳市腾讯计算机系统有限公司 一种盗号检测方法、装置和系统
CN106372938A (zh) * 2015-07-21 2017-02-01 华为技术有限公司 异常账号识别方法及系统
CN106600021A (zh) * 2015-10-16 2017-04-26 阿里巴巴集团控股有限公司 账户被盗概率的确定方法和装置
CN108205763A (zh) * 2016-12-19 2018-06-26 北京京东尚科信息技术有限公司 一种用户账号检测方法
CN108462595A (zh) * 2017-02-21 2018-08-28 阿里巴巴集团控股有限公司 账号处理系统及处置窗口期的确定方法、服务器
WO2019020094A1 (zh) * 2017-07-28 2019-01-31 阿里巴巴集团控股有限公司 一种指标异常检测方法、装置以及电子设备
CN110351267A (zh) * 2019-07-04 2019-10-18 微梦创科网络科技(中国)有限公司 一种社交媒体账号被盗的确定方法及装置
CN110839003A (zh) * 2018-08-16 2020-02-25 北京嘀嘀无限科技发展有限公司 盗号行为识别方法、装置、计算机设备和存储介质
CN111343197A (zh) * 2016-01-27 2020-06-26 阿里巴巴集团控股有限公司 账户处理方法和装置

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105528535A (zh) * 2015-12-25 2016-04-27 北京奇虎科技有限公司 基于行为日志信息的用户行为分析方法及装置
CN107451157B (zh) * 2016-06-01 2020-12-18 阿里巴巴集团控股有限公司 异常数据识别方法、装置及系统、搜索方法及装置
CN106953738B (zh) * 2016-10-11 2020-12-18 创新先进技术有限公司 风险控制方法及装置
CN111860647B (zh) * 2020-07-21 2023-11-10 金陵科技学院 一种异常消费模式判定方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040039686A1 (en) * 2002-01-10 2004-02-26 Klebanoff Victor Franklin Method and system for detecting payment account fraud
CN102034182A (zh) * 2010-11-29 2011-04-27 深圳市爱贝信息技术有限公司 支付平台账户安全交易的方法及装置
CN102325062A (zh) * 2011-09-20 2012-01-18 北京神州绿盟信息安全科技股份有限公司 异常登录检测方法及装置
WO2013054983A1 (en) * 2011-10-13 2013-04-18 Neople, Inc. Apparatus and method for detecting abnormal account
CN103095658A (zh) * 2011-11-03 2013-05-08 北京神州泰岳软件股份有限公司 一种账户登录的方法和系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040039686A1 (en) * 2002-01-10 2004-02-26 Klebanoff Victor Franklin Method and system for detecting payment account fraud
CN102034182A (zh) * 2010-11-29 2011-04-27 深圳市爱贝信息技术有限公司 支付平台账户安全交易的方法及装置
CN102325062A (zh) * 2011-09-20 2012-01-18 北京神州绿盟信息安全科技股份有限公司 异常登录检测方法及装置
WO2013054983A1 (en) * 2011-10-13 2013-04-18 Neople, Inc. Apparatus and method for detecting abnormal account
CN103095658A (zh) * 2011-11-03 2013-05-08 北京神州泰岳软件股份有限公司 一种账户登录的方法和系统

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105992211B (zh) * 2015-02-12 2019-09-17 深圳市腾讯计算机系统有限公司 一种盗号检测方法、装置和系统
CN105992211A (zh) * 2015-02-12 2016-10-05 深圳市腾讯计算机系统有限公司 一种盗号检测方法、装置和系统
CN106372938A (zh) * 2015-07-21 2017-02-01 华为技术有限公司 异常账号识别方法及系统
CN106600021A (zh) * 2015-10-16 2017-04-26 阿里巴巴集团控股有限公司 账户被盗概率的确定方法和装置
CN111343197A (zh) * 2016-01-27 2020-06-26 阿里巴巴集团控股有限公司 账户处理方法和装置
CN108205763A (zh) * 2016-12-19 2018-06-26 北京京东尚科信息技术有限公司 一种用户账号检测方法
CN108462595A (zh) * 2017-02-21 2018-08-28 阿里巴巴集团控股有限公司 账号处理系统及处置窗口期的确定方法、服务器
CN108462595B (zh) * 2017-02-21 2021-09-24 阿里巴巴集团控股有限公司 账号处理系统及处置窗口期的确定方法、服务器
WO2019020094A1 (zh) * 2017-07-28 2019-01-31 阿里巴巴集团控股有限公司 一种指标异常检测方法、装置以及电子设备
US10860453B2 (en) 2017-07-28 2020-12-08 Advanced New Technologies Co., Ltd. Index anomaly detection method and apparatus, and electronic device
CN110839003A (zh) * 2018-08-16 2020-02-25 北京嘀嘀无限科技发展有限公司 盗号行为识别方法、装置、计算机设备和存储介质
CN110351267A (zh) * 2019-07-04 2019-10-18 微梦创科网络科技(中国)有限公司 一种社交媒体账号被盗的确定方法及装置
CN110351267B (zh) * 2019-07-04 2021-12-03 微梦创科网络科技(中国)有限公司 一种社交媒体账号被盗的确定方法及装置

Also Published As

Publication number Publication date
WO2015018314A1 (en) 2015-02-12
CN104348810B (zh) 2019-02-22

Similar Documents

Publication Publication Date Title
CN104348810A (zh) 被盗帐号的检测方法、装置及系统
EP3622402B1 (en) Real time detection of cyber threats using behavioral analytics
US20200389495A1 (en) Secure policy-controlled processing and auditing on regulated data sets
US20180191750A1 (en) Systems and methods for detecting resources responsible for events
EP2122896B1 (en) Detecting inappropriate activity by analysis of user interactions
US20170109827A1 (en) Method and system to determine auto insurance risk
CN104852886A (zh) 用户帐号的保护方法及装置
CN104348809A (zh) 网络安全监控方法及系统
US11238169B2 (en) Privacy score
CN104660481A (zh) 即时通讯消息处理方法及装置
CN104836781A (zh) 区分访问用户身份的方法及装置
CN112132676B (zh) 联合训练目标模型的贡献度的确定方法、装置和终端设备
CN105243252A (zh) 一种账户风险评估的方法及装置
US8225407B1 (en) Incident prioritization and adaptive response recommendations
CN104735122A (zh) 基于邻近度的移动分析
EP3704585A1 (en) Consumer threat intelligence service
CN113313279A (zh) 一种单据审核方法和装置
CN107295086A (zh) 集群会话防丢失方法及系统
CN109446807A (zh) 用于识别拦截恶意机器人的方法、装置以及电子设备
CN112532512B (zh) 会话消息的处理方法、相关装置、设备及介质
CN115689571A (zh) 异常用户行为监测方法、装置、设备和介质
CN114625756A (zh) 数据查询方法、装置和服务器
CN114978749A (zh) 登录认证方法及系统、存储介质和电子设备
CN113360916A (zh) 应用程序编程接口的风险检测方法、装置、设备及介质
CN112989327A (zh) 一种窃取网站数据的检测方法、装置、设备及存储介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant