一种帐号风险识别方法及装置与流程

本发明涉及信息安全技术领域，特别是涉及一种帐号风险识别方法及装置。

背景技术：

近年来，随着电子化及网络化的日益发展，信息的传播途径日新月异。移动社交、网上购物以及游戏等互联网业务已深入到人们生活和工作的各个方面。用户不仅可以使用同一帐号登录不同的应用平台(例如，用户可以使用QQ帐号通过电脑登录QQ客户端、游戏网页或其他电子商务等平台)，同时也可以使用不同的终端设备对不同应用程序进行访问(例如，用户也可以使用智能手机通过QQ帐号访问QQ客户端、游戏网页或其他电子商务网页等平台)。同一帐号在不同平台或不同终端的使用虽然在极大程度上为用户的操作提供了便利，但同时也具有一定的风险。例如，不法分子可能通过钓鱼网站或木马盗号等途径获取用户的帐号信息导致用户的帐号密码泄露，同时也可能给用户带来巨大的财产损失。因此用户帐号信息的安全问题显得尤为重要。

现有技术中，一般是基于用户的常用登录地理位置以及用户的常用设备信息在用户登录帐号时进行帐号风险识别，而无法处理由于用户cookie丢失而对帐号直接进行访问等情况。因此，现有技术对帐号风险的识别方案可靠性差，准确度低。

技术实现要素：

有鉴于此，本发明提供一种帐号风险识别方法及装置，以解决现有的帐号风险识别方案的准确度低的问题。

第一方面，本发明实施例提供了一种帐号风险识别方法，包括：

获取目标帐号的行为数据，所述行为数据包括当前登录或访问所述目标帐号的设备信息、IP地址和登录或访问尝试次数；

将所述行为数据分别与所述目标帐号的历史行为数据及预设异常操作识别策略进行匹配；

根据匹配结果确定所述目标帐号的风险系数。

第二方面，本发明实施例提供了一种帐号风险识别装置，包括：

数据获取模块，用于获取目标帐号的行为数据，所述行为数据包括当前登录或访问所述目标帐号的设备信息、IP地址和登录或访问尝试次数；

匹配模块，用于将所述行为数据分别与所述目标帐号的历史行为数据及预设异常操作识别策略进行匹配；

风险系数确定模块，用于根据匹配结果确定所述目标帐号的风险系数。

本发明实施例提供的帐号风险识别方案，通过将获取到的目标帐号的行为数据与目标帐号的历史行为数据以及预设异常操作识别策略相匹配后，根据匹配结果可准确地确定出目标帐号存在的安全性问题，即目标帐号的风险系数。通过采用上述技术方案，可提升目标帐号风险识别的准确度，进而保证目标帐号的安全。

附图说明

通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显：

图1是本发明实施例一提供的一种帐号风险识别方法的流程示意图；

图2是本发明实施例二提供的一种帐号风险识别方法的流程示意图；

图3是本发明实施例三提供的一种帐号风险识别装置的结构框图。

具体实施方式

下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部内容。

另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部内容。在更加详细地讨论示例性实施例之前应当提到的是，一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作(或步骤)描述成顺序的处理，但是其中的许多操作可以被并行地、并发地或者同时实施。此外，各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止，但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。

实施例一

图1是本发明实施例一提供的一种帐号风险识别方法的流程示意图。本实施例的方法可由帐号风险识别装置来执行，其中该装置可由软件和/或硬件实现。如图1所示，本实施例提供的帐号风险识别方法具体包括如下步骤：

步骤110、获取目标帐号的行为数据，所述行为数据包括当前登录或访问目标帐号的设备信息、IP地址和登录或访问尝试次数。

其中，目标帐号为对于某一应用程序或某一网页，后台服务器所能监测到的已经完成用户注册的帐号，如QQ帐号、微信帐号、论坛帐号及购物网站帐号等。

当后台服务器监测到目标帐号在被登录或访问时，将自动获取到登录或访问该目标帐号的终端设备的设备信息(如设备号)。由于同一目标帐号可在不同的设备登录，因此，设备信息可作为帐号风险识别的依据。

示例性的，当目标帐号在被登录或访问时，后台服务器还可以获取到目标帐号所在终端的IP地址(Internet Protocol Address，网际协议地址)。由于通过终端的IP地址可从IP地理位置数据库中获取终端对应的地理位置，因此所获取的地理位置信息可作为当前目标帐号被登录或访问时的地理位置信息。因此，通过IP地址可以检测到目标帐号是否在常用地理位置被登录或访问。

示例性的，在预设时间范围内，目标帐号登录或访问的尝试次数超出预先设置的次数，或者，在某一设备或某一IP地址登录或访问该目标帐号的尝试次数超出预先设置的次数时，后台服务器可将目标帐号、或当前IP地址或当前设备的设备号尝试登录或访问的行为识别为一种风险行为。因此登录或访问尝试次数也可以作为帐号风险识别的主要依据。

步骤120、将行为数据分别与目标帐号的历史行为数据及预设异常操作识别策略进行匹配。

其中，目标帐号的历史行为数据主要包括目标帐号在被用户注册后，用户登录或访问目标帐号的常用设备信息以及常用IP地址。上述历史行为数据的获取方式可以为：后台服务器在预设时间段内通过统计登录或访问目标帐号的设备信息或IP地址后进行确定。其中，预设时间段可预先进行设置，例如可优选为6个月。示例性的，预设时间段也可根据用户的具体设置情况实时更新。

其中，预设异常操作可包括：目标帐号在预设时间内发起登录或访问的尝试次数超过预设次数阈值，或者，同一设备或同一IP地址在预设时间内发起登录或访问所述目标帐号的尝试次数超过预设次数阈值。其中，预设次数阈值是通过统计大量不同帐号在不同情况下的操作而得出的经验值。一般优选为每小时发起登录或访问请求的次数为15次。

示例性的，将行为数据分别与目标帐号的历史行为数据及预设异常操作识别策略进行匹配，主要包括但不局限于以下三种情况：

1、将当前登录或访问目标帐号的设备信息与目标帐号对应的历史设备信息进行匹配；例如，若当前登录或访问目标帐号的设备信息与通过统计所确定的目标帐号对应的历史设备信息不相同时，可初步确定当前目标帐号可能存在一定的风险性；

2、将当前登录或访问目标帐号的IP地址与目标帐号对应的历史IP地址进行匹配；具体的，当不法分子可通过代理IP对目标帐号进行登录或访问，此时的IP地址可能与目标帐号对应的历史IP地址不同。因此，当前目标帐号可能存在一定的风险性；

3、将登录或访问尝试次数与预设次数阈值进行匹配。示例性的，具体实施方式可包括如下：若目标帐号在预设时间内发起登录请求的次数超过预设次数阈值，则可表明该帐号存在一定的风险；可以将同一设备在预设时间内登录或访问目标帐号的尝试次数与预设次数阈值相比较，若超过预设次数阈值，则可说明当前设备可能正在被不法分子使用，进而也可以说明当前设备所要登录或访问的目标帐号也存在一定风险；也可以将同一IP地址在预设时间内登录或访问目标帐号的尝试次数与预设次数阈值相比较，若超过预设次数阈值，则可说明当前IP地址存在一定风险，进而也可说明在当前IP地址下发起登录或访问请求的目标帐号也存在一定的风险。

对于前两种情况，从用户角度出发，采用白名单策略，对帐号正常行为进行采集，真实用户的习惯和行为是很难被机械化批量模仿的。撞库的攻击者即便使用大量代理IP并控制频率来逃离对异常的捕获，也难以跟用户的常用地、常用设备等信息相匹配。对于第三种情况，从攻击者的角度出发，采用了黑名单策略，充分考虑到了攻击行为发生时的特点。基于上述三种情况的匹配判断，可有效提升目标帐号风险识别的准确度。

需要说明的是，上述三种不同的匹配方式可同时进行判断并确定匹配结果；也可逐项判断后确定匹配结果，即某种匹配方式所需行为数据获取完毕时，即可进行执行该匹配方式的相关步骤，可有效提升风险识别的时效性。当每出现上述任意一种情况时，目标帐号的风险性就加深一次。当上述三种情况都不能成功匹配时，目标帐号的风险最大。

步骤130、根据匹配结果确定目标帐号的风险系数。

其中，风险系数用于描述目标帐号存在风险的可能性的高低，具体可理解为风险的严重程度，风险系数越高，说明目标帐号的安全性越低。示例性的，对于以下两种情况：1、后台服务器只能统计出在预设时间段内同一帐号登录的次数超过了预设次数阈值；2、后台服务器不仅统计出在预设时间段内同一帐号登录的次数超过了预设次数阈值，同时还监测到该帐号的当前IP地址与其常用的IP地址不匹配。第二种情况的风险系数明显要比第一种情况的风险系数高。对于情况1，也可能是用户在忘记密码的情况下，为找回密码而进行的多次尝试。对于情况2，则表明当前帐号有可能被不法分子所盗取。因此，风险系数的确定可提高帐号风险识别方案的准确性。

本发明实施例一提供的一种帐号风险识别方法，在获取目标帐号的行为数据后，通过将行为数据与目标帐号的历史行为数据及预设异常操作识别策略进行匹配，根据匹配结果可以确定目标帐号的风险系数，提升了目标帐号风险识别的准确度，进而保证目标帐号的安全。

进一步的，在确定目标帐号的风险系数后，可根据风险系数确定目标帐号的风险等级，根据所确定的风险等级可执行相应的风险处理操作。示例性的，风险等级可设置为第一风险级别和第二风险级别。目标帐号的风险等级越高，其安全性越差。对于不同的风险等级相应的风险处理操作可包括如下方式：1、对于第一风险等级，可采用二次验证的方式。例如，可以向注册目标帐号时预留的通讯方式发送帐号异常通知信息以及验证码，通过询问用户当前对目标帐号发起的登录或访问请求是否为本人操作，并需要输入相应的验证码以进行验证。其中，预留的通讯方式可以为与目标帐号关联的手机号码或邮箱等。2、对于第二风险等级，由于此时目标帐号的安全性已经极为低下，因此可采用强制修改密码的形式，以保证目标帐号的安全。可以理解的是，本实施例对风险等级的数量不做具体限定，针对每个风险等级所进行的风险处理操作的具体内容也不做具体限定，可根据实际情况进行设定。此处优化的好处在于，便于对不同风险程度的帐号采取不同的措施，与现有方案中识别出帐号存在风险便采取一刀切的策略相比，提高了用户体验。

实施例二

图2是本发明实施例二提供的一种帐号风险识别方法的流程示意图。本实施例对上述实施例中的步骤“根据匹配结果确定目标帐号的风险系数”进行了细化。参考图2，本发明实施例具体包括如下步骤：

步骤210、获取目标帐号的行为数据，所述行为数据包括当前登录或访问目标帐号的设备信息、IP地址和登录或访问尝试次数。

步骤220、将行为数据分别与目标帐号的历史行为数据及预设异常操作识别策略进行匹配。

步骤230、识别目标帐号的登录或访问行为是否是机器行为。

示例性的，机器行为不同于用户的正常行为。若是用户对目标帐号进行正常的登录或访问操作时，随着登录或访问请求的提交，后台服务器可以捕获到用户所用终端的设备号。但是利用程序或脚本(机器行为)的登录或访问是无法生成设备号的。或者另一种情况是，若登录目标帐号时的cookie信息被攻击者(机器)盗取，并在另外一台设备上访问该目标帐号时，访问时的cookie信息与登录时的cookie信息不同。

示例性的，识别目标帐号的登录或访问行为是否是机器行为可包括以下方式：1、判断是否成功获取到设备号，若否，则识别出目标帐号的登录或访问行为是机器行为；2、判断在目标帐号被登录时获取的第一设备号与在目标帐号被访问时获取的第二设备号是否一致，若不一致，则识别出目标帐号的登录或访问行为是机器行为。

步骤240、根据匹配结果和识别结果确定目标帐号的风险系数。

其中，通过步骤230所确定的识别结果与步骤220所确定的匹配结果相结合，可进一步提升目标帐号风险识别的准确性。

示例性的，根据匹配结果和识别结果确定目标帐号的风险系数可包括：将每次匹配操作的结果和识别结果进行加权求和，得到目标帐号的风险系数。本实施例中，对加权求和步骤中所采用的权重系数不做限定，可根据其对应的匹配对象或识别对象对风险性影响的程度来确定。这样设置的好处在于，通过多维度的立体打分，得出一个帐号具体的风险系数数值，使得风险系数的确定更加合理，准确度更高。

本发明实施例二在上述实施例的基础上，将目标帐号的行为数据分别与目标帐号的历史行为数据及预设异常操作识别策略进行匹配后，通过识别目标帐号的登录或访问行为是否为机器行为，可将识别结果与匹配结果相结合提高目标帐号的风险系数的准确性，进而保证目标帐号的安全性，达到提升用户体验的效果。

实施例三

图3是本发明实施例三提供的一种帐号风险识别装置的结构框图，该装置可由软件和/或硬件实现，一般集成在后台服务器中。如图3所示，该装置包括：数据获取模块310、匹配模块320和风险系数确定模块330。

其中，数据获取模块310，用于获取目标帐号的行为数据，所述行为数据包括当前登录或访问所述目标帐号的设备信息、IP地址和登录或访问尝试次数；匹配模块320，用于将所述行为数据分别与所述目标帐号的历史行为数据及预设异常操作识别策略进行匹配；风险系数确定模块330，用于根据匹配结果确定所述目标帐号的风险系数。

本发明实施例三提供的一种帐号风险识别装置，在获取目标帐号的行为数据后，通过将行为数据与目标帐号的历史行为数据及预设异常操作识别策略进行匹配，根据匹配结果可以确定目标帐号的风险系数，提升了目标帐号风险识别的准确度，进而保证目标帐号的安全。

在上述实施例的基础上，所述风险系数确定模块330包括：机器行为识别单元，用于识别所述目标帐号的登录或访问行为是否是机器行为；风险系数确定单元，用于根据匹配结果和识别结果确定所述目标帐号的风险系数。

在上述实施例的基础上，所述机器行为识别单元具体用于：判断是否成功获取到设备号，若否，则识别出所述目标帐号的登录或访问行为是机器行为；或，判断在所述目标帐号被登录时获取的第一设备号与在所述目标帐号被访问时获取的第二设备号是否一致，若不一致，则识别出所述目标帐号的登录或访问行为是机器行为。

在上述实施例的基础上，所述匹配模块320具体用于：将当前登录或访问所述目标帐号的设备信息与所述目标帐号对应的历史设备信息进行匹配；将当前登录或访问所述目标帐号的IP地址与所述目标帐号对应的历史IP地址进行匹配；将登录或访问尝试次数与预设次数阈值进行匹配。

在上述实施例的基础上，所述风险系数确定单元具体用于：将每次匹配操作的结果和识别结果进行加权求和，得到所述目标帐号的风险系数。

在上述实施例的基础上，该装置还包括：风险等级确定模块，用于在根据匹配结果和识别结果确定所述目标帐号的风险系数之后，根据所述风险系数确定所述目标帐号的风险等级；风险处理模块，用于根据所确定的风险等级执行相应的风险处理操作。

上述实施例中提供的帐号风险识别装置可执行本发明任意实施例所提供的帐号风险识别方法，具备执行方法相应的功能模块和有益效果。未在上述实施例中详尽描述的技术细节，可参见本发明任意实施例所提供的帐号风险识别方法。

注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。