CN109743306B

CN109743306B - 一种账号安全性评估方法、系统、设备及介质

Info

Publication number: CN109743306B
Application number: CN201811617146.5A
Authority: CN
Inventors: 刘岩; 金科; 金丰
Original assignee: Qianxin Technology Group Co Ltd
Current assignee: Qianxin Technology Group Co Ltd
Priority date: 2018-12-27
Filing date: 2018-12-27
Publication date: 2021-09-24
Anticipated expiration: 2038-12-27
Also published as: CN109743306A

Abstract

本发明提供了一种账号安全性评估方法，方法包括：S1，提取报文中的应用并识别应用ID，解码报文，提取报文中的账号信息，账号信息包括至少一个账号ID；S2，定义虚拟身份ID；S3，将账号ID与虚拟身份ID进行关联，生成第一关联组，将账号ID与应用ID进行关联，生成第二关联组；S4，根据第一关联组和/或第二关联组确定账号ID的安全性。另一方面本发明还提供了一种账号安全性评估系统、设备及介质。本发明通过提取报文中的应用信息和账号信息，保证了账号信息提取的完整性，并定义虚拟身份ID，同时通过生成多种方式的与账号ID相关的关联组作为基准，有效判定账号ID的安全性，若不安全还可进一步判断不安全种类，有效保证了账号安全的有效性。

Description

一种账号安全性评估方法、系统、设备及介质

技术领域

本发明涉及互联网安全技术领域，尤其涉及一种账号安全性评估方法、系统、设备及介质。

背景技术

随着信息技术在企业内的普及，内部员工账号作为公司重要资产，账号资产的泄漏、滥用会对员工及企业造成严重的影响，因此企业内部账号风险的识别迫在眉睫。主流账号安全系统，通过对网络流量进行分析提取账号，个别系统将账号与IP关联并记录，用于事后日志分析。但采用此种方式对账号的提取不完整、关联的精度也不高同时无法主动发现账号风险。

发明内容

(一)要解决的技术问题

本发明提供了一种账号安全性评估方法、系统、设备及介质，至少解决以上技术问题。

(二)技术方案

本发明提供了一种账号安全性评估方法，方法包括：S1，提取报文中的应用并识别应用ID，解码报文，提取报文中的账号信息，账号信息包括至少一个账号ID；S2，定义虚拟身份ID；S3，将账号ID与虚拟身份ID进行关联，生成第一关联组，将账号ID与应用ID进行关联，生成第二关联组；S4，根据第一关联组和/或第二关联组确定账号ID的安全性。

可选地，步骤S1之前还包括对报文进行重组。

可选地，提取报文中的应用并识别应用ID具体包括：根据报文的特征识别应用及应用ID；若报文来自于SSL协议传输，则在提取报文中的应用ID之前还包括解密所述报文。

可选地，步骤S2具体包括：使用同一终端IP的账号ID设为同一虚拟身份；使用具有引用关系的至少两个应用的账号ID设为同一虚拟身份；同一时间窗口使用同一终端IP登录多个应用的账号ID设为同一虚拟身份；根据认证方式确定虚拟身份的虚拟身份ID，若不需要登录认证，则将所述终端的MAC设为虚拟身份ID，若需要登录认证，则将登录名设为虚拟身份ID。

可选地，步骤S4具体包括：若账号ID与虚拟身份ID的匹配关系属于第一关联组，且账号ID与应用ID的匹配关系属于第二关联组，则该账号ID安全，否则该账号ID不安全。

可选地，若该账号ID不安全还包括根据所述第一关联组或第二关联组判断账号ID不安全种类。

可选地，根据第一关联组和第二关联组判断账号ID不安全种类具体包括：若m个虚拟身份ID使用一账号ID，且该账号ID与虚拟身份ID不满足第一关联组，若m<2，则账号ID被盗用，若m≥2，则账号ID被滥用；若账号ID和应用ID不满足第二关联组，则账号ID被泄露。

另一方面，本发明还提供了一种电子设备，设备包括：处理器；存储器，其存储有计算机可执行程序，该程序在被处理器执行时，使得所述处理器执行上述的账号安全性评估方法。

又一方面，本发明还提供了一种账号安全性评估系统，包括：提取模块，用于提取报文中的应用及应用ID，解码报文，提取报文中的账号信息，账号信息包括至少一个账号ID；定义模块，用于定义虚拟身份ID；关联模块，用于将账号ID与虚拟身份ID进行关联，生成第一关联组，将账号ID与应用ID进行关联，生成第二关联组；判定模块，用于根据第一关联组和/或第二关联组确定账号ID的安全性。

又一方面，本发明还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述的账号安全性评估方法。

(三)有益效果

本发明首先通过提取报文中的应用和账号，保证了账号信息提取的完整性，采用多种方式的关联提高了关联的精准性，同时通过生成多种方式的与账号ID相关的关联组作为基准，有效判定账号ID的安全性，若不安全则进一步定义了账号盗用、滥用及泄露等异常情况的判定方式，有效保证了账号安全的有效性。

附图说明

图1示意性示出了本公开实施例中的账号安全性评估方法步骤图；

图2示意性示出了本公开实施例中的虚拟身份ID和账号ID的关联框图；

图3示意性示出了本公开实施例中的应用ID和账号ID的关联框图；

图4示意性示出了本公开实施例中的电子设备框图；

图5示意性示出了本公开实施例中的账号安全性评估系统框图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明进一步详细说明。

本发明提供了一种账号安全性评估方法，参见图1，方法包括：S1，提取网络报文中的应用并识别应用ID，解码所述报文，提取报文中的账号信息，账号信息包括至少一个账号ID；S2，定义虚拟身份ID；S3，将账号ID与虚拟身份ID进行关联，生成第一关联组，将账号ID与应用ID进行关联，生成第二关联组；S4，根据第一关联组和/或第二关联组确定账号ID的安全性。下面以企业内部账号风险评估为例对其进行详细阐述。

具体的，S1，提取网络报文中的应用并识别应用ID，解码所述报文，提取报文中的账号信息，账号信息包括至少一个账号ID。

网络中的报文大部分以TCP协议进行传输，需要将报文分成多个报文段，TCP传输协议为了保证不发生丢包现象，会给每个包设置一个序号，一般情况下报文段会按序传输，但由于网络问题等因素，报文段可能会经过不同的路由传输至接收端，并且到达接收端的顺序可能会有变化，因此接收端报文段后需要对报文段进行排序使之组成发送端所发送的报文。

针对每一企业都会设有若干应用如xxx管理系统、aaa学习平台、bbb签到系统等，管理员创建这些应用后会为这些应用进行编设唯一的ID，当员工等使用这些应用后会通过报文传输数据信息，因此可通过报文的内容特征识别应用的种类进而得到应用ID，如某员工请求下载视频学习资料可判定该员工使用的应用为aaa学习平台，因此通过此种方式，通过分析报文特征很容易并且清晰的得出报文中涉及的应用和应用ID。企业为了网络通信的安全性和数据完整性还可能通过SSL安全协议传输报文，因此接收到报文后还需要通过解密算法对其进行解密。

对报文的内容进行解码将其转化为预设格式的文件，提取报文中的账号信息，账号信息可以包括账号ID、账号分类等信息，如若张三(工号M2018200)使用了aaa学习平台并发送了视频信息请求，则在报文中可以提去出工号M2018200的人使用了aaa学习平台，进一步可以得知使用aaa学习平台的人是张三。

S2，定义虚拟身份ID；

对企业而言有很多种方式为员工建立虚拟身份，可以通过为每个员工分配唯一的工号，也可以按照部门等方式建立虚拟身份，但对计算机终端而言，可以识别用户的登录名，也可以通过预设方式识别用户属性，如若某应用需要通过虚拟身份认证，则计算机可通过虚拟身份ID识别用户，有的应用只能领到使用，因此计算机可识别出该用户的身份为领导。但有时会出现如一个部门只有一台电脑可以使用某应用，因此部门的所有员工想要使用该应用时只能使用指定的一台电脑；另外，还有可能是用户使用了A应用通过连接等方式跳转到B应用，此时用户只有一个；还有可能用户在同一时间段内同时使用多个应用，此时对应的用户也是只有一个，因此就计算机层面而言，可以使用以下方式定义虚拟身份：

(1)使用同一终端IP的账号ID设为同一虚拟身份，就如同上述所说，用户使用某应用只能在指定的电脑上使用。

(2)使用具有引用关系的至少两个应用的账号ID设为同一虚拟身份，如上述所述用户使用A应用时跳转到B应用。

(3)同一时间窗口使用同一终端IP登录多个应用的账号ID设为同一虚拟身份，对应于当一个用户在同一时间段内同时使用多个应用的情况。

通过以上方式，从计算机层面对用户进行了虚拟身份分类，虚拟身份分类完成后需要确定其具体的虚拟身份ID，若不需要登录认证，如某应用时开放的使用前不需要登录即可使用，则使用用户终端的MAC值作为使用该终端的用户的虚拟身份ID，若需要登录认证，如在使用某应用前需要输入账号密码，则将该账号作为虚拟身份ID。

S3，将账号ID与虚拟身份ID进行关联，生成第一关联组，将账号ID与应用ID进行关联，生成第二关联组；

账号ID包括：员工的工号、某设备的管理权限号码等，将账号ID与上述虚拟身份ID进行关联，如图2所示，形成的<虚拟身份ID，账号ID>的绑定关系，由于企业中账号的多样性，因此会形成多个<虚拟身份ID，账号ID>的绑定关系，统称为第一关联组，图2示意性示出了关联关系，当然还存在一个账号ID和多个虚拟身份ID绑定的情况；

同时将账号ID与应用ID进行绑定，设置账号使用的应用的权限，生成<账号ID，应用ID>的绑定关系，同样对一个企业来说会生成多个<账号ID，应用ID>的绑定关系，如图3所示，统称为第二关联组，图3示意性示出了关联关系，当然还存在一个账号ID和多个应用ID绑定的情况。

S4，根据第一关联组和/或第二关联组确定账号ID的安全性。

根据账号ID、虚拟身份ID及应用ID与第一关联组或/和第二关联组进行比对，若账号ID与虚拟身份ID的匹配关系属于第一关联组，且账号ID与应用ID的匹配关系属于第二关联组，则判定该账号ID安全；否则即使仅满足一项也判定该账号ID不安全。

进一步的，根据第一关联组和第二关联组判断账号ID的不安全种类，具体的：

若m个虚拟身份ID使用一账号ID，且该账号ID与虚拟身份ID不满足第一关联组，也即账号ID和虚拟身份ID不匹配，若m<2，则账号ID具有被盗用的风险，使得账号在其他终端进行了使用，若m≥2，则账号ID具有被滥用的风险，使得账号被多个用户使用；若账号ID和所述应用ID不满足第二关联组，则账号ID具有被泄露的风险，即泄露之外部使用。

综上所述，通过提取应用ID、账号ID，并建立虚拟身份ID和账号ID的绑定关系，以及账号ID和应用ID的绑定关系，通过账号ID、账号ID以及虚拟身份ID与上述绑定关系进行匹配评判账号ID的安全性，及不安全种类。

再一方面，本发明实施例提供了一种电子设备，参见图4，为本发明实施例的电子设备框图，电子设备400包括：处理器401和存储器402，该电子设备400可以执行根据本发明实施例的方法。

具体的，处理器401例如可以包括通用微处理器、指令集处理器和/或相关芯片组和/或专用微处理器(例如，专用集成电路(ASIC))，等等。处理器401还可以包括用于缓存用途的板载存储器。处理器401可以是用于执行根据本发明实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。

存储器402，例如可以是能够包含、存储、传送、传播或传输指令的任意介质。例如，可读存储介质可以包括但不限于电、磁、光、电磁、红外或半导体系统、装置、器件或传播介质。可读存储介质的具体示例包括：磁存储装置，如磁带或硬盘(HDD)；光存储装置，如光盘(CD-ROM)；存储器，如随机存取存储器(RAM)或闪存；和/或有线/无线通信链路。

存储器402可以包括计算机程序4021，该计算机程序4021可以包括代码/计算机可执行指令，其在由处理器401执行时使得处理器401执行例如上面本发明实施例的方法流程及其任何变形。

计算机程序4021可被配置为具有例如包括计算机程序模块的计算机程序代码。例如，在示例实施例中，计算机程序4021中的代码可以包括一个或多个程序模块，例如包括4021A、模块4021B、……。应当注意，模块的划分方式和个数并不是固定的，本领域技术人员可以根据实际情况使用合适的程序模块或程序模块组合，当这些程序模块组合被处理器401执行时，使得处理器401可以执行例如上面结合本发明实施例的方法流程及其任何变形。

又一方面，本发明实施例提供了一种账号安全性评估系统，参见图5，系统500包括：提取模块501、定义模块502、关联模块503及判定模块504。

具体的，提取模块501，用于提取报文中的应用及应用ID，解码所述报文，提取报文中的账号信息，账号信息包括至少一个账号ID；定义模块502，用于定义虚拟身份ID；关联模块503，用于将账号ID与虚拟身份ID进行关联，生成第一关联组，将账号ID与应用ID进行关联，生成第二关联组；判定模块504，用于根据第一关联组和/或第二关联组确定账号ID的安全性。

根据本申请的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本申请实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。

本申请还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的设备/装置/系统中所包含的；也可以是单独存在，而未装配入该设备/装置/系统中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被执行时，实现根据本申请实施例的方法。

根据本申请的实施例，计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、有线、光缆、射频信号等等，或者上述的任意合适的组合。

本领域技术人员可以理解，本申请的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合，即使这样的组合或结合没有明确记载于本申请中。特别地，在不脱离本申请精神和教导的情况下，本申请的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本申请的范围。

尽管已经参照本申请的特定示例性实施例示出并描述了本申请，但是本领域技术人员应该理解，在不背离所附权利要求及其等同物限定的本申请的精神和范围的情况下，可以对本申请进行形式和细节上的多种改变。因此，本申请的范围不应该限于上述实施例，而是应该不仅由所附权利要求来进行确定，还由所附权利要求的等同物来进行限定。

Claims

1.一种账号安全性评估方法，其特征在于，所述方法包括：

S1，提取报文中的应用并识别应用ID，解码所述报文，提取所述报文中的账号信息，所述账号信息包括至少一个账号ID；

S2，定义虚拟身份ID；

S3，将所述账号ID与所述虚拟身份ID进行关联，生成第一关联组，将所述账号ID与所述应用ID进行关联，生成第二关联组；

S4，根据所述第一关联组和第二关联组确定所述账号ID的安全性。

2.根据权利要求1所述的账号安全性评估方法，其特征在于，步骤S1之前还包括对报文进行重组。

3.根据权利要求1所述的账号安全性评估方法，其特征在于，所述提取报文中的应用并识别应用ID具体包括：

根据所述报文的特征识别所述应用及应用ID；

若所述报文来自于SSL协议传输，则在提取报文中的所述应用ID之前还包括解密所述报文。

4.根据权利要求1所述的账号安全性评估方法，其特征在于，步骤S2具体包括：

使用同一终端IP的账号ID设为同一虚拟身份；

使用具有引用关系的至少两个应用的账号ID设为同一虚拟身份；

同一时间窗口使用同一终端IP登录多个应用的账号ID设为同一虚拟身份；

根据认证方式确定虚拟身份的虚拟身份ID，若不需要登录认证，则将所述终端的MAC设为虚拟身份ID，若需要登录认证，则将登录名设为虚拟身份ID。

5.根据权利要求1所述的账号安全性评估方法，其特征在于，步骤S4具体包括：若所述账号ID与所述虚拟身份ID的匹配关系属于第一关联组，且所述账号ID与所述应用ID的匹配关系属于第二关联组，则所述账号ID安全，否则所述账号ID不安全。

6.根据权利要求5所述的账号安全性评估方法，其特征在于，若该账号ID不安全还包括根据所述第一关联组或第二关联组判断所述账号ID不安全种类。

7.根据权利要求6所述的账号安全性评估方法，其特征在于，根据所述第一关联组或第二关联组判断所述账号ID不安全种类具体包括：

若m个虚拟身份ID使用一账号ID，且所示账号ID与所述虚拟身份ID不满足第一关联组，若m＜2，则所述账号ID被盗用，若m≥2，则所述账号ID被滥用；

若所述账号ID和所述应用ID不满足第二关联组，则所述账号ID被泄露。

8.一种电子设备，其特征在于，所述设备包括：

处理器；

存储器，其存储有计算机可执行程序，该程序在被所述处理器执行时，使得所述处理器执行如权利要求1-7中任意一项所述的账号安全性评估方法。

9.一种账号安全性评估系统，其特征在于，包括：

提取模块，用于提取报文中的应用及应用ID，解码所述报文，提取所述报文中的账号信息，所述账号信息包括至少一个账号ID；

定义模块，用于定义虚拟身份ID；

关联模块，用于将所述账号ID与所述虚拟身份ID进行关联，生成第一关联组，将所述账号ID与所述应用ID进行关联，生成第二关联组；

判定模块，用于根据所述第一关联组和第二关联组确定所述账号ID的安全性。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如权利要求1-7中任意一项所述的账号安全性评估方法。