一种异常邮件检测方法及装置制造方法及图纸

本申请涉及网络安全技术领域，尤其涉及一种异常邮件检测方法及装置，获取待检测邮件的行为信息、发送待检测邮件的发件邮箱和接收到待检测邮件的收件邮箱，确定收件邮箱的常用联系人集合，并判断发件邮箱是否包含在常用联系人集合中，若确定发件邮箱包含在常用联系人集合中，则通过将行为信息与预先存储的标准行为信息进行匹配，确定待检测邮件的邮件类型，否则，通过确定发件邮箱与常用联系人集合中包含的各常用邮箱之间的邮箱相似度，确定待检测邮件的邮件类型，根据邮件类型，确定待检测邮件是否为异常邮件，这样，能够在保证不泄漏用户隐私信息的前提下，实现对异常邮件的检测。实现对异常邮件的检测。实现对异常邮件的检测。

【技术实现步骤摘要】
一种异常邮件检测方法及装置


[0001]本申请涉及网络安全
，尤其涉及一种异常邮件检测方法及装置。

技术介绍

[0002]随着网络技术的发展，出现了越来越多的网络攻击者，网络攻击者可能会向用户发送异常邮件，并在异常邮件中携带恶意链接，诱使用户点击或者登陆账号密码等。一旦用户点击链接或输入账号密码，相关信息就会被窃取，黑客甚至会借机安装木马等恶意程序，持续破坏目标计算机。因此，如何能够实现对异常邮件的检测，成为了一个亟待解决的问题。
[0003]现有技术中，在对异常邮件进行检测时，可以基于机器学习算法构建分类器模型，对待检测邮件的正文文本内容或携带的统一资源定位系统(uniform resource locator，URL)链接进行识别，从而判断待检测邮件是否为异常邮件。但是，现有技术中的这种方法需要对待检测邮件的内容进行检测，存在泄露用户隐私的问题。

技术实现思路

[0004]本申请实施例提供一种异常邮件检测方法及装置，在保证不泄露用户隐私的前提下，实现对异常邮件的检测。
[0005]本申请实施例提供的具体技术方案如下：
[0006]获取待检测邮件的行为信息、发送所述待检测邮件的发件邮箱和接收到所述待检测邮件的收件邮箱，其中，所述行为信息表征发送所述待检测邮件时所述发件邮箱的发送行为的信息；
[0007]确定所述收件邮箱的常用联系人集合，并判断所述发件邮箱是否包含在所述常用联系人集合中，其中，所述常用联系人集合表征在预设时间范围内与所述收件邮箱之间的往来邮件的数量超过预设数量阈值的常用邮箱的集合；
[0008]若确定所述发件邮箱包含在所述常用联系人集合中，则通过将所述行为信息与预先存储的标准行为信息进行匹配，确定所述待检测邮件的邮件类型，否则，通过确定所述发件邮箱与所述常用联系人集合中包含的各常用邮箱之间的邮箱相似度，确定所述待检测邮件的邮件类型，其中，所述标准行为信息表征发送非异常邮件时所述发件邮箱的发送行为的信息；
[0009]根据所述邮件类型，确定所述待检测邮件是否为异常邮件。
[0010]可选的，所述常用联系人集合的获得方式为：
[0011]获取预设采样范围内所述收件邮箱接收到的各接收邮件和发送所述各接收邮件的源发件邮箱，以及各源发件邮箱发送给所述收件邮箱的各发送邮件；
[0012]分别针对所述各源发件邮箱，根据所述各接收邮件和所述各发送邮件，确定任意一源发件邮箱与所述收件邮箱之间的平均往来邮件数量；
[0013]分别针对所述各源发件邮箱，若确定任意一源发件邮箱的平均往来邮件数量大于
预设的平均数量阈值，则确定该源发件邮箱为常用邮箱；
[0014]生成包含有各常用邮箱的常用联系人集合。
[0015]可选的，根据所述各接收邮件和所述各发送邮件，确定任意一源发件邮箱与所述收件邮箱之间的平均往来邮件数量，具体包括：
[0016]统计该源发件邮箱每日接收到所述收件邮箱发送的邮件的每日收件数量，以及每日发送给所述收件邮箱的邮件的每日发件数量；
[0017]根据每日收件数量之和与预设的天数之间的比值，确定每日平均收件数量，并根据每日发件数量之和与预设的天数之间的比值，确定每日平均发件数量；
[0018]根据所述每日平均收件数量、所述每日平均发件数量和所述每日平均收件数量的标准差，确定任意一源发件邮箱与所述收件邮箱之间的平均往来邮件数量。
[0019]可选的，通过确定所述发件邮箱与所述常用联系人集合中包含的各常用邮箱之间的邮箱相似度，确定所述待检测邮件的邮件类型，具体包括：
[0020]分别针对所述常用联系人集合中包含的各常用邮箱，将任意一常用邮箱的用户名信息与所述发件邮箱的用户名信息对齐，将该常用邮箱的域名信息与所述发件邮箱信息的域名信息对齐，并将该常用邮箱的各个字符转换为特征值，并根据各特征值，确定该常用邮箱的特征向量值；
[0021]分别针对所述各常用邮箱，计算所述发件邮箱的特征向量值与任意一常用邮箱的特征向量值之间的余弦相似度，若确定所述余弦相似度大于预设的相似度阈值，则确定所述待检测邮件的邮件类型为相似邮件。
[0022]可选的，若所述行为信息为发件时间和IP地址，则通过将所述行为信息与预先存储的标准行为信息进行匹配，确定所述待检测邮件的邮件类型，具体包括：
[0023]若确定所述发件时间未位于为预设的标准发件时间内，和/或所述IP地址不为预设的标准IP地址，则确定所述待检测邮件的邮件类型为行为异常邮件，其中，所述标准发件时间表征所述发件邮箱发送非异常邮件时的发件时间，所述标准IP地址表征所述发件邮箱发送非异常邮件时的IP地址。
[0024]可选的，所述标准发件时间的获得方式为：
[0025]分别针对所述常用联系人集合中的各常用邮箱，统计任意一常用邮箱每日在各预设时间段内的发件数量；
[0026]分别针对所述各常用邮箱，根据任意一常用邮箱每日在所述各时间段内的发件数量，以及对应的标准差，确定所述各时间段的标准分值，并将超过预设标准分值阈值的时间段计为标准发件时间，其中，所述标准分值表征是否为标准发件时间对应的分值。
[0027]可选的，根据所述邮件类型，确定所述待检测邮件是否为异常邮件，具体包括：
[0028]若所述邮件类型为相似邮件或行为异常邮件，则确定所述待检测邮件为异常邮件。
[0029]一种异常邮件检测装置，包括：
[0030]第一获取模块，用于获取待检测邮件的行为信息、发送所述待检测邮件的发件邮箱和接收到所述待检测邮件的收件邮箱，其中，所述行为信息表征发送所述待检测邮件时所述发件邮箱的发送行为的信息；
[0031]判断模块，用于确定所述收件邮箱的常用联系人集合，并判断所述发件邮箱是否
包含在所述常用联系人集合中，其中，所述常用联系人集合表征在预设时间范围内与所述收件邮箱之间的往来邮件的数量超过预设数量阈值的常用邮箱的集合；
[0032]检测模块，用于若确定所述发件邮箱包含在所述常用联系人集合中，则通过将所述行为信息与预先存储的标准行为信息进行匹配，确定所述待检测邮件的邮件类型，否则，通过确定所述发件邮箱与所述常用联系人集合中包含的各常用邮箱之间的邮箱相似度，确定所述待检测邮件的邮件类型，其中，所述标准行为信息表征发送非异常邮件时所述发件邮箱的发送行为的信息；
[0033]第一确定模块，用于根据所述邮件类型，确定所述待检测邮件是否为异常邮件。
[0034]可选的，获得所述常用联系人集合时，进一步包括：
[0035]第二获取模块，用于获取预设采样范围内所述收件邮箱接收到的各接收邮件和发送所述各接收邮件的源发件邮箱，以及各源发件邮箱发送给所述收件邮箱的各发送邮件；
[0036]第二确定模块，用于分别针对所述各源发件邮箱，根据所述各接收邮件和所述各发送邮件，确定任意一源发件邮箱与所述收件邮箱之间的平均往来邮件数量；
[0037]第三确定模本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种异常邮件检测方法，其特征在于，包括：获取待检测邮件的行为信息、发送所述待检测邮件的发件邮箱和接收到所述待检测邮件的收件邮箱，其中，所述行为信息表征发送所述待检测邮件时所述发件邮箱的发送行为的信息；确定所述收件邮箱的常用联系人集合，并判断所述发件邮箱是否包含在所述常用联系人集合中，其中，所述常用联系人集合表征在预设时间范围内与所述收件邮箱之间的往来邮件的数量超过预设数量阈值的常用邮箱的集合；若确定所述发件邮箱包含在所述常用联系人集合中，则通过将所述行为信息与预先存储的标准行为信息进行匹配，确定所述待检测邮件的邮件类型，否则，通过确定所述发件邮箱与所述常用联系人集合中包含的各常用邮箱之间的邮箱相似度，确定所述待检测邮件的邮件类型，其中，所述标准行为信息表征发送非异常邮件时所述发件邮箱的发送行为的信息；根据所述邮件类型，确定所述待检测邮件是否为异常邮件。2.如权利要求1所述的方法，其特征在于，所述常用联系人集合的获得方式为：获取预设采样范围内所述收件邮箱接收到的各接收邮件和发送所述各接收邮件的源发件邮箱，以及各源发件邮箱发送给所述收件邮箱的各发送邮件；分别针对所述各源发件邮箱，根据所述各接收邮件和所述各发送邮件，确定任意一源发件邮箱与所述收件邮箱之间的平均往来邮件数量；分别针对所述各源发件邮箱，若确定任意一源发件邮箱的平均往来邮件数量大于预设的平均数量阈值，则确定该源发件邮箱为常用邮箱；生成包含有各常用邮箱的常用联系人集合。3.如权利要求2所述的方法，其特征在于，根据所述各接收邮件和所述各发送邮件，确定任意一源发件邮箱与所述收件邮箱之间的平均往来邮件数量，具体包括：统计该源发件邮箱每日接收到所述收件邮箱发送的邮件的每日收件数量，以及每日发送给所述收件邮箱的邮件的每日发件数量；根据每日收件数量之和与预设的天数之间的比值，确定每日平均收件数量，并根据每日发件数量之和与预设的天数之间的比值，确定每日平均发件数量；根据所述每日平均收件数量、所述每日平均发件数量和所述每日平均收件数量的标准差，确定任意一源发件邮箱与所述收件邮箱之间的平均往来邮件数量。4.如权利要求1所述的方法，其特征在于，通过确定所述发件邮箱与所述常用联系人集合中包含的各常用邮箱之间的邮箱相似度，确定所述待检测邮件的邮件类型，具体包括：分别针对所述常用联系人集合中包含的各常用邮箱，将任意一常用邮箱的用户名信息与所述发件邮箱的用户名信息对齐，将该常用邮箱的域名信息与所述发件邮箱信息的域名信息对齐，并将该常用邮箱的各个字符转换为特征值，并根据各特征值，确定该常用邮箱的特征向量值；分别针对所述各常用邮箱，计算所述发件邮箱的特征向量值与任意一常用邮箱的特征向量值之间的余弦相似度，若确定...

【专利技术属性】
技术研发人员：郝传洲，黄俊，潘登，
申请(专利权)人：北京神州绿盟科技有限公司，
类型：发明
国别省市：