本發(fā)明提供了一種異常賬號檢測方法，包括：接收上傳的業(yè)務請求，查找所述業(yè)務請求對應的發(fā)起帳號；從所述業(yè)務請求中提取相應的請求參數(shù)，所述請求參數(shù)包括至少一種行為標簽，且所述行為標簽的標簽類型包括業(yè)務標識、時間區(qū)間、IP地址、發(fā)起位置、系統(tǒng)類型、版本標識、業(yè)務數(shù)據(jù)數(shù)值區(qū)間或關(guān)聯(lián)賬號中的至少一種；根據(jù)所述請求參數(shù)更新與所述發(fā)起賬號對應的統(tǒng)計信息，所述統(tǒng)計信息包括與行為標簽各自對應的訪問次數(shù)；根據(jù)所述統(tǒng)計信息判斷所述發(fā)起賬號是否為異常賬號。此外，還提供了一種異常賬號檢測裝置。上述異常賬號檢測方法和裝置能夠提高準確性。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡安全技術(shù)領(lǐng)域，特別是涉及一種異常賬號檢測方法及裝置。

背景技術(shù)

目前互聯(lián)網(wǎng)上帳號密碼泄漏很嚴重，經(jīng)常發(fā)生盜號事件。盜號者在盜取賬號密碼后，通常會向盜取的賬號對應的好友發(fā)送色情廣告、詐騙、病毒鏈接等消息，擾亂用戶的日常生活，因此，需要對這種異常賬號進行檢測。

傳統(tǒng)技術(shù)中檢測異常賬號的方法通常基于IP段，通過統(tǒng)計接收到的指令類型的分布判斷該IP段是否被盜號者所占用，從而將該IP段下的賬號判定為異常賬號。

然而，盜號者可通過撥號、代理IP等手段繞過上述檢測方法，且對IP段進行判定也容易將該IP段下的正常賬號（例如同一個網(wǎng)關(guān)下子網(wǎng)中的其他用戶賬號）誤判為異常賬號，使得對異常賬號的判定準確度不高。

發(fā)明內(nèi)容

基于此，有必要提供一種能夠提高準確度的異常賬號檢測方法。

一種異常賬號檢測方法，包括：

接收上傳的業(yè)務請求，查找所述業(yè)務請求對應的發(fā)起帳號；

從所述業(yè)務請求中提取相應的請求參數(shù)，所述請求參數(shù)包括至少一種行為標簽，且所述行為標簽的標簽類型包括業(yè)務標識、時間區(qū)間、IP地址、發(fā)起位置、系統(tǒng)類型、版本標識、業(yè)務數(shù)據(jù)數(shù)值區(qū)間或關(guān)聯(lián)賬號中的至少一種；

根據(jù)所述請求參數(shù)更新與所述發(fā)起賬號對應的統(tǒng)計信息，所述統(tǒng)計信息包括與行為標簽各自對應的訪問次數(shù)；

根據(jù)所述統(tǒng)計信息判斷所述發(fā)起賬號是否為異常賬號。

此外，還有必要提供一種能夠提高準確度的異常賬號檢測裝置

一種異常賬號檢測裝置，包括：

請求接收模塊，用于接收上傳的業(yè)務請求，查找所述業(yè)務請求對應的發(fā)起帳號；

標簽提取模塊，用于從所述業(yè)務請求中提取相應的請求參數(shù)，所述請求參數(shù)包括至少一種行為標簽，且所述行為標簽的標簽類型包括業(yè)務標識、時間區(qū)間、IP地址、發(fā)起位置、系統(tǒng)類型、版本標識、業(yè)務數(shù)據(jù)數(shù)值區(qū)間或關(guān)聯(lián)賬號中的至少一種；

統(tǒng)計信息更新模塊，用于根據(jù)所述請求參數(shù)更新與所述發(fā)起賬號對應的統(tǒng)計信息，所述統(tǒng)計信息包括與行為標簽各自對應的訪問次數(shù)；

異常判定模塊，用于根據(jù)所述統(tǒng)計信息判斷所述發(fā)起賬號是否為異常賬號。

上述異常賬號檢測方法和裝置基于發(fā)起賬號對應的歷史發(fā)送的業(yè)務請求中包含的行為標簽的訪問次數(shù)的統(tǒng)計信息對發(fā)起賬號進行判定，和傳統(tǒng)技術(shù)中基于IP段的模擬測試方法相比，直接關(guān)注發(fā)起賬號的業(yè)務請求歷史記錄，不會造成對IP段進行封殺時，對該IP段下子網(wǎng)中的其他正常賬號進行封殺，從而提高了準確性。且根據(jù)請求參數(shù)中提取的多種行為標簽的訪問次數(shù)進行判定，可參考用戶的歷史訪問記錄，即該用戶的瀏覽興趣和操作習慣，由于盜號者使用異常賬號的操作習慣通常與該賬號的用戶使用時的操作習慣相差較大，因此，檢測異常賬號的準確性也得到提高。

附圖說明

圖1為一個實施例中異常賬號檢測方法的流程圖；

圖2為一個實施例中異常賬號判定過程的流程圖；