异常账户确定方法、装置及存储介质与流程

1.本发明涉及网络安全领域，尤其涉及一种异常账户确定方法、装置及存储介质。


背景技术：

2.随着计算机技术的高速发展及互联网的广泛普及，电子邮件越来越多地应用于社会生产、生活、学习的各个方面，发挥着举足轻重的作用。人们在享受电子邮件带来便利、快捷的同时，又必须面对互联网的开放性、计算机软件漏洞等所带来的电子邮件安全问题。
3.邮件账户是网络攻击中最具有针对性的来源之一。攻击者寻求一切可能的方式进行账户破解，寻找一切有价值的信息资源。因此能够在海量的邮件日志中高效、准确的识别出异常的账户，并采取相关措施，保障邮件系统的安全性变得尤为重要。


技术实现要素：

4.本发明的实施例提供一种异常账户确定该方法、装置及存储介质，能够提高对邮件异常账户检测的准确性。
5.为达到上述目的，本发明的实施例采用如下技术方案：
6.第一方面，本发明的实施例提供一种异常账户确定方法，包括：
7.对各账户的登录地点数量进行统计，并基于所述各账户的登录地点数量得到异常阈值；
8.将对应的登录地点数量大于或等于所述异常阈值的账户，作为疑似异常账户；
9.对所述疑似异常账户在预设时间周期内的登录状态进行分析，确定所述疑似异常账户是否为目标异常账户；
10.若确定为所述目标异常账户，则进行告警提醒。
11.结合第一方面，在第一方面的第一种可能的实现方式中，所述基于所述各账户的登录地点数量得到异常阈值，包括：
12.计算所述各账户的登录地点数量的平均值；并将所述平均值与预设系数之间的乘积，作为所述异常阈值。
13.结合第一方面，在第一方面的第二种可能的实现方式中，所述对所述疑似异常账户在预设时间周期内的登录状态进行分析，确定所述疑似异常账户是否为目标异常账户，包括：
14.若所述疑似异常账户在连续n天均为疑似异常状态，则确定所述疑似异常账户为所述目标异常账户；其中，所述疑似异常状态为账户对应的登录地点数量大于或等于所述异常阈值的状态。
15.结合第一方面，在第一方面的第三种可能的实现方式中，所述对所述疑似异常账户在预设时间周期内的登录状态进行分析，确定所述疑似异常账户是否为目标异常账户，包括：
16.若所述疑似异常账户在连续m天内，作为疑似异常状态的天数占比大于或等于预
设比率阈值，则确定所述疑似异常账户为所述目标异常账户；其中，所述疑似异常状态为账户对应的登录地点数量大于或等于所述异常阈值的状态。
17.结合第一方面，在第一方面的第四种可能的实现方式中，所述对各账户的登录地点数量进行统计之前，还包括：
18.获取邮件账户的登录登出日志，并提取以下信息中的任意一项或任意组合：登录成功信息、登录失败信息、登出信息。
19.第二方面，本发明的实施例提供一种异常账户确定装置，包括：
20.统计模块，用于对各账户的登录地点数量进行统计，并基于所述各账户的登录地点数量得到异常阈值；
21.疑似异常分析模块，用于将对应的登录地点数量大于或等于所述异常阈值的账户，作为疑似异常账户；
22.确定异常分析模块，用于对所述疑似异常账户在预设时间周期内的登录状态进行分析，确定所述疑似异常账户是否为目标异常账户；
23.告警模块，用于当确定为所述目标异常账户时，进行告警提醒。
24.结合第二方面，在第二方面的第一种可能的实现方式中，
25.所述统计模块，还用于计算所述各账户的登录地点数量的平均值；并将所述平均值与预设系数之间的乘积，作为所述异常阈值。
26.结合第二方面，在第二方面的第二种可能的实现方式中，
27.所述确定异常分析模块，还用于当所述疑似异常账户在连续n天均为疑似异常状态时，确定所述疑似异常账户为所述目标异常账户；其中，所述疑似异常状态为账户对应的登录地点数量大于或等于所述异常阈值的状态。
28.结合第二方面，在第二方面的第三种可能的实现方式中，
29.所述确定异常分析模块，还用于当所述疑似异常账户在连续m天内，作为疑似异常状态的天数占比大于或等于预设比率阈值时，确定所述疑似异常账户为所述目标异常账户；其中，所述疑似异常状态为账户对应的登录地点数量大于或等于所述异常阈值的状态。
30.结合第二方面，在第二方面的第四种可能的实现方式中，所述装置还包括：
31.获取模块，用于获取邮件账户的登录登出日志，并提取以下信息中的任意一项或任意组合：登录成功信息、登录失败信息、登出信息。
32.第三方面，本发明的实施例提供一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述程序被处理器执行时实现第一方面提供的方法的步骤。
33.本发明实施例提供的异常账户确定方法、装置及存储介质，通过对各账户的登录地点数量进行统计，并基于所述各账户的登录地点数量得到异常阈值；将对应的登录地点数量大于或等于所述异常阈值的账户，作为疑似异常账户；对所述疑似异常账户在预设时间周期内的登录状态进行分析，确定所述疑似异常账户是否为目标异常账户；若确定为所述目标异常账户，则进行告警提醒。能够通过对疑似异常账户进行一定时间段内的持续跟踪，来确定该是否为异常账户，可以避免由于短期内ip地址频繁变动等原因导致的账户登录地点数量过多所引发的异常账户误判情况，从而可以提高异常账户判断的准确性，进一步可以保障邮件系统的安全性。
附图说明
34.为了更清楚地说明本发明实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。
35.图1是本发明实施例的异常账户确定方法的流程示意图；
36.图2是本发明实施例的异常账户确定方法的另一流程示意图；
37.图3是本发明实施例的异常账户确定装置结构示意图；
38.图4是本发明实施例的异常账户确定装置的另一结构示意图；
39.图5是本发明实施例的异常账户确定装置500的结构示意图。
具体实施方式
40.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
41.本发明一实施例提供一种异常账户确定方法，如图1所示，所述方法包括：
42.101、对各账户的登录地点数量进行统计，并基于所述各账户的登录地点数量得到异常阈值。
43.102、将对应的登录地点数量大于或等于所述异常阈值的账户，作为疑似异常账户。
44.103、对所述疑似异常账户在预设时间周期内的登录状态进行分析，确定所述疑似异常账户是否为目标异常账户。
45.104、若确定为所述目标异常账户，则进行告警提醒。
46.与现有技术相比，本发明实施例能够通过对疑似异常账户进行一定时间段内的持续跟踪，来确定该是否为异常账户，可以避免由于短期内ip地址频繁变动等原因导致的账户登录地点数量过多所引发的异常账户误判情况，从而可以提高异常账户判断的准确性，进一步可以保障邮件系统的安全性。
47.本发明又一实施例提供一种异常账户确定方法，如图2所示，所述方法包括：
48.201、获取邮件账户的登录登出日志，并提取以下信息中的任意一项或任意组合：登录成功信息、登录失败信息、登出信息。
49.对于本发明实施例，通过对邮件登录登出日志的关键信息提取，可以分析得到该邮件账户的不同登录地点数量。
50.202、对各账户的登录地点数量进行统计。
51.在发明实施例中，账户对应的登录地点数量的统计以天为单位。可以理解的，任何其他时间单位进行统计并依照本发明实施例进行异常账户的确定的方式，均在本发明实施例的保护范围内。例如，对每小时内账户登录地点数量的统计；再例如，每12小时内账户登录地点数量的统计；再例如，每周内账户登录地点数量的统计。
52.203、计算所述各账户的登录地点数量的平均值；并将所述平均值与预设系数之间
的乘积，作为所述异常阈值。
53.对于本发明实施例，预设系数可以为大于1的数，也可以为小于1的数，也可以等于1，本发明实施例不做限制。在本发明实施例中，可以根据实际需求预先设置该预设系数的值，也可以根据对历史数据中账户异常状态分析的情况，后台系统对该预设系数的值进行自适应的调整，从而以提升账户是否异常的判断准确性。
54.一种可选地实施例，该预设系数的值等于1，即将所述各账户的登录地点数量的平均值作为所述异常阈值。例如，各账户的登录地点数量的平均值等于5，则将登陆地点数量大于或等于5的账户作为疑似异常账户。
55.另一种可选地实施例，该预设系数的值大于1。例如预设系数的值为1.2，各账户的登录地点数量的平均值等于5，则将登陆地点数量大于或等于6的账户作为疑似异常账户。在本发明实施例中，通过将预设系数的值设置为大于1的数，能够进一步避免由于ip地址的频繁变动等原因导致的账户登录地点数量过多所引发的异常账户误判情况，从而可以进一步提高异常账户判断的准确性。
56.另一种可选地实施例，该预设系数的值小于1。例如预设系数的值为0.8，各账户的登录地点数量的平均值等于5，则将登陆地点数量大于或等于4的账户作为疑似异常账户。在本发明实施例中，通过将预设系数的值设置为小于1的数，能够避免由于阈值过高导致账户异常漏判的情况，从而可以进一步提高异常账户判断的准确性。
57.204、将对应的登录地点数量大于或等于所述异常阈值的账户，作为疑似异常账户。
58.205、对所述疑似异常账户在预设时间周期内的登录状态进行分析，确定所述疑似异常账户是否为目标异常账户。
59.一种可选地实施例中，步骤205可以为：若所述疑似异常账户在连续n天均为疑似异常状态，则确定所述疑似异常账户为所述目标异常账户；其中，所述疑似异常状态为账户对应的登录地点数量大于或等于所述异常阈值的状态。在发明实施例中，账户对应的登录地点数量的统计以天为单位。
60.例如，n等于3，则当疑似异常账户连续3天均表现为疑似异常状态时，确定该账户为目标异常账户。
61.一种可选地实施例中，步骤205可以为：若所述疑似异常账户在连续m天内，作为疑似异常状态的天数占比大于或等于预设比率阈值，则确定所述疑似异常账户为所述目标异常账户；其中，所述疑似异常状态为账户对应的登录地点数量大于或等于所述异常阈值的状态。在发明实施例中，账户对应的登录地点数量的统计以天为单位。
62.例如，m等于5，并且预设比率阈值为0.8，则当疑似异常账户在连续5天内，有4天表现为疑似异常状态时，确定该账户为目标异常账户。
63.206、若确定为所述目标异常账户，则进行告警提醒。
64.对于本发明实施例，当确定为目标异常账户时，还可以对账户进行禁止操作等限制，从而保障邮件系统的安全性。
65.与现有技术相比，本发明实施例能够通过对疑似异常账户进行一定时间段内的持续跟踪，来确定该是否为异常账户，可以避免由于短期内ip地址频繁变动等原因导致的账户登录地点数量过多所引发的异常账户误判情况，从而可以提高异常账户判断的准确性，
进一步可以保障邮件系统的安全性。
66.本发明又一实施例提供一种异常账户确定装置，如图3所示，所述装置包括：
67.统计模块31，用于对各账户的登录地点数量进行统计，并基于所述各账户的登录地点数量得到异常阈值；
68.疑似异常分析模块32，用于将对应的登录地点数量大于或等于所述异常阈值的账户，作为疑似异常账户；
69.确定异常分析模块33，用于对所述疑似异常账户在预设时间周期内的登录状态进行分析，确定所述疑似异常账户是否为目标异常账户；
70.告警模块34，用于当确定为所述目标异常账户时，进行告警提醒。
71.所述统计模块31，还用于计算所述各账户的登录地点数量的平均值；并将所述平均值与预设系数之间的乘积，作为所述异常阈值。
72.所述确定异常分析模块33，还用于当所述疑似异常账户在连续n天均为疑似异常状态时，确定所述疑似异常账户为所述目标异常账户；其中，所述疑似异常状态为账户对应的登录地点数量大于或等于所述异常阈值的状态。
73.所述确定异常分析模块33，还用于当所述疑似异常账户在连续m天内，作为疑似异常状态的天数占比大于或等于预设比率阈值时，确定所述疑似异常账户为所述目标异常账户；其中，所述疑似异常状态为账户对应的登录地点数量大于或等于所述异常阈值的状态。
74.进一步的，如图4所示，所述装置还包括：
75.获取模块41，用于获取邮件账户的登录登出日志，并提取以下信息中的任意一项或任意组合：登录成功信息、登录失败信息、登出信息。
76.与现有技术相比，本发明实施例能够通过对疑似异常账户进行一定时间段内的持续跟踪，来确定该是否为异常账户，可以避免由于短期内ip地址频繁变动等原因导致的账户登录地点数量过多所引发的异常账户误判情况，从而可以提高异常账户判断的准确性，进一步可以保障邮件系统的安全性。
77.本发明实施例还提供另一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中的存储器中所包含的计算机可读存储介质；也可以是单独存在，未装配入终端中的计算机可读存储介质。所述计算机可读存储介质存储有一个或者一个以上程序，所述一个或者一个以上程序被一个或者一个以上的处理器用来执行图1、图2所示实施例提供的异常账户确定方法。
78.本发明实施例提供的异常账户去确定装置可以实现上述提供的方法实施例，具体功能实现请参见方法实施例中的说明，在此不再赘述。本发明实施例提供的异常账户确定方法、装置及存储介质可以适用于确定邮件账户的登录状态是否异常，但不仅限于此。
79.如图5所示，异常账户确定装置500可以是移动电话，计算机，数字广播终端，消息收发设备，游戏控制台，平板设备，个人数字助理等。
80.参照图5，异常账户确定装置500可以包括以下一个或多个组件：处理组件502，存储器504，电源组件506，多媒体组件508，音频组件510，输入/输出(i/o)的接口512，传感器组件514，以及通信组件516。
81.处理组件502通常控制无人机控制装置500的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理组件502可以包括一个或多个处理器520
来执行指令。
82.此外，处理组件502可以包括一个或多个模块，便于处理组件502和其他组件之间的交互。例如，处理组件502可以包括多媒体模块，以方便多媒体组件508和处理组件502之间的交互。
83.存储器504被配置为存储各种类型的数据以支持在无人机控制装置500的操作。这些数据的示例包括用于在无人机控制装置500上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器504可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(sram)，电可擦除可编程只读存储器(eeprom)，可擦除可编程只读存储器(eprom)，可编程只读存储器(prom)，只读存储器(rom)，磁存储器，快闪存储器，磁盘或光盘。
84.电源组件506为无人机控制装置500的各种组件提供电力。电源组件506可以包括电源管理系统，一个或多个电源，及其他与为无人机控制装置500生成、管理和分配电力相关联的组件。
85.多媒体组件508包括在所述无人机控制装置500和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器(lcd)和触摸面板(tp)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体组件508包括一个前置摄像头和/或后置摄像头。当无人机控制装置500处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
86.音频组件510被配置为输出和/或输入音频信号。例如，音频组件510包括一个麦克风(mic)，当无人机控制装置500处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器504或经由通信组件516发送。在一些实施例中，音频组件510还包括一个扬声器，用于输出音频信号。
87.i/o接口512为处理组件502和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。
88.传感器组件514包括一个或多个传感器，用于为无人机控制装置500提供各个方面的状态评估。例如，传感器组件514可以检测到无人机控制装置500的打开/关闭状态，组件的相对定位，例如所述组件为无人机控制装置500的显示器和小键盘，传感器组件514还可以检测无人机控制装置500或无人机控制装置500一个组件的位置改变，用户与无人机控制装置500接触的存在或不存在，无人机控制装置500方位或加速/减速和无人机控制装置500的温度变化。传感器组件514可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件514还可以包括光传感器，如cmos或ccd图像传感器，用于在成像应用中使用。在一些实施例中，该传感器组件514还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。
89.通信组件516被配置为便于无人机控制装置500和其他设备之间有线或无线方式的通信。无人机控制装置500可以接入基于通信标准的无线网络，如wifi，2g或3g，或它们的组合。在一个示例性实施例中，通信组件516经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，所述通信组件516还包括近场通信(nfc)模块，以促进短程通信。例如，在nfc模块可基于射频识别(rfid)技术，红外数据协会(irda)技术，超宽带(uwb)技术，蓝牙(bt)技术和其他技术来实现。
90.在示例性实施例中，无人机控制装置500可以被一个或多个应用专用集成电路(asic)、数字信号处理器(dsp)、数字信号处理设备(dspd)、可编程逻辑器件(pld)、现场可编程门阵列(fpga)、控制器、微控制器、微处理器或其他电子元件实现。
91.本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于设备实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。
92.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(read-only memory，rom)或随机存储记忆体(random access memory，ram)等。
93.以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。