[发明专利]一种分析网络黑产账号的方法及装置

说明书

本发明实施例提供一种分析网络黑产账号的方法及装置，包括：第一时间段内通过某个IP成功登录的账号数大于设定的第一阈值时，则获取第二时间段内通过该IP登录的所有账号及账号信息；其中，所述第二时间段包括第一时间段、以及所述第一时间段之前的一段时间；从所述所有账号中确定每个自然年内注册的账号数，并计算每个自然年内注册的账号数相对所述账号总数的占比d；确定第二时间段内的账号平均登录次数n，根据每个账号登录次数m与账号平均登录次数n之间的第二关系系数、以及所述占比d之间的第一关系系数，分析出网络黑产所使用的真实账号。能够自动化分析批量登录帐号，从中发现黑产团伙成员属于自己个人身份的真实账号。

技术领域

本发明涉及互联网安全领域，具体涉及一种分析网络黑产账号的方法及装置。

背景技术

网络黑产团伙对一个网站实施作恶行为后，网站方需要分析这些作恶行为，尽可能的找出黑产团伙真实的身份信息，以提高后续处置的准确性和效率。比如，报警寻求司法帮助等，从而提高司法落地打击黑产团伙的效率。

所以打击网络黑产团伙，对网站安全非常重要。那么能否快速高效地定位和找到黑产团伙可能在网站上使用的真实网站帐号是各种打击处置之前的非常关键的工作。对于网站而言，在网站服务器日志系统，会记录到大量黑产团伙使用的网站帐号，但是网络黑产者为了批量对网站作恶，通常大部分网络黑产者使用小号来掩盖自己的真实信息。而这些小号通常是假实名，在实际的司法手段打击中无法落地。

在实现本发明过程中，申请人发现现有技术中至少存在如下问题：

虽然可以将帐号数量明显异常的IP下对应的所有网站帐号提取出来，通过帐号发布内容信息的质量进判断，该帐号是否可能是黑产团伙自己本身在使用的真实帐号。但是内容信息本身数据量偏大，如现在很多互联网产品的内容形态是视频，如果将内容信息进行整理分析，对于服务器的资源成本开销要求较大；另外，对于一些产品和服务，帐号发布的内容信息属于通讯信息的范畴，如果对帐号发送的内容信息作分析，可能会存在严重的合规性风险。

或者通过网站帐号的登录名或者网站帐号设置的名称进行判断，因为通常真实的登录名或者帐号名称的语意带有一定的常见性，而小号的登录名或者昵称通常是没有意义的混乱组合。但是，一方面，黑产团伙可能通过搜集互联网的真实名称词库，在此基础上，进行对小号的登录名或者网站名称进行设置，最终欺骗网站服务器针对登录名或者帐号名称的检测机制；另外一方面，相当多的年轻普通网站用户，因为个性等原因，可能会使用各种的变形词、符号作为登录名或者网站名称，这个时候，基于语义分析登录名或者帐号名称，则可能带来比较大的误伤。

发明内容

本发明实施例提供一种基于自动化溯源分析网络黑产账号的方法及装置，能够自动化去分析批量网站帐号，从中发现黑产团伙成员属于自己个人身份的真实账号。

为达上述目的，一方面，本发明实施例提供一种分析网络黑产账号的方法，包括：

当第一时间段内通过某个IP成功登录的账号数大于设定的第一阈值时，则获取第二时间段内通过该IP登录的所有账号及账号信息；其中，所述第二时间段包括第一时间段、以及所述第一时间段之前的一段时间，所述账号信息包括：账号名称、账号总数；

从所述所有账号中确定每个自然年内注册的账号数，并计算每个自然年内注册的账号数相对所述账号总数的占比d；

确定第二时间段内的账号平均登录次数n，根据每个账号登录次数m与账号平均登录次数n之间的第二关系系数、以及所述占比d之间的第一关系系数，分析出网络黑产所使用的真实账号。

另一方面，本发明实施例提供一种分析网络黑产账号的装置，包括：

提取账号单元：用于当第一时间段内通过某个IP成功登录的账号数大于设定的第一阈值时，则获取第二时间段内通过该IP登录的所有账号及账号信息；其中，所述第二时间段包括第一时间段、以及所述第一时间段之前的一段时间，所述账号信息包括：账号名称、账号总数；