CN110620770B - 一种分析网络黑产账号的方法及装置 - Google Patents

Abstract

本发明实施例提供一种分析网络黑产账号的方法及装置，包括：第一时间段内通过某个IP成功登录的账号数大于设定的第一阈值时，则获取第二时间段内通过该IP登录的所有账号及账号信息；其中，所述第二时间段包括第一时间段、以及所述第一时间段之前的一段时间；从所述所有账号中确定每个自然年内注册的账号数，并计算每个自然年内注册的账号数相对所述账号总数的占比d；确定第二时间段内的账号平均登录次数n，根据每个账号登录次数m与账号平均登录次数n之间的第二关系系数、以及所述占比d之间的第一关系系数，分析出网络黑产所使用的真实账号。能够自动化分析批量登录帐号，从中发现黑产团伙成员属于自己个人身份的真实账号。

Description

一种分析网络黑产账号的方法及装置

技术领域

本发明涉及互联网安全领域，具体涉及一种分析网络黑产账号的方法及装置。

背景技术

网络黑产团伙对一个网站实施作恶行为后，网站方需要分析这些作恶行为，尽可能的找出黑产团伙真实的身份信息，以提高后续处置的准确性和效率。比如，报警寻求司法帮助等，从而提高司法落地打击黑产团伙的效率。

所以打击网络黑产团伙，对网站安全非常重要。那么能否快速高效地定位和找到黑产团伙可能在网站上使用的真实网站帐号是各种打击处置之前的非常关键的工作。对于网站而言，在网站服务器日志系统，会记录到大量黑产团伙使用的网站帐号，但是网络黑产者为了批量对网站作恶，通常大部分网络黑产者使用小号来掩盖自己的真实信息。而这些小号通常是假实名，在实际的司法手段打击中无法落地。

在实现本发明过程中，申请人发现现有技术中至少存在如下问题：

虽然可以将帐号数量明显异常的IP下对应的所有网站帐号提取出来，通过帐号发布内容信息的质量进判断，该帐号是否可能是黑产团伙自己本身在使用的真实帐号。但是内容信息本身数据量偏大，如现在很多互联网产品的内容形态是视频，如果将内容信息进行整理分析，对于服务器的资源成本开销要求较大；另外，对于一些产品和服务，帐号发布的内容信息属于通讯信息的范畴，如果对帐号发送的内容信息作分析，可能会存在严重的合规性风险。

或者通过网站帐号的登录名或者网站帐号设置的名称进行判断，因为通常真实的登录名或者帐号名称的语意带有一定的常见性，而小号的登录名或者昵称通常是没有意义的混乱组合。但是，一方面，黑产团伙可能通过搜集互联网的真实名称词库，在此基础上，进行对小号的登录名或者网站名称进行设置，最终欺骗网站服务器针对登录名或者帐号名称的检测机制；另外一方面，相当多的年轻普通网站用户，因为个性等原因，可能会使用各种的变形词、符号作为登录名或者网站名称，这个时候，基于语义分析登录名或者帐号名称，则可能带来比较大的误伤。

发明内容

本发明实施例提供一种基于自动化溯源分析网络黑产账号的方法及装置，能够自动化去分析批量网站帐号，从中发现黑产团伙成员属于自己个人身份的真实账号。

为达上述目的，一方面，本发明实施例提供一种分析网络黑产账号的方法，包括：

当第一时间段内通过某个IP成功登录的账号数大于设定的第一阈值时，则获取第二时间段内通过该IP登录的所有账号及账号信息；其中，所述第二时间段包括第一时间段、以及所述第一时间段之前的一段时间，所述账号信息包括：账号名称、账号总数；

从所述所有账号中确定每个自然年内注册的账号数，并计算每个自然年内注册的账号数相对所述账号总数的占比d；

确定第二时间段内的账号平均登录次数n，根据每个账号登录次数m与账号平均登录次数n之间的第二关系系数、以及所述占比d之间的第一关系系数，分析出网络黑产所使用的真实账号。

另一方面，本发明实施例提供一种分析网络黑产账号的装置，包括：

提取账号单元：用于当第一时间段内通过某个IP成功登录的账号数大于设定的第一阈值时，则获取第二时间段内通过该IP登录的所有账号及账号信息；其中，所述第二时间段包括第一时间段、以及所述第一时间段之前的一段时间，所述账号信息包括：账号名称、账号总数；

分析判定单元：用于从所述所有账号中确定每个自然年内注册的账号数，并计算每个自然年内注册的账号数相对所述账号总数的占比d；用于确定第二时间段内的账号平均登录次数n，根据每个账号登录次数m与账号平均登录次数n之间的第二关系系数、以及所述占比d之间的第一关系系数，分析出网络黑产所使用的真实账号。

上述技术方案具有如下有益效果：本发明可以自动化去分析批量网站帐号，分析账号的过程和逻辑通过聚合分析自动实时完成，从中发现黑产团伙成员属于自己个人身份的账号，也就是其真实身份账号。减少人工繁琐的核实处理工作，节约了人工核实及处理信息的成本，效率提高，从而为精确定位黑产团伙的真实身份提供支撑，属于高价值互联网安全情报。同时因为效率的提高，从最终结果上看，在发现黑产团伙线索的数量上，也会有数量级的提升。

那么本发明高效的自动化方式挖掘网络黑产团伙代表个人身份的真实帐号，有利于公司后续利用该信息采取手段(比如司法手段)对黑产团伙进行打击，震慑和减少网络黑产团伙对公司业务的攻击，进而保护公司的整体安全。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明的实施例一种分析网络黑产账号的方法的流程示意图；

图2是本发明的实施例一种分析网络黑产账号的装置的流程示意图；

图3是本发明的实施例的另一分析网络黑产账号的方法的流程示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明中涉及的部分缩略语和关键术语定义：

网络黑产：指以互联网为媒介，以网络技术为主要手段，为计算机信息系统安全和网络空间管理秩序，甚至国家安全、社会政治稳定带来潜在威胁(重大安全隐患)的非法行为。如利用大量网站帐号对网站进行批量操作，如批量发布同一类内容。

网站帐号：俗称的网络身份证，是数字时代的代表，它是一种互联网身份认证协议，其具有唯一性和信息不可否认性。通常国内网站帐号一般为要求为手机号或者邮箱作为帐号标示。

IP：是Internet Protocol的外语缩写，每个接入互联网上的主机都会被分配一个唯一的32位地址作为标示。

溯源分析：探寻网络黑产的根本、源头，通常是从已知的大量数据中找到能够关联黑产团伙真实信息(如真实的IP、帐号、邮箱、手机号)的过程。

真实帐号：黑产团伙自己平时正常使用的网站帐号，帐号关联的信息(如手机号、身份证号是自己真实的信息，发布的信息也是自己发布的表达自己意愿的内容信息)

小号：黑产团伙在互联网网站作恶时，通常会通过直接批量注册、购买等手段来获得网站帐号，用来对网站实施黑产行为。

如图1所示，是本发明的实施例一种分析网络黑产账号的方法的流程图，提供一种分析网络黑产账号的方法，包括：

S101：当第一时间段内通过某个IP成功登录的账号数大于设定的第一阈值时，则获取第二时间段内通过该IP登录的所有账号及账号信息；其中，所述第二时间段包括第一时间段、以及所述第一时间段之前的一段时间，所述账号信息包括：账号名称、账号总数；

S102：从所述所有账号中确定每个自然年内注册的账号数，并计算每个自然年内注册的账号数相对所述账号总数的占比d；

确定第二时间段内的账号平均登录次数n，根据每个账号登录次数m与账号平均登录次数n之间的第二关系系数、以及所述占比d之间的第一关系系数，分析出网络黑产所使用的真实账号。

优选地，步骤102包括：

S1021：所述占比d之间的第一关系系数，通过如下方式确定：

将计算出的各占比d依次划归到预先按照自低到高的顺序划分的多个占比范围中，获取各占比d所在的最高占比范围；并

基于该最高占比范围设定对应的第一关系系数a，所述a的取值大于0且小于1，不同的占比范围所对应的a的取值不同。

优选地，步骤102还包括：

S1022：所述账号平均登录次数n根据第二时间段内所有账号通过该IP登录的总次数与账号总数的比值确定；

每个账号登录次数m与账号平均登录次数n之间的第二关系系数，通过如下方式确定：

获取登录次数m处于第二阈值和第三阈值之间的账号数，确定所述第二关系系数为登录次数处于第二阈值和第三阈值之间的账号数相对账号总数的占比b；

其中：所述第二阈值小于账号平均登录次数n，所述第三阈值大于账号平均登录次数n。

优选地，步骤102还包括：

S1023：根据每个账号登录次数m与账号平均登录次数n之间的第二关系系数、以及所述占比d之间的第一关系系数，分析出网络黑产所使用的真实账号，包括：

当第一关系系数a与第二关系系数b之和大于设定的第四阈值时，判定第二时间段内通过该IP登录的所有账号内存在网络黑产所使用的真实账号。

优选地，步骤1023还包括：

当第一关系系数a与第二关系系数b之和大于所述第四阈值时，分别计算每个账号的登录次数m与账号平均登录次数n之差的绝对值；判定最大绝对值所对应的账号为网络黑产所使用的真实账号。

如图2所示，是本发明的实施例一种分析网络黑产账号的装置的流程图，提供一种分析网络黑产账号的装置，包括：

提取账号单元21：用于当第一时间段内通过某个IP成功登录的账号数大于设定的第一阈值时，则获取第二时间段内通过该IP登录的所有账号及账号信息；其中，所述第二时间段包括第一时间段、以及所述第一时间段之前的一段时间，所述账号信息包括：账号名称、账号总数；

分析判定单元22：用于从所述所有账号中确定每个自然年内注册的账号数，并计算每个自然年内注册的账号数相对所述账号总数的占比d；用于确定第二时间段内的账号平均登录次数n，根据每个账号登录次数m与账号平均登录次数n之间的第二关系系数、以及所述占比d之间的第一关系系数，分析出网络黑产所使用的真实账号。

优选地，分析判定单元22包括：

第一分析子单元221：用于通过如下方式确定所述占比d之间的第一关系系数：将计算出的各占比d依次划归到预先按照自低到高的顺序划分的多个占比范围中，获取各占比d所在的最高占比范围；并基于该最高占比范围设定对应的第一关系系数a，所述a的取值大于0且小于1，不同的占比范围所对应的a的取值不同。

优选地，分析判定单元22还包括：

第二分析子单元222：用于根据第二时间段内所有账号通过该IP登录的总次数与账号总数的比值确定所述账号平均登录次数n；

用于通过如下方式确定每个账号登录次数m与账号平均登录次数n之间的第二关系系数：获取登录次数m处于第二阈值和第三阈值之间的账号数，确定所述第二关系系数为登录次数处于第二阈值和第三阈值之间的账号数相对账号总数的占比b；其中：所述第二阈值小于账号平均登录次数n，所述第三阈值大于账号平均登录次数n。

优选地，分析判定单元22还包括：

判定子单元223：用于当第一关系系数a与第二关系系数b之和大于设定的第四阈值时，判定第二时间段内通过该IP登录的所有账号内存在网络黑产所使用的真实账号。

优选地，所述判定子单元223具体用于：

当第一关系系数a与第二关系系数b之和大于所述第四阈值时，分别计算每个账号的登录次数m与账号平均登录次数n之差的绝对值；判定最大绝对值所对应的账号为网络黑产所使用的真实账号。

本发明实施例上述技术方案具有如下有益效果：本发明可以自动化去分析批量网站登录帐号，分析账号的过程和逻辑通过聚合分析自动实时完成，从中发现黑产团伙成员属于自己个人身份的账号，也就是其真实身份账号。减少人工繁琐的核实处理工作，节约了人工核实及处理信息的成本，效率提高，从而为精确定位黑产团伙的真实身份提供支撑，属于高价值互联网安全情报。同时因为效率的提高，从最终结果上看，在发现黑产团伙线索的数量上，也会有数量级的提升。

那么本发明高效的自动化方式挖掘网络黑产团伙代表个人身份的真实帐号，有利于公司后续利用该信息采取手段(比如司法手段)对黑产团伙进行打击，震慑和减少网络黑产团伙对公司业务的攻击，进而保护公司的整体安全。

以下结合应用实例对本发明实施例上述技术方案进行详细说明，实施过程中没有介绍到的技术细节，可以参考前文的相关描述。

在大型网站里，网站直接记录有黑产团伙访问网站使用的大量帐号，虽然黑产团伙也会使用其个人真实身份的真实的帐号，但如果对所有的帐号一一分析来定位真实身份的真实帐号，通常成本会非常巨大，另外实现难度非常高。

本发明基于对网站记录的一批网络黑产帐号，以注册及登录信息为基础，按照一定溯源分析的策略，进行自动化分析网络黑账团伙真实账号的方法。

首先，网站服务器记录所有在网站的帐号信息，包括；账号名称、注册时间、注册信息、历史上所有的登录时间及登录地区等历史登录信息。

其次，网站服务器收集一个时间段内比如一分钟内，在某个单个IP下，成功登录的网站帐号数量，当成功登录的数量大于预设的第一阈值时(比如成功登录了超过20个网站帐号)，则对该IP的登录账号进行溯源分析。网站服务器(系统)基于历史登录信息，回溯过去的第二时间段内该IP下所有登录过的网站帐号信息，包括：账号名称、账号总数，用以分析黑产集团所用的真实账号，获得团伙成员的真实身份。其中，第二时间段包括第一时间段、以及所述第一时间段之前的一段时间，(比如第二时间段为24小时，包括成功登录20个网站账号的一分钟)。

第三、对第二时间段内该IP下所有登录过的网站的帐号集合S(也就是24小时回溯出来的网站帐号)运用聚合分析方法进行分析，通常，黑产团伙会在时间注册维度上和登录频次维度上暴露出自己真实身份的特征。

(一)通过注册时间维度进行聚合分析：

对所有账号按自然年进行统计数量，即统计每个自然年内注册的账号数，然后计算每个自然年内注册的账号数相对所述账号总数的占比d，并将占比d自低向高分为多个连续的范围，即：将计算出的各占比d依次划归到预先按照自低到高的顺序划分的多个占比范围中，占比d的多个范围具体可为：20％以下、20％(包含)以上(且30％以下)、30％(包含)以上(且50％以下)、50％(包含)以上(且80％以下)、80％(包含)以上。

获取各占比d所在的最高占比范围；并基于该最高占比范围设定对应的第一关系系数a，所述a的取值大于0且小于1，不同的占比范围所对应的a的取值不同。如下所示：

占比d为20％以下，则记录a＝0；

占比d为20％(包含)以上(且30％以下)，则记录a＝0.1；

占比d为30％(包含)以上(且50％以下)，则记录a＝0.3；

占比d为50％(包含)以上(且80％以下)，则记录a＝0.4；

占比d为80％(包含)以上，则记录a＝0.5。

如果a具有多个值，则取最大的a值，其中上述的a值0、0.1、0.3、0.4、0.5只是一个示例，该值根据聚合分析方法的不同可调整。

(二)通过每个账号的登录频次进行聚合分析：

计算所有帐号集合S内的账号平均登录次数n，账号平均登录次数n根据第二时间段内所有账号通过该IP登录的总次数与账号总数的比值确定。每个账号登录次数m与账号平均登录次数n之间的第二关系系数，通过如下方式确定：获取登录次数m处于第二阈值和第三阈值之间的账号数，确定第二关系系数为登录次数处于第二阈值和第三阈值之间的账号数相对账号总数的占比b。第二阈值小于账号平均登录次数n，第三阈值大于账号平均登录次数n

即，比对m与0.8倍的n(0.8*n，为第二阈值)以及比对m与1.2倍的n(1.2*n，为第三阈值)的关系，并且统计符合0.8*n<m<1.2*n关系的账号数量，并且计算符合0.8*n<m<1.2*n关系的账号数量对账号总数的占比b，其中0.8倍的n表示小于n的数，1.2倍的n表示大于n的数，0.8和1.2可以据聚合分析方法进行调整。

如果符合0.8*n<m<1.2*n关系的账号数量占比b为30％以下，则记录b＝0；

如果符合0.8*n<m<1.2*n关系的账号数量占比b为30％(包含)以上(且50％以下)，则记录b＝0.3；

如果符合0.8*n<m<1.2*n关系的账号数量占比b为50％(包含)以上(且70％以下)，则记录b＝0.5；

如果符合0.8*n<m<1.2*n关系的账号数量占比b为70％(包含)以上，则记录b＝0.7。

(三)聚合a与b之和：

也就是：在注册时间维度和登录频次维度，是判断黑产团伙使用自己真实身份账号的两个特征，其重要性相等，通过对这个两个特征对应的值(第一关系系数a和第二关系系数b)相加就可进行判断是此批账号内是否存在黑产团伙自己真实身份账号。

计算a与b之和，设c＝a+b，当c大于第四阈值时，则认为该批帐号可能存在网络黑产使用的真实帐号；当c小于第四阈值时，则认为该批帐号不存在网络黑产使用的真实帐号，c为大于0的数字，比如0.65。

(四)判定真是账号

当c大于第四阈值时，进一步比较每个账号登录次数m(或者q(m)，m取1、2、3……)与平均每个账号的登录次数n的大小，并计算二者之差的绝对值|(q(m)-n)|，当(p＝max|(q(m)-n)|)即绝对值最大时，则判断其对应的账号为黑产团伙成员使用的真实账号，进一步调取该账号的相关信息，具体包括：帐号的注册时间和历史所有的登录时间及登录地区、手机号码、身份证号码等。

(四)举具体的实例来详述本发明的技术方案

以在IP 223.72.101.93下，有一批网站帐号登录访问网站服务器为例。

1、在2019-01-02 11:59:59到2019-01-02 12:00:00之间，在此IP下共成功登录了25个帐号。

2、因为登录帐号数大于某一阈值20，所以，系统回溯2019-01-01 11:59:59～2019-01-0212:00:00所有登录过的帐号，统计获取共有100个帐号(z1、z2、……z100)进行了登录。

3、系统从已记录的注册时间日志统计：针对100个帐号，其中50个帐号注册年份在2019年，20个帐号注册年份在2018年，20个帐号注册年份在2017年，10个帐号注册年份在2016年。

则最大第一关系系数a取占比为50％的a值，为a＝0.4。

4、系统从已记录的登录次数日志统计：这100个帐号，平均每个账号历史评论登录次数n＝100，则第二阈值为0.8*n＝80，第三阈值为1.2*n＝120。其中30个帐号登录次数为110，40个帐号登录次数为50，29个帐号登录次数为30，1个帐号(z8)的登录次数为1。那么30个帐号登录次数为110，符合0.8*n<110<1.2*n，则这30个帐号相对账号总数的占比为30％，则b＝0.3。

5、计算第一关系系数a与第二关系系数b之和，即c＝a+b＝0.4+0.3＝0.7，第四阈值设为0.65。因为可知0.7大于0.65，则这批100个帐号中可能存在网络黑产使用的真实帐号。所以需要进行进一步的判断来确定真实账号。

6、再次比较100个帐号(z1、z2、……z100)对应的登录次数与n＝100的差，并取绝对值，结果z8的登录次数1与n＝100之差的绝对值为99，为最大。

7、最终，系统认为z8为黑产团伙使用的真实帐号。

所以，在互联网安全日益重要的今天，精确快速对黑产团伙进行溯源非常重要，分析找到黑产团伙的真实帐号是关键的一个环节。

应该明白，公开的过程中的步骤的特定顺序或层次是示例性方法的实例。基于设计偏好，应该理解，过程中的步骤的特定顺序或层次可以在不脱离本公开的保护范围的情况下得到重新安排。所附的方法权利要求以示例性的顺序给出了各种步骤的要素，并且不是要限于所述的特定顺序或层次。

在上述的详细描述中，各种特征一起组合在单个的实施方案中，以简化本公开。不应该将这种公开方法解释为反映了这样的意图，即，所要求保护的主题的实施方案需要比清楚地在每个权利要求中所陈述的特征更多的特征。相反，如所附的权利要求书所反映的那样，本发明处于比所公开的单个实施方案的全部特征少的状态。因此，所附的权利要求书特此清楚地被并入详细描述中，其中每项权利要求独自作为本发明单独的优选实施方案。

为使本领域内的任何技术人员能够实现或者使用本发明，上面对所公开实施例进行了描述。对于本领域技术人员来说；这些实施例的各种修改方式都是显而易见的，并且本文定义的一般原理也可以在不脱离本公开的精神和保护范围的基础上适用于其它实施例。因此，本公开并不限于本文给出的实施例，而是与本申请公开的原理和新颖性特征的最广范围相一致。

上文的描述包括一个或多个实施例的举例。当然，为了描述上述实施例而描述部件或方法的所有可能的结合是不可能的，但是本领域普通技术人员应该认识到，各个实施例可以做进一步的组合和排列。因此，本文中描述的实施例旨在涵盖落入所附权利要求书的保护范围内的所有这样的改变、修改和变型。此外，就说明书或权利要求书中使用的术语“包含”，该词的涵盖方式类似于术语“包括”，就如同“包括，”在权利要求中用作衔接词所解释的那样。此外，使用在权利要求书的说明书中的任何一个术语“或者”是要表示“非排它性的或者”。

本领域技术人员还可以了解到本发明实施例列出的各种说明性逻辑块(illustrative logical block)，单元，和步骤可以通过电子硬件、电脑软件，或两者的结合进行实现。为清楚展示硬件和软件的可替换性(interchangeability)，上述的各种说明性部件(illustrative components)，单元和步骤已经通用地描述了它们的功能。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用，可以使用各种方法实现所述的功能，但这种实现不应被理解为超出本发明实施例保护的范围。

本发明实施例中所描述的各种说明性的逻辑块，或单元都可以通过通用处理器，数字信号处理器，专用集成电路(ASIC)，现场可编程门阵列或其它可编程逻辑装置，离散门或晶体管逻辑，离散硬件部件，或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器，可选地，该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现，例如数字信号处理器和微处理器，多个微处理器，一个或多个微处理器联合一个数字信号处理器核，或任何其它类似的配置来实现。

本发明实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件模块、或者这两者的结合。软件模块可以存储于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地，存储媒介可以与处理器连接，以使得处理器可以从存储媒介中读取信息，并可以向存储媒介存写信息。可选地，存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于ASIC中，ASIC可以设置于用户终端中。可选地，处理器和存储媒介也可以设置于用户终端中的不同的部件中。

在一个或多个示例性的设计中，本发明实施例所描述的上述功能可以在硬件、软件、固件或这三者的任意组合来实现。如果在软件中实现，这些功能可以存储与电脑可读的媒介上，或以一个或多个指令或代码形式传输于电脑可读的媒介上。电脑可读媒介包括电脑存储媒介和便于使得让电脑程序从一个地方转移到其它地方的通信媒介。存储媒介可以是任何通用或特殊电脑可以接入访问的可用媒体。例如，这样的电脑可读媒体可以包括但不限于RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁性存储装置，或其它任何可以用于承载或存储以指令或数据结构和其它可被通用或特殊电脑、或通用或特殊处理器读取形式的程序代码的媒介。此外，任何连接都可以被适当地定义为电脑可读媒介，例如，如果软件是从一个网站站点、服务器或其它远程资源通过一个同轴电缆、光纤电缆、双绞线、数字用户线(DSL)或以例如红外、无线和微波等无线方式传输的也被包含在所定义的电脑可读媒介中。所述的碟片(disk)和磁盘(disc)包括压缩磁盘、镭射盘、光盘、DVD、软盘和蓝光光盘，磁盘通常以磁性复制数据，而碟片通常以激光进行光学复制数据。上述的组合也可以包含在电脑可读媒介中。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (4)

1.一种分析网络黑产账号的方法，其特征在于，包括：

当第一时间段内通过某个IP成功登录的账号数大于设定的第一阈值时，则获取第二时间段内通过该IP登录的所有账号及账号信息；其中，所述第二时间段包括第一时间段、以及所述第一时间段之前的一段时间，所述账号信息包括：账号名称、账号总数；

从所述所有账号中确定每个自然年内注册的账号数，并计算每个自然年内注册的账号数相对所述账号总数的占比d；

确定第二时间段内的账号平均登录次数n，根据每个账号登录次数m与账号平均登录次数n之间的第二关系系数、以及所述占比d之间的第一关系系数，分析出网络黑产所使用的真实账号；

所述占比d之间的第一关系系数，通过如下方式确定：

将计算出的各占比d依次划归到预先按照自低到高的顺序划分的多个占比范围中，获取各占比d所在的最高占比范围；并

基于该最高占比范围设定对应的第一关系系数a，所述a的取值大于0且小于1，不同的占比范围所对应的a的取值不同；

所述账号平均登录次数n根据第二时间段内所有账号通过该IP登录的总次数与账号总数的比值确定；

所述每个账号登录次数m与账号平均登录次数n之间的第二关系系数，通过如下方式确定：

获取登录次数m处于第二阈值和第三阈值之间的账号数，确定所述第二关系系数为登录次数处于第二阈值和第三阈值之间的账号数相对账号总数的占比b；

其中：所述第二阈值小于账号平均登录次数n，所述第三阈值大于账号平均登录次数n；

所述根据每个账号登录次数m与账号平均登录次数n之间的第二关系系数、以及所述占比d之间的第一关系系数，分析出网络黑产所使用的真实账号，包括：

当第一关系系数a与第二关系系数b之和大于设定的第四阈值时，判定第二时间段内通过该IP登录的所有账号内存在网络黑产所使用的真实账号。

2.根据权利要求1所述的分析网络黑产账号的方法，其特征在于，还包括：

当第一关系系数a与第二关系系数b之和大于所述第四阈值时，分别计算每个账号的登录次数m与账号平均登录次数n之差的绝对值；判定最大绝对值所对应的账号为网络黑产所使用的真实账号。

3.一种分析网络黑产账号的装置，其特征在于，包括：

提取账号单元：用于当第一时间段内通过某个IP成功登录的账号数大于设定的第一阈值时，则获取第二时间段内通过该IP登录的所有账号及账号信息；其中，所述第二时间段包括第一时间段、以及所述第一时间段之前的一段时间，所述账号信息包括：账号名称、账号总数；

分析判定单元：用于从所述所有账号中确定每个自然年内注册的账号数，并计算每个自然年内注册的账号数相对所述账号总数的占比d；用于确定第二时间段内的账号平均登录次数n，根据每个账号登录次数m与账号平均登录次数n之间的第二关系系数、以及所述占比d之间的第一关系系数，分析出网络黑产所使用的真实账号；

所述分析判定单元包括：

第一分析子单元：用于通过如下方式确定所述占比d之间的第一关系系数：将计算出的各占比d依次划归到预先按照自低到高的顺序划分的多个占比范围中，获取各占比d所在的最高占比范围；并基于该最高占比范围设定对应的第一关系系数a，所述a的取值大于0且小于1，不同的占比范围所对应的a的取值不同；

第二分析子单元：用于根据第二时间段内所有账号通过该IP登录的总次数与账号总数的比值确定所述账号平均登录次数n；

用于通过如下方式确定每个账号登录次数m与账号平均登录次数n之间的第二关系系数：获取登录次数m处于第二阈值和第三阈值之间的账号数，确定所述第二关系系数为登录次数处于第二阈值和第三阈值之间的账号数相对账号总数的占比b；其中：所述第二阈值小于账号平均登录次数n，所述第三阈值大于账号平均登录次数n；

判定子单元：用于当第一关系系数a与第二关系系数b之和大于设定的第四阈值时，判定第二时间段内通过该IP登录的所有账号内存在网络黑产所使用的真实账号。

4.根据权利要求3所述的分析网络黑产账号的装置，其特征在于，所述判定子单元具体用于：

当第一关系系数a与第二关系系数b之和大于所述第四阈值时，分别计算每个账号的登录次数m与账号平均登录次数n之差的绝对值；判定最大绝对值所对应的账号为网络黑产所使用的真实账号。

Images