黑客账号的检测方法和装置与流程
本申请涉及计算机应用领域,特别是涉及黑客账号的检测方法和装置。
背景技术:
黑客账号,又称后门账号,即黑客通过非法手段入侵用户机器后,在用户机器上创建系统账号(即,管理员账号),用于登录用户机器上的操作系统。如果黑客账号不被及时检测出并被清除掉,将一直被黑客用来控制用户机器上的操作系统,继而给用户带来极大的安全隐患。
但是,在实现本申请的过程中,本申请的发明人发现现有技术中至少存在如下问题:黑客账号与用户的合法账号在系统属性上并无明显的区别,很难检测出某一个账号是黑客账号还是用户的合法账号。目前,现有技术中还没有可自动检测黑客账号的有效手段。
技术实现要素:
为了解决上述技术问题,本申请实施例提供了黑客账号的检测方法和装置,以实现对黑客账号的自动检测,保护用户机器,加强安全防范。
根据本申请的第一方面的第一种可能的实现方式,本申请提供一种黑客账号的检测方法,包括:
检测系统账号的创建属主在创建所述系统账号时的登录状态;
如果所述系统账号的创建属主在创建所述系统账号时处于未登录状态,确定所述系统账号是黑客账号。
结合第一方面的第一种可能的第二种可能的实现方式,所述方法还包括:
在确定所述系统账号是黑客账号之前,检测所述系统账号是否是异地登录;
则所述确定所述系统账号是黑客账号为:
如果所述系统账号是异地登录,确定所述系统账号是黑客账号。
结合第一方面的第一种可能或者第二种可能的第三种可能的实现方式, 所述方法还包括:
在确定所述系统账号是黑客账号之前,检测所述系统账号是否具有预设的隐藏特征;
则所述确定所述系统账号是黑客账号为:
如果所述系统账号具有预设的隐藏特征,确定所述系统账号是黑客账号。
结合第一方面的第三种可能的第四种可能的实现方式,所述预设的隐藏特征包括:以预设的符号作为结尾符号,和/或,与操作系统出厂时内置的账号的相似度值大于或等于预设的相似度阈值。
结合第一方面的第一种至第四种可能的任意一种的第五种可能的实现方式,所述方法还包括:
检测所述系统账号的创建时间是否先于登录时间,并且两者之间的时间差是否小于或等于预设的时间差阈值;
则所述确定所述系统账号是黑客账号为:
如果所述系统账号的创建时间先于登录时间,并且两者之间的时间差小于或等于预设的时间差阈值,确定所述系统账号是黑客账号。
结合第一发明的第一种可能的第六种可能的实现方式,所述方法还包括:在确定所述系统账号是黑客账号之后,从用户机器上清除所述黑客账号。
结合第一方面的第二种可能的第七种可能的实现方式,所述检测所述系统账号是否是异地登录,包括:
获取所述系统账号登录的操作系统的管理员使用的登录地址;
识别所述系统账号的登录地址是否为所述管理员使用的登录地址,如果否,确定所述系统账号是异地登录,如果是,确定所述系统账号是本地登录。
根据本申请的第二方面的第一种可能的实现方式,本申请提供一种黑客账号的检测装置,包括:
第一检测单元,用于检测系统账号的创建属主在创建所述系统账号时的登录状态;
检测结果确定单元,用于如果所述系统账号的创建属主在创建所述系统账号时处于未登录状态,确定所述系统账号是黑客账号。
结合第二方面的第一种可能的第二种可能的实现方式,所述方法还包括:
所述装置还包括:
第二检测单元,用于在确定所述系统账号是黑客账号之前,检测所述系统账号是否是异地登录;
则所述检测结果确定单元用于,如果所述系统账号是异地登录,确定所述系统账号是黑客账号。
结合第二方面的第一种可能或者第二种可能的第三种可能的实现方式,所述装置还包括:
第三检测单元,用于在确定所述系统账号是黑客账号之前,检测所述系统账号是否具有预设的隐藏特征;
则所述检测结果确定单元用于:如果所述系统账号具有预设的隐藏特征,确定所述系统账号是黑客账号。
结合第二方面的第三种可能的第四种可能的实现方式,所述预设的隐藏特征包括:以预设的符号作为结尾符号,和/或,与操作系统出厂时内置的账号的相似度值大于或等于预设的相似度阈值。
结合第二方面的第一种至第四种可能的任意一种的第五种可能的实现方式,所述装置还包括:
第四检测单元,用于检测所述系统账号的创建时间是否先于登录时间,并且两者之间的时间差是否小于或等于预设的时间差阈值;
则所述检测结果确定单元用于:如果所述系统账号的创建时间先于登录时间,并且两者之间的时间差小于或等于预设的时间差阈值,确定所述系统账号是黑客账号。
结合第二发明的第一种可能的第六种可能的实现方式,所述装置还包括:
清除单元,用于在确定所述系统账号是黑客账号之后,从用户机器上清除所述黑客账号。
结合第一方面的第二种可能的第七种可能的实现方式,所述第二检测单元包括:
获取子单元,用于获取所述系统账号登录的操作系统的管理员使用的登录地址;
识别子单元,用于识别所述系统账号的登录地址是否为所述管理员使用 的登录地址,如果否,确定所述系统账号为异地登录,如果是,确定所述系统账号是本地登录。
由上述实施例可以看出,与现有技术相比,本申请的优点在于:
根据黑客账号的创建属主的属性作为检测黑客账号的标准,以提供了一种自动检测黑客账号的方案,保护了用户机器,加强了安全防范。
另外,还将黑账账号的异地登录、黑客账号的隐藏特征以及黑客账号的创建时间和登录时间的作为检测黑客账号的辅助标准,以进一步提高检测黑客账号的准确度。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1示意性地示出了根据本申请实施例的一种黑客账号的检测方法的流程图;
图2示意性地示出了根据本申请实施例的另一种黑客账号的检测方法的流程图;
图3示意性地示出了根据本申请实施例的黑客异地登录的场景示意图;
图4示意性地示出了根据本申请实施例的另一种黑客账号的检测方法的流程图;
图5示意性地示出了根据本申请实施例的另一种黑客账号的检测方法的流程图;
图6示意性地示出了根据本申请实施例的另一种黑客账号的检测方法的流程图;
图7示意性地示出了根据本申请实施例的一种用于黑客账号检测的漏斗模型的示意图;
图8示意性地示出了根据本申请实施例的一种黑客账号的检测装置的结构框架图
图9示意性地示出了根据本申请实施例的另一种黑客账号的检测装置的 结构框架图;
图10示意性地示出了根据本申请实施例的另一种黑客账号的检测装置的结构框架图;
图11示意性地示出了根据本申请实施例的另一种黑客账号的检测装置的结构框架图
图12示意性地示出了根据本申请实施例的另一种黑客账号的检测装置的结构框架图。
具体实施方式
为使本申请的上述目的、特征和优点能够更加明显易懂,下面结合附图对本申请实施例进行详细描述。
方法实施例
请参阅图1,图1示意性地示出了根据本申请实施例的一种黑客账号的检测方法的流程图,例如,该方法可以由用户机器执行,用户机器可以是个人的PC机,也可以是各种类型的网站服务器,例如Web服务器,或者APP服务器。该方法例如可以包括以下步骤:
步骤101:检测系统账号的创建属主在创建所述系统账号时的登录状态;
步骤102:如果所述系统账号的创建属主在创建所述系统账号时处于未登录状态,确定所述系统账号是黑客账号。
本申请的发明人发现,通常黑客在入侵用户机器之后,会窃取用户机器上的其它账号,并将其它账号作为创建属主而主动地创建一个用于登录操作系统的黑客账号,而这类账号在创建黑客账号时是处于未登录状态的。因此,可以通过检测某一个系统账号的创建属主在创建该系统账号时的登录状态来确定该系统账号是否是一个黑客账号,即,当处于未登录状态时,可以确定该系统账号不是一个正常的系统账号,而是一个黑客账号。
其中,比较常见的,黑客会利用一些应用类的账号创建一个黑客账号,如,WebServer的账号或者FTP的账号。
当然,在本申请中,如果该系统账号的创建属主在创建所述系统账号时处于登录状态,可以暂时将该系统账号排除在黑客账号的范围之外。
另外,在本申请中,执行检测步骤的检测程序可以由操作系统的管理员启动,以便该检测程序具备各种检测的权限。
每当检测出一个系统账号是黑客账号时,即可将该黑客账号记录下来并放入预设的一个黑名单中。显然,在黑名单中维护了多个黑客账号。这样,在本申请的另一个可实施方式中,如图2所示,在检测系统账号的创建属主在创建所述系统账号时的登录状态之前,可以先判断该系统账号是否与黑名单中的黑客账号匹配,如果匹配,即可直接确定该系统账号是黑客账号,如果不匹配,再继续后续的检测步骤。
为了进一步提高检测黑客账号的准确度,下面分别描述其它三种检测方法,其它三种检测方法可以分别独立地与图1所示的检测方法进行结合,也可以共同与图1所示的检测方法进行结合,还可以将其它三种检测方法中的任意两种与图1所示的检测方法进行结合,以提高检测的准确度。并且,可以理解的,检测的维度越多,检测的准确度就越高。
为了描述方便,下面以其它几种检测方法中的每一种检测方法分别独立地与图1所示的检测方法进行结合实现检测为例进行说明。
本申请的发明人发现,黑客账号通常会采用与合法的系统账号不同的登录地址登录操作系统,如图3所示。因此,可以利用黑客账号是异地登录这个属性将黑客账号检测出来。
请参阅图4所示,如果系统账号的创建属主在创建所述系统账号时处于未登录状态,还可以进一步检测该系统账号是否是异地登录操作系统,如果是异地登录操作系统,则确定该系统账号是黑客账号。例如,详细步骤如下:
401:检测系统账号的创建属主在创建所述系统账号时的登录状态;
402:如果所述系统账号的创建属主在创建所述系统账号时处于未登录状态,检测该系统账号是否是异地登录操作系统;
403:如果是异地登录操作系统,则确定该系统账号是黑客账号。
当然,在本申请中,如果不是异地登录操作系统,可以暂时将该系统账号排除在黑客账号的范围之外。
其中,检测某一个系统账号是否是异地登录操作系统的方法可以通过以下方式实现:获取该系统账号登录的操作系统的管理员所使用的登录地址 (如,登录的IP地址);识别该系统账号的登录地址是否为管理员所使用的登录地址,如果否,确定该系统账号是异地登录,如果是,确定该系统账号是本地登录。
本申请的发明人还发现,一般情况下,黑客账号具有一些特征的隐藏特征。例如,如图3所示,大部分的黑客账号都是以特定的符号作为结尾的,如以“$”符号作为结尾,企图利用windows本身的机制来隐藏其账号不在用户列表中出现。再例如,大部分的黑客账号与其它一些合法的账号具有很高的相似度,例如,黑客账号与其它一些合法的账号之间仅仅存在大小写的区别或者个别字母的不同。如,合法的账号是guest,黑客账号为guestes。因此,也可以利用黑客账号具有特定的隐藏特征这个属性将黑客账号检测出来。
请参阅图5所示,如果系统账号的创建属主在创建所述系统账号时处于未登录状态,还可以进一步检测该系统账号是否具有预设的隐藏特征,如果该系统账号具有预设的隐藏特征,确定该系统账号是黑客账号。例如,详细步骤如下:
步骤501:检测系统账号的创建属主在创建所述系统账号时的登录状态;
步骤502:如果所述系统账号的创建属主在创建所述系统账号时处于未登录状态,检测该系统账号是否具有预设的隐藏特征;
步骤503:如果该系统账号具有预设的隐藏特征,确定该系统账号是黑客账号。
当然,在本申请中,如果该系统账号不具有预设的隐藏特征,可以暂时将该系统账号排除在黑客账号的范围之外。
其中,预设的隐藏特征包括:以预设的符号作为结尾符号,和/或,与操作系统出厂时内置的账号的相似度值大于或等于预设的相似度阈值。
需要说明的是,本申请并不限定相似度计算算法,本申请可以采用现有技术中的任意一种相似度计算算法计算某一个系统账号与操作系统出厂时内置的账号之间的相似度值。
本申请的发明人还发现,合法的系统账号一般都是管理员(即,合法用 户)登录后创建的,而与此相反,黑客账号不仅是先创建后再登录,并且,创建时间与登录时间的时间间隔也比较小。例如,黑客在创建了黑客账号后一般会在5分钟内触发一次登录行为。因此,也可以利用黑客账号的创建时间先于登录时间,并且,登录时间与创建时间的时间间隔小于一定数值这个属性将黑客账号检测出来。
请参阅图6所示,如果系统账号的创建属主在创建所述系统账号时处于未登录状态,还可以进一步检测该系统账号的创建时间先于登录时间,并且两者之间的时间差是否小于或等于预设的时间差阈值,如果该系统账号的创建时间先于登录时间,并且两者之间的时间差小于或等于预设的时间差阈值,确定该系统账号是黑客账号。例如,详细步骤如下:
步骤601:检测系统账号的创建属主在创建所述系统账号时的登录状态;
步骤602:如果所述系统账号的创建属主在创建所述系统账号时处于未登录状态,检测该系统账号的创建时间先于登录时间,并且两者之间的时间差是否小于或等于预设的时间差阈值;
步骤603:如果该系统账号的创建时间先于登录时间,并且两者之间的时间差小于或等于预设的时间差阈值,确定该系统账号是黑客账号。
当然,在本申请中,如果登录时间先于创建时间,或者,即使创建时间先于登录时间,但两者之间的时间差大于预设的时间差阈值,就可以暂时将该系统账号排除在黑客账号的范围之外。
另外,需要说明的是,在本申请中,可以通过试验确定预设的时间差阈值。
可以理解的,当将以上三种检测方法共同与图1所示的检测方法进行结合时,检测的准确度最高。即,如图7所示,可以采用一种漏斗模型检测黑客账号,而作为一种优选的实施方式,在该漏斗模型中,检测的顺序分别为:检测创建属主、检测异地登录、检测隐藏特征以及检测创建时间和登录时间。最终检测出的黑客账号即为真实的黑客账号。
在检测出用户机器上的黑客账号之后,为了保护用户机器,在本申请的一个优选实施方式中,还可以从用户机器上清除黑客账号。
由上述实施例可以看出,与现有技术相比,本申请的优点在于:
根据黑客账号的创建属主的属性作为检测黑客账号的标准,以提供了一种自动检测黑客账号的方案,保护了用户机器,加强了安全防范。
另外,还将黑账账号的异地登录、黑客账号的隐藏特征以及黑客账号的创建时间和登录时间的作为检测黑客账号的辅助标准,以进一步提高检测黑客账号的准确度。
装置实施例
与上述黑客账号的检测方法相对应,本申请实施例还提供了黑客账号的检测装置。请参阅图8,图8示意性地示出了根据本申请实施例的一种黑客账号的检测装置的结构框架图,该装置例如可以包括第一检测单元801和检测结果确定单元802。下面结合该装置的工作原理进一步介绍其内部结构以及连接关系。
第一检测单元801,用于检测系统账号的创建属主在创建所述系统账号时的登录状态;
检测结果确定单元802,用于如果所述系统账号的创建属主在创建所述系统账号时处于未登录状态,确定所述系统账号是黑客账号。
在本申请的另一个优选实施方式中,如图9所示,在图8所示结构的基础上,该装置还可以包括:
第二检测单元803,用于在确定所述系统账号是黑客账号之前,检测所述系统账号是否是异地登录;
则检测结果确定单元802用于,如果所述系统账号是异地登录,确定所述系统账号是黑客账号。
其中,第二检测单元803包括:获取子单元,用于获取所述系统账号登录的操作系统的管理员使用的登录地址;识别子单元,用于识别所述系统账号的登录地址是否为所述管理员使用的登录地址,如果否,确定所述系统账号为异地登录,如果是,确定所述系统账号是本地登录。
在本申请的另一个优选实施方式中,如图10所示,例如,在如图9所示结构的基础上,该装置还可以包括:
第三检测单元804,用于在确定所述系统账号是黑客账号之前,检测所述 系统账号是否具有预设的隐藏特征;
则检测结果确定单元802用于:如果所述系统账号具有预设的隐藏特征,确定所述系统账号是黑客账号。
其中,所述预设的隐藏特征包括:以预设的符号作为结尾符号,和/或,与操作系统出厂时内置的账号的相似度值大于或等于预设的相似度阈值。
在本申请的另一个优选实施方式中,如图11所示,例如,在如图10所示结构的基础上,该装置还可以包括:
第四检测单元805,用于检测所述系统账号的创建时间是否先于登录时间,并且两者之间的时间差是否小于或等于预设的时间差阈值;
则检测结果确定单元802用于:如果所述系统账号的创建时间先于登录时间,并且两者之间的时间差小于或等于预设的时间差阈值,确定所述系统账号是黑客账号。
在本申请的另一个优选实施方式中,如图12所示,在图11所示结构的基础上,该装置还可以包括:
清除单元806,用于在确定所述系统账号是黑客账号之后,从用户机器上清除所述黑客账号。
当然,还需要说明的是,除了图8、9、10和11所示的结构之外,第二检测单元、第三检测单元和第四检测单元也可以分别独立地与图8所示的第一检测单元进行结合,以实现检测功能,还可以将该三种检测单元中的任意两种与图8所示的第一检测单元进行结合,以实现检测功能。
由上述实施例可以看出,与现有技术相比,本申请的优点在于:
根据黑客账号的创建属主的属性作为检测黑客账号的标准,以提供了一种自动检测黑客账号的方案,保护了用户机器,加强了安全防范。
另外,还将黑账账号的异地登录、黑客账号的隐藏特征以及黑客账号的创建时间和登录时间的作为检测黑客账号的辅助标准,以进一步提高检测黑客账号的准确度。
所述领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对 应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述到的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性、机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,可以采用软件功能单元的形式实现。
需要说明的是,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上对本申请所提供的黑客账号的检测方法和装置进行了详细介绍,本文中应用了具体实施例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
- 还没有人留言评论。精彩留言会获得点赞!