【技术实现步骤摘要】
邮箱账号异常检测方法、装置、电子设备及存储介质
[0001]本申请涉及网络安全
,具体而言,涉及一种邮箱账号异常检测方法、装置、电子设备及存储介质。
技术介绍
[0002]企业内网中邮箱是日常办公经常使用的沟通工具,攻击者也通常利用邮箱服务器或邮箱帐号作为攻击的入口,如钓鱼邮件等。研究人员通过调研发现,很多机构工作邮箱存在对内或向外发送大量垃圾邮件、黑产邮件等现象,而这些邮箱通常是已被攻击者完全控制,被攻击者在不知情地情况下发生上述行为。
[0003]目前针对邮件行为异常分析常见的方法主要有以下两种:第一种:采用是否存在群发行为等方法。其中邮件群发通常根据邮箱帐号短时间内发送大量邮件来进行判定,这一方法相对简单,容易形成误报。第二种:判断邮箱帐号是否短时间内在多个不同地点登录来进行检测,这一方法需要过滤常规的邮件代收服务等设置,并且只考虑了登录行为,检测条件相对苛刻,结果较难触发。
[0004]由此可知,上述两种方法对邮箱账号检测的准确率较低。
技术实现思路
[0005]本申请实施例的目...
【技术保护点】
【技术特征摘要】
1.一种邮箱账号异常检测方法,其特征在于,包括:获取第一邮箱账号在预设时间段内的多个邮件数据;对每一所述邮件数据进行特征提取,获得每一所述邮件数据对应的邮件特征;其中,所述邮件特征包括账号通信特征、通联关系特征和邮件内容特征;所述账号通信特征用于表征所述第一邮箱账号在所述预设时间段内与第二邮箱账号通信的数量属性;所述通联关系特征用于表征所述第一邮箱账号与有过通联行为的相关邮箱账号的关系属性;所述邮件内容特征用于表征所述第一邮箱账号在预设时间段内发送的邮件的内容属性;将所述账号通信特征、所述通联关系特征和所述邮件内容特征输入预先构建的检测模型中,获得所述检测模型输出的所述第一邮箱账号是否异常的检测结果。2.根据权利要求1所述的方法,其特征在于,对每一所述邮件数据进行特征提取,获得账号通信特征,包括:统计所述邮件数据中,所述第一邮箱账号作为发送方与第二邮箱账号通信的第一账号数量,以及所述第一邮箱账号作为收件方第二邮箱账号通信的第二账号数量;根据所述第一账号数量和所述第二账号数量确定所述账号通信特征。3.根据权利要求1所述的方法,其特征在于,对每一所述邮件数据进行特征提取,获得通联关系特征,包括:获取与所述第一邮箱账号通信的所有第二邮箱账号;获取所述第二邮箱账号在所述预设时间段内通信的除所述第一邮箱账号以外的第三邮箱账号;根据所述第二邮箱账号和所述第三邮箱账号确定所述通联关系特征。4.根据权利要求3所述的方法,其特征在于,所述根据所述第二邮箱账号和所述第三邮箱账号确定所述通联关系特征,包括:获取所述第二邮箱账号对应的第三账号数量;构建所述第一邮箱账号、所述第二邮箱账号和所述第三邮箱账号的连接关系;根据所述连接关系统计所述第一邮箱账号到所述第三邮箱账号之间的边数;根据所述第三账号数量和所述边数确定所述通联关系特征。5.根据权利要求1所述的方法,其特征在于,对每一所述邮件数据进行特征提取,获得邮件内容特征,包括:统计所述邮件数据中的主题数量以及主题长度信息;根据所述主题长度信息计算获得对应的主题均值和主题标准差;统计包含邮件正文的第一邮件数量及正文长度信息,并根据所述正文长度信息计算获得对应的正文均值和正文标准差;统计包含附件的第二邮件数据及附件长度信息;根据所述主题数量、所述主题均值、所述主题标准差、所述第一邮件数量、所述正文均值、所述正文标准差、所述第二邮件数据和所述附件长度信息确定所述邮件内容特征。6.根据权利要求1所述...
【专利技术属性】
技术研发人员:鲍青波,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。