CN112070458A - 一种账号识别方法及装置 - Google Patents

一种账号识别方法及装置 Download PDF

Info

Publication number
CN112070458A
CN112070458A CN202010790016.2A CN202010790016A CN112070458A CN 112070458 A CN112070458 A CN 112070458A CN 202010790016 A CN202010790016 A CN 202010790016A CN 112070458 A CN112070458 A CN 112070458A
Authority
CN
China
Prior art keywords
account
identified
zombie
information base
determining
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010790016.2A
Other languages
English (en)
Inventor
赵志伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Security Technologies Co Ltd
Original Assignee
New H3C Security Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Security Technologies Co Ltd filed Critical New H3C Security Technologies Co Ltd
Priority to CN202010790016.2A priority Critical patent/CN112070458A/zh
Publication of CN112070458A publication Critical patent/CN112070458A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • G06Q10/105Human resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/018Certifying business or products
    • G06Q30/0185Product, service or business identity fraud

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Strategic Management (AREA)
  • Human Resources & Organizations (AREA)
  • Entrepreneurship & Innovation (AREA)
  • General Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • Marketing (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Economics (AREA)
  • Data Mining & Analysis (AREA)
  • Tourism & Hospitality (AREA)
  • Quality & Reliability (AREA)
  • Operations Research (AREA)
  • Accounting & Taxation (AREA)
  • Development Economics (AREA)
  • Finance (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本申请提供了一种账号识别方法及装置,所述方法包括:获取待识别账号;基于用户信息库,判断所述待识别账号是否满足僵尸账号初步筛选条件;若满足,则确定所述待识别账号为僵尸账号;若不满足,则获取所述待识别账号最近一段时间内访问网络的活动行为基线;若所述活动行为基线符合僵尸账号对应的活动行为基线,则确认所述待识别账号为僵尸账号。采用上述方法,可以准确地识别出僵尸账号,尤其适用于企业离职员工,其账号(僵尸账号)未及时注销的场景。

Description

一种账号识别方法及装置
技术领域
本申请涉及网络安全技术领域,尤其涉及一种账号识别方法及装置。
背景技术
企业中,尤其是现代企业中,离职事件时常发生。对于企业来说,已离职员工的账号必须要及时销户,否则很容易导致企业存在安全隐患。但是由于大部分企业的数字化转型还没有完全转型,其离职人员的账号销户的流程涉及的人工操作比较多,而人工人力和工作时间有限,很容易导致已离职人员的账号未及时销户。而针对未及时销户的账号,其账号存在被盗用的可能性就比较大。由此,僵尸账号应运而生,所谓僵尸账号就是这类已经离职的员工的账号,由于没有及时销户,还可能被使用,导致企业信息的安全存在极大隐患,因此,及时且准确地检测企业的僵尸账号是公司企业安全至关重要的课题。
现有技术在识别僵尸账号时,一般是通过账号注册时的注册请求和访问请求来识别僵尸账号,但是该方案仅能检测新注册的账号是否为僵尸账号,并不适用于企业已离职人员的僵尸账号检测。
因此,如何准确地识别僵尸账号,尤其是企业中已离职人员的僵尸账号是值得考虑的技术问题之一。
发明内容
有鉴于此,本申请提供一种账号识别方法及装置,用以准确地识别僵尸账号。
具体地,本申请是通过如下技术方案实现的:
根据本申请的第一方面,提供一种账号识别方法,包括:
获取待识别账号;
基于用户信息库,判断待识别账号是否满足僵尸账号初步筛选条件;
若满足,则确定待识别账号为僵尸账号;
若不满足,则获取待识别账号最近一段时间内访问网络的活动行为基线;
若活动行为基线符合僵尸账号对应的活动行为基线,则确认待识别账号为僵尸账号。
根据本申请的第二方面,提供一种账号识别装置,包括:
第一获取模块,用于获取待识别账号;
判断模块,用于基于用户信息库,判断待识别账号是否满足僵尸账号初步筛选条件;
确定模块,用于若判断模块的判断结果为满足,则确定待识别账号为僵尸账号;
第二获取模块,用于若判断模块的判断结果为不满足,则获取待识别账号最近一段时间内访问网络的活动行为基线;
确认模块,用于若活动行为基线符合僵尸账号对应的活动行为基线,则确认待识别账号为僵尸账号。
本申请实施例的有益效果:
先对待识别账号进行初步识别,即,判断待识别账号是否满足僵尸账号初步筛选条件,当不满足时,则会获取待识别账号在最近一段时间内访问网络的活动行为基线,当该活动行为基线符合僵尸账号对应的活动行为基线时,则确认该待识别账号为僵尸账号,从而准确地识别出了僵尸账号,尤其适用于企业离职员工,其账号未及时注销的场景。
附图说明
图1是本申请实施例提供的一种网络设备的结构示意图;
图2是本申请实施例提供的一种账号识别方法的流程图;
图3是本申请实施例提供的正常工作到待离职再到正式离职的员工利用账号访问企业网络的活动示意图;
图4是本申请实施例提供的一种账号识别装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
请参照图1,是本实施例提供的网络设备100的方框示意图。该网络设备100包括存储器110、处理器120及通信模块130。存储器110、处理器120以及通信模块130各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。
其中,存储器110用于存储程序或者数据。存储器110可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-Only Memory,PROM),可擦除只读存储器(ErasableProgrammable Read-Only Memory,EPROM),电可擦除只读存储器(Electric ErasableProgrammable Read-Only Memory,EEPROM)等。
处理器120用于读/写存储器110中存储的数据或程序,并执行相应地功能。例如,当存储器110存储的计算机程序被处理器120执行时,能够实现本申请各实施例所揭示的账号识别方法。
通信模块130用于通过网络建立网络设备100与其它通信终端之间的通信连接,并用于通过网络收发数据。例如,网络设备100可以通过通信模块130从其它通信终端获取待识别账号。
应当理解的是,图1所示的结构仅为网络设备100的结构示意图,网络设备100还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。可选地,本申请实施例中的网络设备100可以为网关、防火墙等网络安全设备,当然也可以为其他设备,具体根据实际情况而定。
下面对本申请提供的账号识别方法进行详细地说明。
参见图2,图2是本申请提供的一种账号识别方法的流程图,应用于图1所示的网络设备中,该方法可包括如下所示步骤:
S201、获取待识别账号。
本步骤中,在进行账号识别时,可以对批量账号进行账号识别,则此时获取到的是多个待识别账号,从而体现账号的批量识别;当然,也可以逐一识别,则此时也可以获取一个待识别账号。本申请对获取的待识别账号的数量不进行限定。
S202、基于用户信息库,判断待识别账号是否满足僵尸账号初步筛选条件,若不满足,则执行步骤S203;若满足,则执行步骤S206。
S203、获取待识别账号最近一段时间内访问网络的活动行为基线。
可选地,本申请对上述最近一段时间的具体时间段不进行限定,例如可以为近一个月内、3个月内等等。
S204、判断所述活动行为基线是否符合僵尸账号对应的活动行为基线;若符合,则执行步骤S205;若不符合,则执行步骤S206。
S205、确定待识别账号为僵尸账号。
S206、确定待识别账号不为僵尸账号。
具体地,通过实施图2所示的流程,尤其本申请在待识别账号不满足僵尸账号初步筛选条件时,还获取了待识别账号最近一段时间的活动行为基线(表征最近一段时间的访问网络的行为),然后判断获取到的活动行为基线是否符合僵尸账号对应的活动行为基线,由此可以准确地识别出僵尸账号。
可选地,本申请中的活动行为基线为基于待识别账号在最近一段时间内访问网络的访问行为记录计算得到的。
具体地,上述访问行为记录为用户最近一段时间利用待识别账号访问网络时的访问行为记录,基于访问行为记录计算该待识别账号的活动行为基线。网络设备可以记录所有账号访问所监控的网络的访问日志,然后可以从该访问日志中提取出待识别账号的访问行为记录。可选地,由于网络设备监控的账号可能不止一个僵尸账号,为了实现批量处理,可以获取所有账号的访问日志,然后获取所有账号(待识别账号)最近一段时间的访问行为记录,然后基于访问行为记录计算各个待识别账号的活动行为基线。具体地,可以从日志采集平台实时、定期或者获取到采集指令时,获取所有账号的访问日志。
可选地,可以按照下述方法计算待识别账号的活动行为基线,包括:从待识别账号的访问行为记录中提取访问行为特征;计算每个访问行为特征的熵值变化;基于每个访问行为特征的熵值变化,构成所述待识别账号的活动行为基线。
具体地,当本申请应用于企业时,通过计算熵值变化得到活动行为基线时,可以统计出处于正常工作时期、待离职时期和离职时期三个状态对应的活动行为基线。具体来说,当前识别的所有账号应该分三种,未离职员工(正常工作)的账号、待离职员工的账号和离职员工的账号。相应地,处于不同阶段的账号访问网络的活动情况也是不同的,因此,例如,正常工作时期的用户,其访问网络的行为偏向于稳定,也即正常工作时期的账号对应的活动行为基线也应稳定;而待离职时期的用户,其访问行为存在逐步递减的情况,相应地,活动行为基线也程逐步递交的趋势;而离职时期的用户,正常情况下,该用户已离职,则不应该再利用离职的账号访问网络,也即,其访问行为应该为0。也就是说,一个员工从正常工作到待离职再到正式离职,其访问网络的行为量和频率整体会程一个下降的过程,直至不应该出现利用该账号访问网络的任何行为,参考图3所示的正常工作到待离职再到正式离职的员工利用账号访问企业网络的活动示意图,如若发现离职员工的账号在一段时间内活动行为基线趋于0后又出现上升的趋势,则可以判断存在利用该账号访问网络的情况,则可以确认存在利用该账号访问企业网络的情况,但由于该账号对应的员工已离职,原则上是不会存在再利用该账号访问企业网络的情况,则当发现该账号再次被利用时,则可以确认该账号为僵尸账号,然后发送告警,以禁止该账号访问企业网络,这样可以保证企业信息的安全。
基于此原理,本申请在计算出所有用户的活动行为基线后,可以对所有用户的活动行为基线进行分类,如分三类,第一分类对应正常账号的活动行为基线、第二分类对应波动账号的活动行为基线,第三分类对应僵尸账号的活动行为基线。
具体地,当所有用户为企业员工时,则上述第一分类对应正常工作时期的用户的账号对应的活动行为基线;第二分类对应待离职时期的用户的账号对应的活动行为基线;第三分类对应离职时期的用户的账号对应的活动行为基线。为了方便记录,可以针对每个分类,记录属于该分类的账号和该账号的活动行为基线。
在此基础上,本申请提供的僵尸账号对应的活动行为基线可以为统计出的符合离职期的用户的账号的活动行为基线。
则当获取到待识别账号后,可以判断待识别账号所属的类别,若待识别账号属于第三类,则确认该待识别账号属于僵尸账号。否则,确认待识别账号为正常账号。
具体地,本申请中待识别账号的活动行为基线可以为实时计算的,也可以预先统计的,当预先统计的,可以理解为:执行账号识别的识别进程和计算活动行为基线的计算进程为不同的进程,即,识别进程当判断待识别账号不在员工信息库时,则可以从计算进程获取待识别账号的活动行为基线,则判断该活动行为基线是否符合僵尸账号对应的活动行为基线时,可以按照下述过程实施:判断该待识别账号是否属于第三类对应的账号,若符合,则确认该活动行为基线符合僵尸账号对应的活动行为基线,进而确定待识别账号为僵尸账号。
而实时计算时,可以理解为:执行账号识别的进程和计算活动行为基线的进程为相同的进程,则该进程在判断待识别账号不在员工信息库时,则可以向日志采集平台发送采集指令,以获取该待识别账号的访问日志,进而获取该待识别账号的访问行为记录,然后从待识别账号的访问行为记录中提取访问行为特征;计算每个访问行为特征的熵值变化;基于每个访问行为特征的熵值变化,构成所述待识别账号的活动行为基线。然后判断该待识别账号的活动行为基线是否为僵尸账号对应的活动行为基线,若符合,则可以确认该待识别账号为僵尸账号。
在此基础上,本申请提供的账号识别方法,在确认待识别账号为僵尸账号后,还包括:将该待识别账号发送给告警平台,以使告警平台禁用该待识别账号的访问权限。
这样一来,不仅准确地识别出了僵尸账号,而且可以及时处理僵尸账号,以防利用僵尸账号威胁信息安全。
基于上述任一实施例,本申请提供的用户信息库记录有所有用户账号的状态信息;则可以按照下述方式执行步骤S202:判断所述待识别账号在所述用户信息库中的状态信息是否被标记为离职;若判断结果为是,则确定所述待识别账号满足僵尸账号初步筛选条件;若判断结果为否,则确定所述待识别账号不满足僵尸账号初步筛选条件。
具体地,以将本申请提供的方法应用于企业账号识别场景为例进行说明,本实施例提供的用户信息库记录了企业所有员工的用户账号的状态信息。如果员工离职,在及时更新用户信息库时,会在用户信息库中将该离职员工的状态信息标记为离职,基于此原理,在获取到待识别账号时,若查询用户信息库中该待识别账号的状态信息标记为离职,则可以直接确认该待识别账号为僵尸账号。此外,若该待识别账号在用户信息库中该待识别账号的状态信息未标记为离职,则可以确认该待识别账号不满足僵尸账号初步筛选条件,则执行步骤S203~S206的流程,以进一步识别该待识别账号,当识别出该待识别账号为僵尸账号时,可以对用户信息库中该待识别账号的状态信息进行更改,以使更改的标记能够表征其为僵尸账号或者离职账号等等;若判断该待识别账号未在用户信息库中,则表明有人用非法账号访问企业网络,则也可以确认该待识别账号为僵尸账号,从而可以初步识别出僵尸账号,或者也可以执行步骤S203~S206的流程以进一步识别该待识别账号。
基于上述任一实施例,本申请提供的用户信息库还可以为离职用户信息库,则还可以按照下述方式执行步骤S202:判断所述待识别账号是否在所述离职用户信息库中;若判断结果为是,则确定所述待识别账号满足僵尸账号初步筛选条件;若判断结果为否,则确定所述待识别账号不满足僵尸账号初步筛选条件。
具体地,本实施例中,可以专门维护离职用户信息库,用于存储离职员工的账号,则在获取到待识别账号时,可以判断该该识别账号是否在离职用户信息库中,若在离职用户信息库中,则可以确认该待识别账号为僵尸账号。若不在,则再执行步骤S203~S206以进一步识别该待识别账号。
可选地,采集到的访问日志可以但不限于包括表1所示的特征:
表1
Figure BDA0002623427170000091
相应地,提取的访问行为特征可以但不限于包括访问总次数、访问目标个数、与外网交互的次数和文件下载次数等等,参考表2所示:
表1
Figure BDA0002623427170000092
通过实施本申请任一实施例提供的账号识别方法,先对待识别账号进行初步识别,即,判断待识别账号是否满足僵尸账号初步筛选条件,当不满足时,则会获取待识别账号在最近一段时间内访问网络的活动行为基线,当该活动行为基线符合僵尸账号对应的活动行为基线时,则确认该待识别账号为僵尸账号,从而准确地识别出了僵尸账号,尤其对于企业离职员工,其账号未及时注销的场景。
基于同一发明构思,本申请还提供了与上述账号识别方法对应的账号识别装置。该账号识别装置的实施具体可以参考上述对账号识别方法的描述,此处不再一一论述。
参见图4,图4是本申请一示例性实施例提供的一种账号识别装置,
第一获取模块401,用于获取待识别账号;
判断模块402,用于基于用户信息库,判断所述待识别账号是否满足僵尸账号初步筛选条件;
确定模块403,用于若所述判断模块402的判断结果为满足,则确定所述待识别账号为僵尸账号;
第二获取模块404,用于若所述判断模块402的判断结果为不满足,则获取所述待识别账号最近一段时间内访问网络的活动行为基线;
确认模块405,用于若所述活动行为基线符合僵尸账号对应的活动行为基线,则确认所述待识别账号为僵尸账号。
可选地,本申请上述活动行为基线为基于所述待识别账号在最近一段时间内访问网络的访问行为记录计算得到的。
可选地,本申请提供的账号识别装置,还包括:
提取模块406,用于从所述访问行为记录中提取访问行为特征;
计算模块407,用于计算每个访问行为特征的熵值变化;
构成模块408,用于基于每个访问行为特征的熵值变化,构成所述待识别账号的活动行为基线。
可选地,本实施例提供的用户信息库记录有所有用户账号的状态信息;则
上述判断模块402,具体用于判断所述待识别账号在所述用户信息库中的状态信息是否被标记为离职;若判断结果为是,则确定所述待识别账号满足僵尸账号初步筛选条件;若判断结果为否,则确定所述待识别账号不满足僵尸账号初步筛选条件;
可选地,本实施例提供的用户信息库可以为离职用户信息库,则
上述判断模块402,具体用于判断所述待识别账号是否在所述离职用户信息库中;若判断结果为是,则确定所述待识别账号满足僵尸账号初步筛选条件;若判断结果为否,则确定所述待识别账号不满足僵尸账号初步筛选条件。
另外,本申请实施例提供了一种机器可读存储介质,机器可读存储介质存储有计算机程序,在被处理器调用和执行时,计算机程序促使处理器执行本申请实施例所提供的账号识别方法。
对于网络设备以及机器可读存储介质实施例而言,由于其涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
上述装置中各个单元/模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元/模块可以是或者也可以不是物理上分开的,作为单元/模块显示的部件可以是或者也可以不是物理单元/模块,即可以位于一个地方,或者也可以分布到多个网络单元/模块上。可以根据实际的需要选择其中的部分或者全部单元/模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (10)

1.一种账号识别方法,其特征在于,包括:
获取待识别账号;
基于用户信息库,判断所述待识别账号是否满足僵尸账号初步筛选条件;
若满足,则确定所述待识别账号为僵尸账号;
若不满足,则获取所述待识别账号最近一段时间内访问网络的活动行为基线;
若所述活动行为基线符合僵尸账号对应的活动行为基线,则确认所述待识别账号为僵尸账号。
2.根据权利要求1所述的方法,其特征在于,所述活动行为基线为基于所述待识别账号在最近一段时间内访问网络的访问行为记录计算得到的。
3.根据权利要求2所述的方法,其特征在于,按照下述方法计算所述待识别账号的活动行为基线:
从所述访问行为记录中提取访问行为特征;
计算每个访问行为特征的熵值变化;
基于每个访问行为特征的熵值变化,构成所述待识别账号的活动行为基线。
4.根据权利要求1所述的方法,其特征在于,所述用户信息库记录有所有用户账号的状态信息;则
基于用户信息库,判断所述待识别账号是否满足僵尸账号初步筛选条件,包括:
判断所述待识别账号在所述用户信息库中的状态信息是否被标记为离职;
若判断结果为是,则确定所述待识别账号满足僵尸账号初步筛选条件;
若判断结果为否,则确定所述待识别账号不满足僵尸账号初步筛选条件。
5.根据权利要求1所述的方法,其特征在于,所述用户信息库为离职用户信息库,则
基于用户信息库,判断所述待识别账号是否满足僵尸账号初步筛选条件,包括:
判断所述待识别账号是否在所述离职用户信息库中;
若判断结果为是,则确定所述待识别账号满足僵尸账号初步筛选条件;
若判断结果为否,则确定所述待识别账号不满足僵尸账号初步筛选条件。
6.根据权利要求1所述的方法,其特征在于,僵尸账号对应的活动行为基线包括统计出的符合离职期的用户的账号的活动行为基线。
7.一种账号识别装置,其特征在于,包括:
第一获取模块,用于获取待识别账号;
判断模块,用于基于用户信息库,判断所述待识别账号是否满足僵尸账号初步筛选条件;
确定模块,用于若所述判断模块的判断结果为满足,则确定所述待识别账号为僵尸账号;
第二获取模块,用于若所述判断模块的判断结果为不满足,则获取所述待识别账号最近一段时间内访问网络的活动行为基线;
确认模块,用于若所述活动行为基线符合僵尸账号对应的活动行为基线,则确认所述待识别账号为僵尸账号。
8.根据权利要求7所述的装置,其特征在于,所述活动行为基线为基于所述待识别账号在最近一段时间内访问网络的访问行为记录计算得到的。
9.根据权利要求8所述的装置,其特征在于,还包括:
提取模块,用于从所述访问行为记录中提取访问行为特征;
计算模块,用于计算每个访问行为特征的熵值变化;
构成模块,用于基于每个访问行为特征的熵值变化,构成所述待识别账号的活动行为基线。
10.根据权利要求7所述的装置,其特征在于,所述用户信息库记录有所有用户账号的状态信息;则
所述判断模块,具体用于判断所述待识别账号在所述用户信息库中的状态信息是否被标记为离职;若判断结果为是,则确定所述待识别账号满足僵尸账号初步筛选条件;若判断结果为否,则确定所述待识别账号不满足僵尸账号初步筛选条件;
或者,所述用户信息库为离职用户信息库,则
所述判断模块,具体用于判断所述待识别账号是否在所述离职用户信息库中;若判断结果为是,则确定所述待识别账号满足僵尸账号初步筛选条件;若判断结果为否,则确定所述待识别账号不满足僵尸账号初步筛选条件。
CN202010790016.2A 2020-08-07 2020-08-07 一种账号识别方法及装置 Pending CN112070458A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010790016.2A CN112070458A (zh) 2020-08-07 2020-08-07 一种账号识别方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010790016.2A CN112070458A (zh) 2020-08-07 2020-08-07 一种账号识别方法及装置

Publications (1)

Publication Number Publication Date
CN112070458A true CN112070458A (zh) 2020-12-11

Family

ID=73660879

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010790016.2A Pending CN112070458A (zh) 2020-08-07 2020-08-07 一种账号识别方法及装置

Country Status (1)

Country Link
CN (1) CN112070458A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112991119A (zh) * 2021-04-12 2021-06-18 无锡奥特维科技股份有限公司 一种学员账号管理方法及装置
CN113256265A (zh) * 2021-06-09 2021-08-13 武汉唯众有道科技有限公司 一种人力资源管理系统

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101882245A (zh) * 2009-05-05 2010-11-10 北京博越世纪科技有限公司 一种自动化管理员工信息的技术
CN102946331A (zh) * 2012-10-10 2013-02-27 北京交通大学 一种社交网络僵尸用户检测方法及装置
US20160350165A1 (en) * 2015-05-28 2016-12-01 Microsoft Technology Licensing, Llc Detecting anomalous accounts using event logs
CN106886518A (zh) * 2015-12-15 2017-06-23 国家计算机网络与信息安全管理中心 一种微博账号分类的方法
CN107992520A (zh) * 2017-11-01 2018-05-04 广州供电局有限公司 一种基于用电行为轨迹的异常用电识别方法
CN108540431A (zh) * 2017-03-03 2018-09-14 阿里巴巴集团控股有限公司 账号类型的识别方法、装置和系统
CN108809745A (zh) * 2017-05-02 2018-11-13 中国移动通信集团重庆有限公司 一种用户异常行为检测方法、装置及系统
CN108960527A (zh) * 2018-07-25 2018-12-07 平安科技(深圳)有限公司 员工离职的预警方法及相关装置
CN109388921A (zh) * 2017-08-10 2019-02-26 顺丰科技有限公司 一种统一用户权限管理平台及运行方法
CN111445210A (zh) * 2020-03-27 2020-07-24 咪咕文化科技有限公司 账号清理方法、装置、电子设备及存储介质

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101882245A (zh) * 2009-05-05 2010-11-10 北京博越世纪科技有限公司 一种自动化管理员工信息的技术
CN102946331A (zh) * 2012-10-10 2013-02-27 北京交通大学 一种社交网络僵尸用户检测方法及装置
US20160350165A1 (en) * 2015-05-28 2016-12-01 Microsoft Technology Licensing, Llc Detecting anomalous accounts using event logs
CN106886518A (zh) * 2015-12-15 2017-06-23 国家计算机网络与信息安全管理中心 一种微博账号分类的方法
CN108540431A (zh) * 2017-03-03 2018-09-14 阿里巴巴集团控股有限公司 账号类型的识别方法、装置和系统
CN108809745A (zh) * 2017-05-02 2018-11-13 中国移动通信集团重庆有限公司 一种用户异常行为检测方法、装置及系统
CN109388921A (zh) * 2017-08-10 2019-02-26 顺丰科技有限公司 一种统一用户权限管理平台及运行方法
CN107992520A (zh) * 2017-11-01 2018-05-04 广州供电局有限公司 一种基于用电行为轨迹的异常用电识别方法
CN108960527A (zh) * 2018-07-25 2018-12-07 平安科技(深圳)有限公司 员工离职的预警方法及相关装置
CN111445210A (zh) * 2020-03-27 2020-07-24 咪咕文化科技有限公司 账号清理方法、装置、电子设备及存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112991119A (zh) * 2021-04-12 2021-06-18 无锡奥特维科技股份有限公司 一种学员账号管理方法及装置
CN113256265A (zh) * 2021-06-09 2021-08-13 武汉唯众有道科技有限公司 一种人力资源管理系统

Similar Documents

Publication Publication Date Title
CN107888574B (zh) 检测数据库风险的方法、服务器及存储介质
CN110399925B (zh) 账号的风险识别方法、装置及存储介质
CN106384273B (zh) 恶意刷单检测系统及方法
CN103026345B (zh) 用于事件监测优先级的动态多维模式
CN112329811B (zh) 异常账号识别方法、装置、计算机设备和存储介质
CN113765881A (zh) 异常网络安全行为的检测方法、装置、电子设备及存储介质
CN110825757B (zh) 一种设备行为风险分析方法及系统
CN111523996A (zh) 一种审批方法及系统
CN109670852A (zh) 用户分类方法、装置、终端及存储介质
CN107483381B (zh) 关联账户的监控方法及装置
CN112070458A (zh) 一种账号识别方法及装置
CN101197676A (zh) 认证系统的管理方法
CN107346310B (zh) 一种账号申诉处理方法及服务器
CN108537243B (zh) 一种违规告警方法及装置
CN105824805B (zh) 一种识别方法及装置
CA2965543A1 (en) System and method for real time detection and prevention of segregation of duties violations in business-critical applications
CN111126844A (zh) 涉众型风险企业的评估方法、装置、设备及存储介质
CN110191097B (zh) 登录页面安全性的检测方法、系统、设备及存储介质
CN112511535A (zh) 一种设备检测方法、装置、设备及存储介质
CN114461864A (zh) 一种告警溯源方法和装置
CN111625700B (zh) 防抓取的方法、装置、设备及计算机存储介质
CN108234484A (zh) 用于追溯木马源的计算机可读存储介质和应用该介质的木马源追溯系统
CN109636578B (zh) 信贷信息的风险检测方法、装置、设备及可读存储介质
CN111147441A (zh) 网络购票的舞弊行为自动检测方法、设备及可读存储介质
CN116185785A (zh) 文件异常变更的预警方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20201211