本申請涉及計(jì)算機(jī)應(yīng)用領(lǐng)域，特別是涉及黑客賬號的檢測方法和裝置。

背景技術(shù)：

黑客賬號，又稱后門賬號，即黑客通過非法手段入侵用戶機(jī)器后，在用戶機(jī)器上創(chuàng)建系統(tǒng)賬號(即，管理員賬號)，用于登錄用戶機(jī)器上的操作系統(tǒng)。如果黑客賬號不被及時(shí)檢測出并被清除掉，將一直被黑客用來控制用戶機(jī)器上的操作系統(tǒng)，繼而給用戶帶來極大的安全隱患。

但是，在實(shí)現(xiàn)本申請的過程中，本申請的發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下問題：黑客賬號與用戶的合法賬號在系統(tǒng)屬性上并無明顯的區(qū)別，很難檢測出某一個(gè)賬號是黑客賬號還是用戶的合法賬號。目前，現(xiàn)有技術(shù)中還沒有可自動(dòng)檢測黑客賬號的有效手段。

技術(shù)實(shí)現(xiàn)要素：

為了解決上述技術(shù)問題，本申請實(shí)施例提供了黑客賬號的檢測方法和裝置，以實(shí)現(xiàn)對黑客賬號的自動(dòng)檢測，保護(hù)用戶機(jī)器，加強(qiáng)安全防范。

根據(jù)本申請的第一方面的第一種可能的實(shí)現(xiàn)方式，本申請?zhí)峁┮环N黑客賬號的檢測方法，包括：

檢測系統(tǒng)賬號的創(chuàng)建屬主在創(chuàng)建所述系統(tǒng)賬號時(shí)的登錄狀態(tài)；

如果所述系統(tǒng)賬號的創(chuàng)建屬主在創(chuàng)建所述系統(tǒng)賬號時(shí)處于未登錄狀態(tài)，確定所述系統(tǒng)賬號是黑客賬號。

結(jié)合第一方面的第一種可能的第二種可能的實(shí)現(xiàn)方式，所述方法還包括：

在確定所述系統(tǒng)賬號是黑客賬號之前，檢測所述系統(tǒng)賬號是否是異地登錄；

則所述確定所述系統(tǒng)賬號是黑客賬號為：

如果所述系統(tǒng)賬號是異地登錄，確定所述系統(tǒng)賬號是黑客賬號。

結(jié)合第一方面的第一種可能或者第二種可能的第三種可能的實(shí)現(xiàn)方式， 所述方法還包括：

在確定所述系統(tǒng)賬號是黑客賬號之前，檢測所述系統(tǒng)賬號是否具有預(yù)設(shè)的隱藏特征；

則所述確定所述系統(tǒng)賬號是黑客賬號為：

如果所述系統(tǒng)賬號具有預(yù)設(shè)的隱藏特征，確定所述系統(tǒng)賬號是黑客賬號。

結(jié)合第一方面的第三種可能的第四種可能的實(shí)現(xiàn)方式，所述預(yù)設(shè)的隱藏特征包括：以預(yù)設(shè)的符號作為結(jié)尾符號，和/或，與操作系統(tǒng)出廠時(shí)內(nèi)置的賬號的相似度值大于或等于預(yù)設(shè)的相似度閾值。

結(jié)合第一方面的第一種至第四種可能的任意一種的第五種可能的實(shí)現(xiàn)方式，所述方法還包括：

檢測所述系統(tǒng)賬號的創(chuàng)建時(shí)間是否先于登錄時(shí)間，并且兩者之間的時(shí)間差是否小于或等于預(yù)設(shè)的時(shí)間差閾值；

則所述確定所述系統(tǒng)賬號是黑客賬號為：

如果所述系統(tǒng)賬號的創(chuàng)建時(shí)間先于登錄時(shí)間，并且兩者之間的時(shí)間差小于或等于預(yù)設(shè)的時(shí)間差閾值，確定所述系統(tǒng)賬號是黑客賬號。

結(jié)合第一發(fā)明的第一種可能的第六種可能的實(shí)現(xiàn)方式，所述方法還包括：在確定所述系統(tǒng)賬號是黑客賬號之后，從用戶機(jī)器上清除所述黑客賬號。

結(jié)合第一方面的第二種可能的第七種可能的實(shí)現(xiàn)方式，所述檢測所述系統(tǒng)賬號是否是異地登錄，包括：

獲取所述系統(tǒng)賬號登錄的操作系統(tǒng)的管理員使用的登錄地址；

識別所述系統(tǒng)賬號的登錄地址是否為所述管理員使用的登錄地址，如果否，確定所述系統(tǒng)賬號是異地登錄，如果是，確定所述系統(tǒng)賬號是本地登錄。

根據(jù)本申請的第二方面的第一種可能的實(shí)現(xiàn)方式，本申請?zhí)峁┮环N黑客賬號的檢測裝置，包括：

第一檢測單元，用于檢測系統(tǒng)賬號的創(chuàng)建屬主在創(chuàng)建所述系統(tǒng)賬號時(shí)的登錄狀態(tài)；

檢測結(jié)果確定單元，用于如果所述系統(tǒng)賬號的創(chuàng)建屬主在創(chuàng)建所述系統(tǒng)賬號時(shí)處于未登錄狀態(tài)，確定所述系統(tǒng)賬號是黑客賬號。

結(jié)合第二方面的第一種可能的第二種可能的實(shí)現(xiàn)方式，所述方法還包括：

所述裝置還包括：

第二檢測單元，用于在確定所述系統(tǒng)賬號是黑客賬號之前，檢測所述系統(tǒng)賬號是否是異地登錄；

則所述檢測結(jié)果確定單元用于，如果所述系統(tǒng)賬號是異地登錄，確定所述系統(tǒng)賬號是黑客賬號。

結(jié)合第二方面的第一種可能或者第二種可能的第三種可能的實(shí)現(xiàn)方式，所述裝置還包括：

第三檢測單元，用于在確定所述系統(tǒng)賬號是黑客賬號之前，檢測所述系統(tǒng)賬號是否具有預(yù)設(shè)的隱藏特征；

則所述檢測結(jié)果確定單元用于：如果所述系統(tǒng)賬號具有預(yù)設(shè)的隱藏特征，確定所述系統(tǒng)賬號是黑客賬號。

結(jié)合第二方面的第三種可能的第四種可能的實(shí)現(xiàn)方式，所述預(yù)設(shè)的隱藏特征包括：以預(yù)設(shè)的符號作為結(jié)尾符號，和/或，與操作系統(tǒng)出廠時(shí)內(nèi)置的賬號的相似度值大于或等于預(yù)設(shè)的相似度閾值。

結(jié)合第二方面的第一種至第四種可能的任意一種的第五種可能的實(shí)現(xiàn)方式，所述裝置還包括：

第四檢測單元，用于檢測所述系統(tǒng)賬號的創(chuàng)建時(shí)間是否先于登錄時(shí)間，并且兩者之間的時(shí)間差是否小于或等于預(yù)設(shè)的時(shí)間差閾值；

則所述檢測結(jié)果確定單元用于：如果所述系統(tǒng)賬號的創(chuàng)建時(shí)間先于登錄時(shí)間，并且兩者之間的時(shí)間差小于或等于預(yù)設(shè)的時(shí)間差閾值，確定所述系統(tǒng)賬號是黑客賬號。

結(jié)合第二發(fā)明的第一種可能的第六種可能的實(shí)現(xiàn)方式，所述裝置還包括：

清除單元，用于在確定所述系統(tǒng)賬號是黑客賬號之后，從用戶機(jī)器上清除所述黑客賬號。

結(jié)合第一方面的第二種可能的第七種可能的實(shí)現(xiàn)方式，所述第二檢測單元包括：

獲取子單元，用于獲取所述系統(tǒng)賬號登錄的操作系統(tǒng)的管理員使用的登錄地址；

識別子單元，用于識別所述系統(tǒng)賬號的登錄地址是否為所述管理員使用 的登錄地址，如果否，確定所述系統(tǒng)賬號為異地登錄，如果是，確定所述系統(tǒng)賬號是本地登錄。

由上述實(shí)施例可以看出，與現(xiàn)有技術(shù)相比，本申請的優(yōu)點(diǎn)在于：

根據(jù)黑客賬號的創(chuàng)建屬主的屬性作為檢測黑客賬號的標(biāo)準(zhǔn)，以提供了一種自動(dòng)檢測黑客賬號的方案，保護(hù)了用戶機(jī)器，加強(qiáng)了安全防范。

另外，還將黑賬賬號的異地登錄、黑客賬號的隱藏特征以及黑客賬號的創(chuàng)建時(shí)間和登錄時(shí)間的作為檢測黑客賬號的輔助標(biāo)準(zhǔn)，以進(jìn)一步提高檢測黑客賬號的準(zhǔn)確度。

附圖說明

為了更清楚地說明本申請實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本申請的一些實(shí)施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動(dòng)性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1示意性地示出了根據(jù)本申請實(shí)施例的一種黑客賬號的檢測方法的流程圖；

圖2示意性地示出了根據(jù)本申請實(shí)施例的另一種黑客賬號的檢測方法的流程圖；

圖3示意性地示出了根據(jù)本申請實(shí)施例的黑客異地登錄的場景示意圖；

圖4示意性地示出了根據(jù)本申請實(shí)施例的另一種黑客賬號的檢測方法的流程圖；

圖5示意性地示出了根據(jù)本申請實(shí)施例的另一種黑客賬號的檢測方法的流程圖；

圖6示意性地示出了根據(jù)本申請實(shí)施例的另一種黑客賬號的檢測方法的流程圖；

圖7示意性地示出了根據(jù)本申請實(shí)施例的一種用于黑客賬號檢測的漏斗模型的示意圖；

圖8示意性地示出了根據(jù)本申請實(shí)施例的一種黑客賬號的檢測裝置的結(jié)構(gòu)框架圖

圖9示意性地示出了根據(jù)本申請實(shí)施例的另一種黑客賬號的檢測裝置的 結(jié)構(gòu)框架圖；

圖10示意性地示出了根據(jù)本申請實(shí)施例的另一種黑客賬號的檢測裝置的結(jié)構(gòu)框架圖；

圖11示意性地示出了根據(jù)本申請實(shí)施例的另一種黑客賬號的檢測裝置的結(jié)構(gòu)框架圖

圖12示意性地示出了根據(jù)本申請實(shí)施例的另一種黑客賬號的檢測裝置的結(jié)構(gòu)框架圖。

具體實(shí)施方式

為使本申請的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂，下面結(jié)合附圖對本申請實(shí)施例進(jìn)行詳細(xì)描述。

方法實(shí)施例

請參閱圖1，圖1示意性地示出了根據(jù)本申請實(shí)施例的一種黑客賬號的檢測方法的流程圖，例如，該方法可以由用戶機(jī)器執(zhí)行，用戶機(jī)器可以是個(gè)人的PC機(jī)，也可以是各種類型的網(wǎng)站服務(wù)器，例如Web服務(wù)器，或者APP服務(wù)器。該方法例如可以包括以下步驟：

步驟101：檢測系統(tǒng)賬號的創(chuàng)建屬主在創(chuàng)建所述系統(tǒng)賬號時(shí)的登錄狀態(tài)；

步驟102：如果所述系統(tǒng)賬號的創(chuàng)建屬主在創(chuàng)建所述系統(tǒng)賬號時(shí)處于未登錄狀態(tài)，確定所述系統(tǒng)賬號是黑客賬號。

本申請的發(fā)明人發(fā)現(xiàn)，通常黑客在入侵用戶機(jī)器之后，會(huì)竊取用戶機(jī)器上的其它賬號，并將其它賬號作為創(chuàng)建屬主而主動(dòng)地創(chuàng)建一個(gè)用于登錄操作系統(tǒng)的黑客賬號，而這類賬號在創(chuàng)建黑客賬號時(shí)是處于未登錄狀態(tài)的。因此，可以通過檢測某一個(gè)系統(tǒng)賬號的創(chuàng)建屬主在創(chuàng)建該系統(tǒng)賬號時(shí)的登錄狀態(tài)來確定該系統(tǒng)賬號是否是一個(gè)黑客賬號，即，當(dāng)處于未登錄狀態(tài)時(shí)，可以確定該系統(tǒng)賬號不是一個(gè)正常的系統(tǒng)賬號，而是一個(gè)黑客賬號。

其中，比較常見的，黑客會(huì)利用一些應(yīng)用類的賬號創(chuàng)建一個(gè)黑客賬號，如，WebServer的賬號或者FTP的賬號。

當(dāng)然，在本申請中，如果該系統(tǒng)賬號的創(chuàng)建屬主在創(chuàng)建所述系統(tǒng)賬號時(shí)處于登錄狀態(tài)，可以暫時(shí)將該系統(tǒng)賬號排除在黑客賬號的范圍之外。

另外，在本申請中，執(zhí)行檢測步驟的檢測程序可以由操作系統(tǒng)的管理員啟動(dòng)，以便該檢測程序具備各種檢測的權(quán)限。

每當(dāng)檢測出一個(gè)系統(tǒng)賬號是黑客賬號時(shí)，即可將該黑客賬號記錄下來并放入預(yù)設(shè)的一個(gè)黑名單中。顯然，在黑名單中維護(hù)了多個(gè)黑客賬號。這樣，在本申請的另一個(gè)可實(shí)施方式中，如圖2所示，在檢測系統(tǒng)賬號的創(chuàng)建屬主在創(chuàng)建所述系統(tǒng)賬號時(shí)的登錄狀態(tài)之前，可以先判斷該系統(tǒng)賬號是否與黑名單中的黑客賬號匹配，如果匹配，即可直接確定該系統(tǒng)賬號是黑客賬號，如果不匹配，再繼續(xù)后續(xù)的檢測步驟。

為了進(jìn)一步提高檢測黑客賬號的準(zhǔn)確度，下面分別描述其它三種檢測方法，其它三種檢測方法可以分別獨(dú)立地與圖1所示的檢測方法進(jìn)行結(jié)合，也可以共同與圖1所示的檢測方法進(jìn)行結(jié)合，還可以將其它三種檢測方法中的任意兩種與圖1所示的檢測方法進(jìn)行結(jié)合，以提高檢測的準(zhǔn)確度。并且，可以理解的，檢測的維度越多，檢測的準(zhǔn)確度就越高。

為了描述方便，下面以其它幾種檢測方法中的每一種檢測方法分別獨(dú)立地與圖1所示的檢測方法進(jìn)行結(jié)合實(shí)現(xiàn)檢測為例進(jìn)行說明。

本申請的發(fā)明人發(fā)現(xiàn)，黑客賬號通常會(huì)采用與合法的系統(tǒng)賬號不同的登錄地址登錄操作系統(tǒng)，如圖3所示。因此，可以利用黑客賬號是異地登錄這個(gè)屬性將黑客賬號檢測出來。

請參閱圖4所示，如果系統(tǒng)賬號的創(chuàng)建屬主在創(chuàng)建所述系統(tǒng)賬號時(shí)處于未登錄狀態(tài)，還可以進(jìn)一步檢測該系統(tǒng)賬號是否是異地登錄操作系統(tǒng)，如果是異地登錄操作系統(tǒng)，則確定該系統(tǒng)賬號是黑客賬號。例如，詳細(xì)步驟如下：

401：檢測系統(tǒng)賬號的創(chuàng)建屬主在創(chuàng)建所述系統(tǒng)賬號時(shí)的登錄狀態(tài)；

402：如果所述系統(tǒng)賬號的創(chuàng)建屬主在創(chuàng)建所述系統(tǒng)賬號時(shí)處于未登錄狀態(tài)，檢測該系統(tǒng)賬號是否是異地登錄操作系統(tǒng)；

403：如果是異地登錄操作系統(tǒng)，則確定該系統(tǒng)賬號是黑客賬號。

當(dāng)然，在本申請中，如果不是異地登錄操作系統(tǒng)，可以暫時(shí)將該系統(tǒng)賬號排除在黑客賬號的范圍之外。

其中，檢測某一個(gè)系統(tǒng)賬號是否是異地登錄操作系統(tǒng)的方法可以通過以下方式實(shí)現(xiàn)：獲取該系統(tǒng)賬號登錄的操作系統(tǒng)的管理員所使用的登錄地址 (如，登錄的IP地址)；識別該系統(tǒng)賬號的登錄地址是否為管理員所使用的登錄地址，如果否，確定該系統(tǒng)賬號是異地登錄，如果是，確定該系統(tǒng)賬號是本地登錄。

本申請的發(fā)明人還發(fā)現(xiàn)，一般情況下，黑客賬號具有一些特征的隱藏特征。例如，如圖3所示，大部分的黑客賬號都是以特定的符號作為結(jié)尾的，如以“$”符號作為結(jié)尾，企圖利用windows本身的機(jī)制來隱藏其賬號不在用戶列表中出現(xiàn)。再例如，大部分的黑客賬號與其它一些合法的賬號具有很高的相似度，例如，黑客賬號與其它一些合法的賬號之間僅僅存在大小寫的區(qū)別或者個(gè)別字母的不同。如，合法的賬號是guest，黑客賬號為guestes。因此，也可以利用黑客賬號具有特定的隱藏特征這個(gè)屬性將黑客賬號檢測出來。

請參閱圖5所示，如果系統(tǒng)賬號的創(chuàng)建屬主在創(chuàng)建所述系統(tǒng)賬號時(shí)處于未登錄狀態(tài)，還可以進(jìn)一步檢測該系統(tǒng)賬號是否具有預(yù)設(shè)的隱藏特征，如果該系統(tǒng)賬號具有預(yù)設(shè)的隱藏特征，確定該系統(tǒng)賬號是黑客賬號。例如，詳細(xì)步驟如下：

步驟501：檢測系統(tǒng)賬號的創(chuàng)建屬主在創(chuàng)建所述系統(tǒng)賬號時(shí)的登錄狀態(tài)；

步驟502：如果所述系統(tǒng)賬號的創(chuàng)建屬主在創(chuàng)建所述系統(tǒng)賬號時(shí)處于未登錄狀態(tài)，檢測該系統(tǒng)賬號是否具有預(yù)設(shè)的隱藏特征；

步驟503：如果該系統(tǒng)賬號具有預(yù)設(shè)的隱藏特征，確定該系統(tǒng)賬號是黑客賬號。

當(dāng)然，在本申請中，如果該系統(tǒng)賬號不具有預(yù)設(shè)的隱藏特征，可以暫時(shí)將該系統(tǒng)賬號排除在黑客賬號的范圍之外。

其中，預(yù)設(shè)的隱藏特征包括：以預(yù)設(shè)的符號作為結(jié)尾符號，和/或，與操作系統(tǒng)出廠時(shí)內(nèi)置的賬號的相似度值大于或等于預(yù)設(shè)的相似度閾值。

需要說明的是，本申請并不限定相似度計(jì)算算法，本申請可以采用現(xiàn)有技術(shù)中的任意一種相似度計(jì)算算法計(jì)算某一個(gè)系統(tǒng)賬號與操作系統(tǒng)出廠時(shí)內(nèi)置的賬號之間的相似度值。

本申請的發(fā)明人還發(fā)現(xiàn)，合法的系統(tǒng)賬號一般都是管理員(即，合法用 戶)登錄后創(chuàng)建的，而與此相反，黑客賬號不僅是先創(chuàng)建后再登錄，并且，創(chuàng)建時(shí)間與登錄時(shí)間的時(shí)間間隔也比較小。例如，黑客在創(chuàng)建了黑客賬號后一般會(huì)在5分鐘內(nèi)觸發(fā)一次登錄行為。因此，也可以利用黑客賬號的創(chuàng)建時(shí)間先于登錄時(shí)間，并且，登錄時(shí)間與創(chuàng)建時(shí)間的時(shí)間間隔小于一定數(shù)值這個(gè)屬性將黑客賬號檢測出來。

請參閱圖6所示，如果系統(tǒng)賬號的創(chuàng)建屬主在創(chuàng)建所述系統(tǒng)賬號時(shí)處于未登錄狀態(tài)，還可以進(jìn)一步檢測該系統(tǒng)賬號的創(chuàng)建時(shí)間先于登錄時(shí)間，并且兩者之間的時(shí)間差是否小于或等于預(yù)設(shè)的時(shí)間差閾值，如果該系統(tǒng)賬號的創(chuàng)建時(shí)間先于登錄時(shí)間，并且兩者之間的時(shí)間差小于或等于預(yù)設(shè)的時(shí)間差閾值，確定該系統(tǒng)賬號是黑客賬號。例如，詳細(xì)步驟如下：

步驟601：檢測系統(tǒng)賬號的創(chuàng)建屬主在創(chuàng)建所述系統(tǒng)賬號時(shí)的登錄狀態(tài)；

步驟602：如果所述系統(tǒng)賬號的創(chuàng)建屬主在創(chuàng)建所述系統(tǒng)賬號時(shí)處于未登錄狀態(tài)，檢測該系統(tǒng)賬號的創(chuàng)建時(shí)間先于登錄時(shí)間，并且兩者之間的時(shí)間差是否小于或等于預(yù)設(shè)的時(shí)間差閾值；

步驟603：如果該系統(tǒng)賬號的創(chuàng)建時(shí)間先于登錄時(shí)間，并且兩者之間的時(shí)間差小于或等于預(yù)設(shè)的時(shí)間差閾值，確定該系統(tǒng)賬號是黑客賬號。

當(dāng)然，在本申請中，如果登錄時(shí)間先于創(chuàng)建時(shí)間，或者，即使創(chuàng)建時(shí)間先于登錄時(shí)間，但兩者之間的時(shí)間差大于預(yù)設(shè)的時(shí)間差閾值，就可以暫時(shí)將該系統(tǒng)賬號排除在黑客賬號的范圍之外。

另外，需要說明的是，在本申請中，可以通過試驗(yàn)確定預(yù)設(shè)的時(shí)間差閾值。

可以理解的，當(dāng)將以上三種檢測方法共同與圖1所示的檢測方法進(jìn)行結(jié)合時(shí)，檢測的準(zhǔn)確度最高。即，如圖7所示，可以采用一種漏斗模型檢測黑客賬號，而作為一種優(yōu)選的實(shí)施方式，在該漏斗模型中，檢測的順序分別為：檢測創(chuàng)建屬主、檢測異地登錄、檢測隱藏特征以及檢測創(chuàng)建時(shí)間和登錄時(shí)間。最終檢測出的黑客賬號即為真實(shí)的黑客賬號。

在檢測出用戶機(jī)器上的黑客賬號之后，為了保護(hù)用戶機(jī)器，在本申請的一個(gè)優(yōu)選實(shí)施方式中，還可以從用戶機(jī)器上清除黑客賬號。

由上述實(shí)施例可以看出，與現(xiàn)有技術(shù)相比，本申請的優(yōu)點(diǎn)在于：

根據(jù)黑客賬號的創(chuàng)建屬主的屬性作為檢測黑客賬號的標(biāo)準(zhǔn)，以提供了一種自動(dòng)檢測黑客賬號的方案，保護(hù)了用戶機(jī)器，加強(qiáng)了安全防范。

另外，還將黑賬賬號的異地登錄、黑客賬號的隱藏特征以及黑客賬號的創(chuàng)建時(shí)間和登錄時(shí)間的作為檢測黑客賬號的輔助標(biāo)準(zhǔn)，以進(jìn)一步提高檢測黑客賬號的準(zhǔn)確度。

裝置實(shí)施例

與上述黑客賬號的檢測方法相對應(yīng)，本申請實(shí)施例還提供了黑客賬號的檢測裝置。請參閱圖8，圖8示意性地示出了根據(jù)本申請實(shí)施例的一種黑客賬號的檢測裝置的結(jié)構(gòu)框架圖，該裝置例如可以包括第一檢測單元801和檢測結(jié)果確定單元802。下面結(jié)合該裝置的工作原理進(jìn)一步介紹其內(nèi)部結(jié)構(gòu)以及連接關(guān)系。

第一檢測單元801，用于檢測系統(tǒng)賬號的創(chuàng)建屬主在創(chuàng)建所述系統(tǒng)賬號時(shí)的登錄狀態(tài)；

檢測結(jié)果確定單元802，用于如果所述系統(tǒng)賬號的創(chuàng)建屬主在創(chuàng)建所述系統(tǒng)賬號時(shí)處于未登錄狀態(tài)，確定所述系統(tǒng)賬號是黑客賬號。

在本申請的另一個(gè)優(yōu)選實(shí)施方式中，如圖9所示，在圖8所示結(jié)構(gòu)的基礎(chǔ)上，該裝置還可以包括：

第二檢測單元803，用于在確定所述系統(tǒng)賬號是黑客賬號之前，檢測所述系統(tǒng)賬號是否是異地登錄；

則檢測結(jié)果確定單元802用于，如果所述系統(tǒng)賬號是異地登錄，確定所述系統(tǒng)賬號是黑客賬號。

其中，第二檢測單元803包括：獲取子單元，用于獲取所述系統(tǒng)賬號登錄的操作系統(tǒng)的管理員使用的登錄地址；識別子單元，用于識別所述系統(tǒng)賬號的登錄地址是否為所述管理員使用的登錄地址，如果否，確定所述系統(tǒng)賬號為異地登錄，如果是，確定所述系統(tǒng)賬號是本地登錄。

在本申請的另一個(gè)優(yōu)選實(shí)施方式中，如圖10所示，例如，在如圖9所示結(jié)構(gòu)的基礎(chǔ)上，該裝置還可以包括：

第三檢測單元804，用于在確定所述系統(tǒng)賬號是黑客賬號之前，檢測所述 系統(tǒng)賬號是否具有預(yù)設(shè)的隱藏特征；

則檢測結(jié)果確定單元802用于：如果所述系統(tǒng)賬號具有預(yù)設(shè)的隱藏特征，確定所述系統(tǒng)賬號是黑客賬號。

其中，所述預(yù)設(shè)的隱藏特征包括：以預(yù)設(shè)的符號作為結(jié)尾符號，和/或，與操作系統(tǒng)出廠時(shí)內(nèi)置的賬號的相似度值大于或等于預(yù)設(shè)的相似度閾值。

在本申請的另一個(gè)優(yōu)選實(shí)施方式中，如圖11所示，例如，在如圖10所示結(jié)構(gòu)的基礎(chǔ)上，該裝置還可以包括：

第四檢測單元805，用于檢測所述系統(tǒng)賬號的創(chuàng)建時(shí)間是否先于登錄時(shí)間，并且兩者之間的時(shí)間差是否小于或等于預(yù)設(shè)的時(shí)間差閾值；

則檢測結(jié)果確定單元802用于：如果所述系統(tǒng)賬號的創(chuàng)建時(shí)間先于登錄時(shí)間，并且兩者之間的時(shí)間差小于或等于預(yù)設(shè)的時(shí)間差閾值，確定所述系統(tǒng)賬號是黑客賬號。

在本申請的另一個(gè)優(yōu)選實(shí)施方式中，如圖12所示，在圖11所示結(jié)構(gòu)的基礎(chǔ)上，該裝置還可以包括：

清除單元806，用于在確定所述系統(tǒng)賬號是黑客賬號之后，從用戶機(jī)器上清除所述黑客賬號。

當(dāng)然，還需要說明的是，除了圖8、9、10和11所示的結(jié)構(gòu)之外，第二檢測單元、第三檢測單元和第四檢測單元也可以分別獨(dú)立地與圖8所示的第一檢測單元進(jìn)行結(jié)合，以實(shí)現(xiàn)檢測功能，還可以將該三種檢測單元中的任意兩種與圖8所示的第一檢測單元進(jìn)行結(jié)合，以實(shí)現(xiàn)檢測功能。

由上述實(shí)施例可以看出，與現(xiàn)有技術(shù)相比，本申請的優(yōu)點(diǎn)在于：

根據(jù)黑客賬號的創(chuàng)建屬主的屬性作為檢測黑客賬號的標(biāo)準(zhǔn)，以提供了一種自動(dòng)檢測黑客賬號的方案，保護(hù)了用戶機(jī)器，加強(qiáng)了安全防范。

另外，還將黑賬賬號的異地登錄、黑客賬號的隱藏特征以及黑客賬號的創(chuàng)建時(shí)間和登錄時(shí)間的作為檢測黑客賬號的輔助標(biāo)準(zhǔn)，以進(jìn)一步提高檢測黑客賬號的準(zhǔn)確度。

所述領(lǐng)域的技術(shù)人員可以清楚地了解到，為了描述的方便和簡潔，上述描述的系統(tǒng)、裝置和單元的具體工作過程，可以參考前述方法實(shí)施例中的對 應(yīng)過程，在此不再贅述。

在本申請所提供的幾個(gè)實(shí)施例中，應(yīng)該理解到，所揭露的系統(tǒng)、裝置和方法，可以通過其它的方式實(shí)現(xiàn)。例如，以上所描述到的裝置實(shí)施例僅僅是示意性的，例如，所述單元的劃分，僅僅為一種邏輯功能劃分，實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式，例如多個(gè)單元或組件可以結(jié)合或可以集成到另一個(gè)系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另一點(diǎn)，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口，裝置或單元的間接耦合或通信連接，可以是電性、機(jī)械或其它的形式。

所述作為分離部件說明的單元可以是或者也可以是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個(gè)地方，或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上?？梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部單元來實(shí)現(xiàn)本實(shí)施例方案的目的。

另外，在本申請各個(gè)實(shí)施例中的各功能單元可以集成在一個(gè)處理單元中，也可以是各個(gè)單元單獨(dú)物理存在，也可以兩個(gè)或兩個(gè)以上單元集成在一個(gè)單元中。上述集成的單元既可以采用硬件的形式實(shí)現(xiàn)，可以采用軟件功能單元的形式實(shí)現(xiàn)。

需要說明的是，本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分流程，是可以通過計(jì)算機(jī)程序來指令相關(guān)的硬件來完成，所述的程序可存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中，該程序在執(zhí)行時(shí)，可包括如上述各方法的實(shí)施例的流程。其中，所述的存儲(chǔ)介質(zhì)可為磁碟、光盤、只讀存儲(chǔ)記憶體(Read-Only Memory，ROM)或隨機(jī)存儲(chǔ)記憶體(Random Access Memory，RAM)等。

以上對本申請所提供的黑客賬號的檢測方法和裝置進(jìn)行了詳細(xì)介紹，本文中應(yīng)用了具體實(shí)施例對本申請的原理及實(shí)施方式進(jìn)行了闡述，以上實(shí)施例的說明只是用于幫助理解本申請的方法及其核心思想；同時(shí)，對于本領(lǐng)域的一般技術(shù)人員，依據(jù)本申請的思想，在具體實(shí)施方式及應(yīng)用范圍上均會(huì)有改變之處，綜上所述，本說明書內(nèi)容不應(yīng)理解為對本申請的限制。