异常邮件识别方法及装置制造方法及图纸

本申请实施例提供一种异常邮件识别方法及装置，其通过对大量历史邮件数据进行特征提取及数据训练，得到邮件识别模型，通过该邮件识别模型自动识别目标邮件是否异常。相对于现有技术，本申请实施例的识别过程完全由模型自动执行，且由于该模型以大量历史邮件数据为基础训练得到的，识别范围更全面，可以避免因敏感信息检查策略存在漏洞导致部分异常邮件无法被识别出来，从而提高识别准确率。

Method and device for identifying abnormal mail

The embodiment of the present invention provides a method and device for identifying abnormal messages, through the training of feature extraction and data of a large number of historical data by mail recognition model of mail, mail, the recognition model of automatic target recognition mail is abnormal. Compared with the prior art, the identification process of the embodiment of the invention is fully executed automatically by the model, and the model with a large number of historical data as the basis for training by mail, recognition scope is more comprehensive, can be avoided because of the sensitive information inspection policy loopholes result in some abnormal mail cannot be identified, so as to improve the accuracy rate of recognition.

【技术实现步骤摘要】
异常邮件识别方法及装置
本申请涉及网络管理
，尤其涉及一种异常邮件识别方法及装置。
技术介绍
电子邮件以其使用便利、应用快捷、通讯及时、费用经济和信息量大等优点,已经成为当前商务和个人重要的通信工具。电子邮件中通常包含很多有价值的信息，为避免机密信息或包含敏感信息的文件泄露，很多企业都需要对员工发送或接收的电子邮件进行管理，具体管理方式有很多，例如：当电子邮件的收件人、发件人、主题、附件名或邮件大小等属性中包含敏感信息时，禁止发送该电子邮件，限定只能使用企业规定的邮箱发送电子邮件，以及邮件必须抄送给特定人员(如部门主管)才能成功发送等。现有技术对电子邮件的管理方式都具有一定的局限性。例如，上述基于敏感信息来检查并禁止异常邮件的管理方式，很难覆盖所有的敏感信息及所有可能包含敏感信息的属性，导致检查策略存在漏洞，部分异常电子邮件无法被检测到；又如上述需要抄送给特定人员的管理方式，则需要该特定人员人工检测是否为合法邮件，增加了工作量。因此，亟需一种可以自动并准确地识别异常邮件的方案，以在不增加相关人员工作量的前提下，降低异常邮件的输出。
技术实现思路
本申请提供了一种异常邮件识别方法及相关装置，以在不增加相关人员工作量的前提下，自动并准确地识别异常邮件，降低异常邮件的输出。为了解决上述技术问题，本申请实施例公开了如下技术方案：本申请实施例的第一方面，提供一种异常邮件识别方法，包括：获取历史邮件数据及所述历史邮件数据对应的标注信息；所述标注信息用于标记所述历史邮件数据为正常邮件数据或异常邮件数据；对所述历史邮件数据执行特征提取，得到所述历史邮件数据对应的特征值集合；根据所述标注信息和特征值集合，建立邮件识别模型；当检测到邮件发送事件时，利用所述邮件识别模型对目标邮件进行识别，以确定所述目标邮件是否为异常邮件。可选的，对所述历史邮件数据执行特征提取,包括：从所述历史邮件数据中分别提取每个特征对应的独立特征值；和/或，从所述历史邮件数据中提取相互关联的多个特征对应的关联特征值。可选的，根据所述标注信息和特征值集合，建立邮件识别模型，包括：根据所述标注信息将所述特征值集合分为正常邮件样本集合或异常邮件样本集合；所述正常邮件样本集合至少包括相互无交集的第一正常子集合和第二正常子集合，所述异常邮件样本集合至少包括相互无交集的第一异常子集合和第二异常子集合；根据所述第一正常子集合和/或第一异常子集合进行数据训练，得到初始模型；根据所述第二正常子集合和/或第二异常子集合，对所述初始模型进行校验，得到所述邮件识别模型。可选的，根据所述标注信息和特征值集合，建立邮件识别模型，包括：根据所述特征值集合中的第一子集合进行数据训练，得到初始模型；根据所述特征值集合中的第二子集合，对所述初始模型进行校验，得到所述邮件识别模型。可选的，根据所述标注信息和特征值集合，建立邮件识别模型，包括：根据所述标注信息和特征值集合，通过二项逻辑回归算法建立所述邮件识别模型。可选的，利用所述邮件识别模型对目标邮件进行识别，包括：根据所述邮件识别模型中记录的各个特征对应的特征值范围，对所述目标邮件的各个特征值进行匹配，得到相应的匹配值；根据所述邮件识别模型中记录的各个特征对应的权重，对所述匹配值进行加权求和；根据所述加权求和结果确定所述目标邮件是否为异常邮件。可选的，所述方法还包括：在利用所述邮件识别模型对目标邮件进行识别之后，对识别结果进行验证；当验证得到所述识别结果错误时，将所述目标邮件对应的邮件数据添加至所述历史邮件数据，并重新建立所述邮件识别模型。可选的，在根据所述标注信息和特征值集合，建立邮件识别模型之前，所述方法还包括：对所述特征值集合进行数据清洗操作；和/或，将所述特征值集合中非数值型的特征值转换为数值型的特征值。本申请实施例的第二方面，提供一种异常邮件识别装置，包括：数据采集单元，用于获取历史邮件数据及所述历史邮件数据对应的标注信息；所述标注信息用于标记所述历史邮件数据为正常邮件数据或异常邮件数据；数据处理单元，用于对所述历史邮件数据执行特征提取，得到所述历史邮件数据对应的特征值集合；建模单元，用于根据所述标注信息和特征值集合，建立邮件识别模型；识别单元，用于当检测到邮件发送事件时，利用所述邮件识别模型对目标邮件进行识别，以确定所述目标邮件是否为异常邮件。可选的，所述装置还包括：验证单元，用于对识别单元得到的识别结果进行验证，并在验证得到所述识别结果错误时，重新触发所述数据采集单元、数据处理单元和建模单元，以将所述目标邮件对应的邮件数据添加至所述历史邮件数据，并重新建立所述邮件识别模型。可选的，所述装置还包括：数据清洗单元，用于对所述特征值集合进行数据清洗操作；和/或，数据转换单元，用于将所述特征值集合中非数值型的特征值转换为数值型的特征值。由以上技术方案可知，本申请实施例通过对大量历史邮件数据进行特征提取及数据训练，得到邮件识别模型，通过该邮件识别模型自动识别目标邮件是否异常。相对于现有技术，本申请实施例的识别过程完全由模型自动执行，且由于该模型以大量历史邮件数据为基础训练得到的，识别范围更全面，可以避免因敏感信息检查策略存在漏洞导致部分异常邮件无法被识别出来，从而提高识别准确率。应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。图1为本申请实施例提供的一种异常邮件识别方法的流程图；图2为本申请实施例提供的另一种异常邮件识别方法的流程图；图3为本申请实施例提供的又一种异常邮件识别方法的流程图；图4为本申请实施例提供的一种异常邮件识别装置的结构示意图；图5为本申请实施例提供的另一种异常邮件识别装置的结构示意图。具体实施方式为了使本领域的技术人员更好地理解本申请实施例中的技术方案，并使本申请实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图对本申请实施例中技术方案作进一步详细的说明。图1为本申请实施例提供的一种异常邮件识别方法的流程图。参照图1，该异常邮件识别方法包括以下步骤：S11、获取历史邮件数据及所述历史邮件数据对应的标注信息。所述标注信息用于标记所述历史邮件数据为正常邮件数据或异常邮件数据。本申请实施例中，所述历史邮件数据可以从现有邮件管理数据库、客户端中提取得到，可以是所有的历史邮件，也可以是一段时间(如两年、一年等)内的历史邮件；当然，为保证异常邮件识别准确率，应当获取尽可能多的历史邮件数据。其中，该历史邮件数据可以包括各个历史邮件相关的各种特征数据，如下表1中所示的邮件发送时间、发件人、发送IP地址、发件人邮箱网址，以及收件人邮箱网址、发送内容、发送附件、发送邮件的客户端信息等。表1历史邮件数据统计表邮件发送时间发件人发送IP地址发件人邮箱网址2016/6/18:30User1192.168.10.1mail.163.com2016/6/18:33User2192.168.10.1mail.163.com20本文档来自技高网...

【技术保护点】
一种异常邮件识别方法，其特征在于，包括：获取历史邮件数据及所述历史邮件数据对应的标注信息；所述标注信息用于标记所述历史邮件数据为正常邮件数据或异常邮件数据；对所述历史邮件数据执行特征提取，得到所述历史邮件数据对应的特征值集合；根据所述标注信息和特征值集合，建立邮件识别模型；当检测到邮件发送事件时，利用所述邮件识别模型对目标邮件进行识别，以确定所述目标邮件是否为异常邮件。

【技术特征摘要】
1.一种异常邮件识别方法，其特征在于，包括：获取历史邮件数据及所述历史邮件数据对应的标注信息；所述标注信息用于标记所述历史邮件数据为正常邮件数据或异常邮件数据；对所述历史邮件数据执行特征提取，得到所述历史邮件数据对应的特征值集合；根据所述标注信息和特征值集合，建立邮件识别模型；当检测到邮件发送事件时，利用所述邮件识别模型对目标邮件进行识别，以确定所述目标邮件是否为异常邮件。2.根据权利要求1所述的方法，其特征在于，根据所述标注信息和特征值集合，建立邮件识别模型，包括：根据所述标注信息将所述特征值集合分为正常邮件样本集合或异常邮件样本集合；所述正常邮件样本集合至少包括相互无交集的第一正常子集合和第二正常子集合，所述异常邮件样本集合至少包括相互无交集的第一异常子集合和第二异常子集合；根据所述第一正常子集合和/或第一异常子集合进行数据训练，得到初始模型；根据所述第二正常子集合和/或第二异常子集合，对所述初始模型进行校验，得到所述邮件识别模型。3.根据权利要求1所述的方法，其特征在于，根据所述标注信息和特征值集合，建立邮件识别模型，包括：根据所述标注信息和特征值集合，通过二项逻辑回归算法建立所述邮件识别模型。4.根据权利要求1所述的方法，其特征在于，利用所述邮件识别模型对目标邮件进行识别，包括：根据所述邮件识别模型中记录的各个特征对应的特征值范围，对所述目标邮件的各个特征值进行匹配，得到相应的匹配值；根据所述邮件识别模型中记录的各个特征对应的权重，对所述匹配值进行加权求和；根据所述加权求和结果确定所述目标邮件是否为异常邮件。5.根据权利要求1所述的方法，其特征在于，对所述历史邮件数据执行特征提取,包括：从所述历史邮件...

【专利技术属性】
技术研发人员：赵欢，王星亮，高峰，张建军，王秀娟，
申请(专利权)人：北京神州泰岳信息安全技术有限公司，
类型：发明
国别省市：北京,11