一种社交媒体账号被盗的确定方法及装置与流程

本发明涉及互联网信息安全领域，具体涉及一种社交媒体账号被盗的确定方法及装置。

背景技术：

现有技术中账号服务器系统的系统长期记录每个账号的登录信息，根据登录次数的多少，形成该账号的常用地信息，例如一个账号经常在北京登录。某一天，这个账号突然在香港登录。那么系统可能认为用户存在被盗号的问题，账号服务器会拒绝该账号的身份认证请求，从而避免该网站账号被盗。

对于该现有技术，一方面，随着国家开发通信网络市场，很多第三方宽带或者移动服务商并非是严格按照城市去分配特定的ip，用户经常碰到明明是a城市接入网络，却被分配b城市的ip。这种情况下，基于用户常用登录地维度的检测机制，就非常容易造成误伤。

另外一方面，使用账号的用户本身出差等原因，造成无法形成一个稳定经常登录的城市。这种情况下，检测系统就因为没有常用登录地而无法准确导致错误判断。

最后，网络黑客可以通过购买ip代理方式，伪造全国各个城市的信息，从而欺骗账号服务器的系统的身份认证。

而对于现有技术中还存在基于设备信息的两步身份认证的方式进行：第一步，常规的账号密码或者cookie进行网络账号的身份认证；第二步，除了第一步的验证信息外，需要额外验证用户的设备信息，如果该设备信息属于第一次使用，则需要通过下发短信验证码等手段的方式进一步验证账号的绑定手机号。

基于该现有技术，对于新闻媒体和大型企业的社交媒体账号，通常有多个人在不同的设备频繁登录使用网站账号(如记者去参加会议使用主办方的电脑)，在这类场景下，会频繁因为新的设备信息被系统要求验证，误报率会非常高，而这类账号对于信息发布，账号使用上的时效性要求非常高，进而影响正常使用社交媒体账号的体验。

技术实现要素：

本发明实施例提供一种社交媒体账号被盗的确定方法及装置，基于账号之间的互动行为信息以及账号使用的设备信息，对账号可能被盗的情况进行不同判断逻辑和相应的处置方法。

为达到上述目的，一方面，本发明实施例提供了一种社交媒体账号被盗的确定方法，所述方法包括：

接收社交媒体账号的访问请求；

当判断出所述社交媒体账号的校验账号密码或者cookie信息为正确的情况下，获取设定时间内所述账号的每一次访问请求所带的设备信息与设定历史时间内所述账号留存在服务器的设备信息的比对结果信息、以及设定时间内所述账号的互动信息；

根据所述比对结果信息以及互动信息，确定所述账号是否被盗。

另一方面，本发明实施例提供了一种社交媒体账号被盗的确定装置，所述装置包括：

访问请求接收单元，用于接收社交媒体账号的访问请求；

信息获取单元，用于当判断出所述社交媒体账号的校验账号密码或者cookie信息为正确的情况下，获取设定时间内所述账号的每一次访问请求所带的设备信息与设定历史时间内所述账号留存在服务器的设备信息的比对结果信息、以及设定时间内所述账号的互动信息；

判断单元，用于根据所述比对结果信息以及互动信息，确定所述账号是否被盗。

上述技术方案具有如下有益效果：

通过本申请的上述技术手段，基于两种基本因素：网民互动信息、设备信息，综合考虑计算，并设计了被盗后处置管理的方法。结合了目前市场上已有技术的优缺点，针对不同的基础因素进行组合计算，减少了单纯依赖传统的信息安全方法采集的ip位置信息、设备信息引起的各种问题，引入了社交媒体最大信息量互动行为的新因素，发挥了海量网民数据的价值。本发明在保障账号安全的同时，一定程度上也兼顾了用户访问网站的体验，从而提高用户对网站服务的友好感知和使用体验，也提高了网站信息安全保障的水平。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例一种社交媒体账号被盗的确定方法的流程图；

图2是本发明实施例一种社交媒体账号被盗的确定方法的流程图；

图3是本发明实施例一种社交媒体账号被盗的确定装置的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明技术方案中涉及到的部分缩略语和关键术语定义如下：

网站账号：俗称的网络身份证，是数字时代的代表，它是一种互联网身份认证协议，其具有唯一性和信息不可否认性，是在网络保存着一种用户身份记录。网站账号是数字时代的代表，就是每个人在特定的项目中所代表自己的一些数字等。账号可以由中文或英文甚至符号组成。

社交媒体网站：是一种基于用户关系信息分享、传播以及获取的通过关注机制分享简短实时信息的广播式的社交网络平台，如微博。在微博网站上，通常一个新闻媒体账号发布一条信息，会引发大量的互动的信息，如其他用户针对对该账号的评论、转发、私信等(通常会带有特殊字符“@”+“账号名”)。

账号被盗：网站账号的控制权限被他人通过不法手段窃取，导致他人可以直接使用该账号进行发布信息等操作。

身份认证：用户通过终端设备如手机、电脑的浏览器访问微博账号服务器，账号服务器会对用户的身份信息进行认证，可以按照提前制定和采集的信息，包括账号密码、cookie、ip、设备等信息，如果与服务器记录的一致或者符合制定的规则，则认为身份合法允许如发微博等操作。

如图1、图2所示，是本发明实施例一种社交媒体账号被盗的确定方法的流程图，所述方法包括：

s101：接收社交媒体账号的访问请求。

网站服务器收到用户使用网站账号s从终端设备发起的访问请求，并对网络请求所带的信息进行处理判断。

s102：当判断出所述社交媒体账号的校验账号密码或者cookie信息为正确的情况下，获取设定时间内所述账号的每一次访问请求所带的设备信息与设定历史时间内所述账号留存在服务器的设备信息的比对结果信息、以及设定时间内所述账号的互动信息。

优选地，获取设定时间内所述账号的每一次访问请求所带的设备信息与设定历史时间内所述账号留存在服务器的设备信息的比对结果信息，包括：

比对所述账号在设定时间内每一个访问请求所带的设备信息与所述账号在设定历史时间内留存在服务器的设备信息，记录设定时间内的每一个访问请求所带的设备信息在设定历史时间内的出现天数，将出现天数满足第一设定条件的访问请求的次数与所述账号在设定时间内访问请求总次数的比值作为所述比对结果信息。

当接收到访问请求时，账号服务器效验账号密码或者cookie信息正确。服务器将该请求带的设备信息与服务器留存服务器的设备信息对比，并将比对结果记录为不同的数值a，设定时间例如10分钟内请求次数多次(不同a的数值为a1、a2、a3……an)，记录并按照一个特定条件计算满足条件的请求次数比例数值p。其中，对于数值a，网站服务器将该方位请求所带的设备信息与服务器留存服务器的设备信息对比，数值a记录为该次请求的设备信息在过去30天(不包含当天)出现的天数，a的数值范围为0～30。则p为，设定时间例如10分钟内n次请求，其中对应a＝0的次数占总的请求次数的比例，p的数值范围为0～1。

进一步地，获取设定时间内所述账号的互动信息，包括：

记录在设定时间内所述账号与其他账号的互动次数，并分析所述账号与其它账号的互动文本内容；

将所述账号的互动次数对应的第一分值、以及所述互动文本内容包含特定关键词的次数对应的第二分值作为所述互动信息。

网站服务器记录并计算相同10分钟时间段内的网站上所有的，和网站账号s的互动行为信息，同时分析其它账号对该账号互动信息的文本内容。进行统计互动的次数、互动信息中文本内容包含特定关键词的次数，并将次数结果分别记录为不同的数值b、c。其中，对于数值b，10分钟内网站所有和所述账号s所有互动行为信息次数，若10<当互动次数，则b＝1；否则b＝0。对于数值c，根据互动信息中文本内容包含特定关键词的次数，若3<次数，则c＝1；否则c＝0。特定关键词库为基于人工客服日常被盗投诉的案例，进行互动信息的文本关键词统计，出现数量最多的20个词语则录入词库，每月1日根据上一个月的投诉情况进行统计调整，互动的信息通常包含的关键词，例如：账号、被盗、密码、发错、被黑。

s103：根据所述比对结果信息及互动信息，确定所述账号是否被盗。

进一步地，所述根据所述比对结果信息以及互动信息，确定所述账号是否被盗，包括：

当所述比对结果信息中的比值、所述互动信息中的第一分值、以及第二分值三者之积满足设定阈值时，将所述账号判定为被盗。

网站服务器基于一定的组合计算上述的数值p、b、c，按照一定的规则和方法计算为m，m值的大小作为网站账号被盗与否的判断。同时，依据判断结果，将账号按照一定的流程和措施进行后续的账号状态处置。具体为，确定最终值m，m＝p*b*c。如果数值0.1<m,则系统判断账号被盗。之后，账号服务器会将账号s标记为一个非正常状态，持续拒绝该账号s发起所有请求，直到用户在一个常用设备(过去30天内所有请求出现过该设备信息的天数>15的设备)，访问微博网站进行修改网站账号密码操作，才会将账号s的状态恢复正常。

即，在所述根据所述比对结果信息以及互动信息，确定所述账号是否被盗之后，所述方法还包括：

将判定为被盗的账号标记为非正常状态，持续拒绝非正常状态的账号发起的所有访问请求；

当确认非正常状态的账号在满足第二设定条件的设备上进行修改账号密码的操作成功时，将所述账号的状态恢复为正常状态。

如图3所示，是本发明实施例一种社交媒体账号被盗的确定装置的结构示意图，所述装置包括：

访问请求接收单元21，用于接收社交媒体账号的访问请求；

信息获取单元22，用于当判断出所述社交媒体账号的校验账号密码或者cookie信息为正确的情况下，获取设定时间内所述账号的每一次访问请求所带的设备信息与设定历史时间内所述账号留存在服务器的设备信息的比对结果信息、以及设定时间内所述账号的互动信息；

判断单元23，用于根据所述比对结果信息以及互动信息，确定所述账号是否被盗。

进一步地，所述信息获取单元22包括设备信息处理模块，用于：

比对所述账号在设定时间内每一个访问请求所带的设备信息与所述账号在设定历史时间内留存在服务器的设备信息，记录设定时间内的每一个访问请求所带的设备信息在设定历史时间内的出现天数，将出现天数满足第一设定条件的访问请求的次数与所述账号在设定时间内访问请求总次数的比值作为所述比对结果信息。

进一步地，所述信息获取单元还包括互动信息处理模块，用于：

记录在设定时间内所述账号与其他账号的互动次数，并分析所述账号与其它账号的互动文本内容；

将所述账号的互动次数对应的第一分值、以及所述互动文本内容包含特定关键词的次数对应的第二分值作为所述互动信息。

进一步地，所述判断单元23具体用于：

当所述比对结果信息中的比值、所述互动信息中的第一分值、以及第二分值三者之积满足设定阈值时，将所述账号判定为被盗。

进一步地，所述装置还包括账号持续处理单元，用于：

将判定为被盗的账号标记为非正常状态，持续拒绝非正常状态的账号发起的所有访问请求；

当确认非正常状态的账号在满足第二设定条件的设备上进行修改账号密码的操作成功时，将所述账号的状态恢复为正常状态。

以下为本申请的一具体实施例中：

i.用户在终端设备上(如浏览器)使用微博账号s向微博网站发起请求，账号服务器效验用户账号密码或者cookie信息正确与否，如果正确，则记录一次请求，并记录请求包含的参数信息(包含设备信息)。

ii.10分钟内，客户端浏览器向微博账号服务器发起了100个请求，其中50次请求带有的设备信息在过去30天内出现的天数为0(a＝0)，30次请求带有的设备信息在过去30天内出现的天数为6(a＝6)，20次请求带有的设备信息在过去30天内出现的天数为20(a＝20)。则p的数值为50/100＝0.5。

iii.在上述步骤同一10分钟时间内，微博平台共计有10个其它账号与账号s产生了20次互动行为信息。则b的数值为1。

iv.在上述的20次互动行为信息中，统计发现，其互动信息的文本内容共计有5次包含特定关键词“账号”、2次包含关键词“被盗”、1次包含关键词“密码”。则c＝1。

v.综合计算：m＝p*b*c＝0.5*1*1＝0.5。则判断该网站账号s存在被盗。

vi.账号服务器标记账号s为非常状态，开始拒绝账号s所有的的账号认证请求。直到用户在一个过去30天登录过25天设备进行了修改网站账号密码操作，账号s状态恢复正常。

对于普通网民：账号安全是一个会引起大量网民注意的话题，每年基于帐户安全的攻击多之又多，所以能否快速发现账号被盗并采取措施是至关重要的。渗透用户帐户是黑客最常用的攻击方式之一，一旦黑客盗取到受害者的账号，那么将会发生一系列不可想象的后果，如网络诈骗用户的亲友。

对于新闻媒体、政府、公司账号：越来越多的这类账号使用类似微博网站等自媒体平台，如发布社会紧急事件的消息，引导社会舆论正向声音。如果该类账号的登录信息被盗用，进而可能发布有害或者影响恶劣的信息。如果网站短时间不能发现，账号被盗引发的负面舆情，很可能会快速放大导致进一步严重的后果。

本发明可以一定程度上基于社交媒体网站的特点，海量的网民不间断浏览社交媒体网站信息，通常网民会第一时间发现很多账号的被盗，并进行一定的互动行为(如评论)，借助网民的力量，综合其产生的大量互动信息及设备信息综合判断，对账号被盗进行发现和处置的完整思路。一定程度上兼顾了网站的访问体验和及时发现和处置账号被盗的需求。

应该明白，公开的过程中的步骤的特定顺序或层次是示例性方法的实例。基于设计偏好，应该理解，过程中的步骤的特定顺序或层次可以在不脱离本公开的保护范围的情况下得到重新安排。所附的方法权利要求以示例性的顺序给出了各种步骤的要素，并且不是要限于所述的特定顺序或层次。

在上述的详细描述中，各种特征一起组合在单个的实施方案中，以简化本公开。不应该将这种公开方法解释为反映了这样的意图，即，所要求保护的主题的实施方案需要比清楚地在每个权利要求中所陈述的特征更多的特征。相反，如所附的权利要求书所反映的那样，本发明处于比所公开的单个实施方案的全部特征少的状态。因此，所附的权利要求书特此清楚地被并入详细描述中，其中每项权利要求独自作为本发明单独的优选实施方案。

为使本领域内的任何技术人员能够实现或者使用本发明，上面对所公开实施例进行了描述。对于本领域技术人员来说；这些实施例的各种修改方式都是显而易见的，并且本文定义的一般原理也可以在不脱离本公开的精神和保护范围的基础上适用于其它实施例。因此，本公开并不限于本文给出的实施例，而是与本申请公开的原理和新颖性特征的最广范围相一致。

上文的描述包括一个或多个实施例的举例。当然，为了描述上述实施例而描述部件或方法的所有可能的结合是不可能的，但是本领域普通技术人员应该认识到，各个实施例可以做进一步的组合和排列。因此，本文中描述的实施例旨在涵盖落入所附权利要求书的保护范围内的所有这样的改变、修改和变型。此外，就说明书或权利要求书中使用的术语“包含”，该词的涵盖方式类似于术语“包括”，就如同“包括，”在权利要求中用作衔接词所解释的那样。此外，使用在权利要求书的说明书中的任何一个术语“或者”是要表示“非排它性的或者”。

本领域技术人员还可以了解到本发明实施例列出的各种说明性逻辑块(illustrativelogicalblock)，单元，和步骤可以通过电子硬件、电脑软件，或两者的结合进行实现。为清楚展示硬件和软件的可替换性(interchangeability)，上述的各种说明性部件(illustrativecomponents)，单元和步骤已经通用地描述了它们的功能。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个装置的设计要求。本领域技术人员可以对于每种特定的应用，可以使用各种方法实现所述的功能，但这种实现不应被理解为超出本发明实施例保护的范围。

本发明实施例中所描述的各种说明性的逻辑块，或单元都可以通过通用处理器，数字信号处理器，专用集成电路(asic)，现场可编程门阵列或其它可编程逻辑装置，离散门或晶体管逻辑，离散硬件部件，或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器，可选地，该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现，例如数字信号处理器和微处理器，多个微处理器，一个或多个微处理器联合一个数字信号处理器核，或任何其它类似的配置来实现。

本发明实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件模块、或者这两者的结合。软件模块可以存储于ram存储器、闪存、rom存储器、eprom存储器、eeprom存储器、寄存器、硬盘、可移动磁盘、cd-rom或本领域中其它任意形式的存储媒介中。示例性地，存储媒介可以与处理器连接，以使得处理器可以从存储媒介中读取信息，并可以向存储媒介存写信息。可选地，存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于asic中，asic可以设置于用户终端中。可选地，处理器和存储媒介也可以设置于用户终端中的不同的部件中。

在一个或多个示例性的设计中，本发明实施例所描述的上述功能可以在硬件、软件、固件或这三者的任意组合来实现。如果在软件中实现，这些功能可以存储与电脑可读的媒介上，或以一个或多个指令或代码形式传输于电脑可读的媒介上。电脑可读媒介包括电脑存储媒介和便于使得让电脑程序从一个地方转移到其它地方的通信媒介。存储媒介可以是任何通用或特殊电脑可以接入访问的可用媒体。例如，这样的电脑可读媒体可以包括但不限于ram、rom、eeprom、cd-rom或其它光盘存储、磁盘存储或其它磁性存储装置，或其它任何可以用于承载或存储以指令或数据结构和其它可被通用或特殊电脑、或通用或特殊处理器读取形式的程序代码的媒介。此外，任何连接都可以被适当地定义为电脑可读媒介，例如，如果软件是从一个网站站点、服务器或其它远程资源通过一个同轴电缆、光纤电缆、双绞线、数字用户线(dsl)或以例如红外、无线和微波等无线方式传输的也被包含在所定义的电脑可读媒介中。所述的碟片(disk)和磁盘(disc)包括压缩磁盘、镭射盘、光盘、dvd、软盘和蓝光光盘，磁盘通常以磁性复制数据，而碟片通常以激光进行光学复制数据。上述的组合也可以包含在电脑可读媒介中。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。