邮件账号异常检测方法、装置及存储介质制造方法及图纸

本发明专利技术实施例公开了一种邮件账号异常检测方法、装置及存储介质，涉及网络安全领域。本发明专利技术的方法包括：对邮件账号日志进行预处理；基于聚类技术对预处理后的邮件账号日志进行解析，生成消息模式集合，所述消息模式集合用于表征用户行为；对所述消息模式集合进行账号信息提取，并输入机器学习模型进行训练，得到异常检测模型；其中，所述异常检测模型包括账号异常检测模型和/或IP异常检测模型；将当前账号的邮件账号日志输入所述异常检测模型，预测所述邮件账号日志是否存在异常。本发明专利技术能够提高邮件账号异常检测的准确度。提高邮件账号异常检测的准确度。提高邮件账号异常检测的准确度。

【技术实现步骤摘要】
邮件账号异常检测方法、装置及存储介质


[0001]本专利技术涉及网络安全领域，尤其涉及一种邮件账号异常检测方法、装置及存储介质。

技术介绍

[0002]随着计算机技术的高速发展及互联网的广泛普及，电子邮件越来越多地应用于社会生产、生活、学习的各个方面，发挥着举足轻重的作用。人们在享受电子邮件带来便利、快捷的同时，又必须面对互联网的开放性、计算机软件漏洞等所带来的电子邮件安全问题。
[0003]邮件账户是网络攻击中最具有针对性的来源之一。攻击者寻求一切可能的方式进行账户破解，寻找一切有价值的信息资源。因此能够在海量的邮件日志中高效、准确的识别出异常的账户，并采取相关措施，保障邮件系统的安全性变得尤为重要。

技术实现思路

[0004]本专利技术的实施例提供一种邮件账号异常检测方法、装置及存储介质，能够提高邮件账号异常检测的准确度。
[0005]为达到上述目的，本专利技术的实施例采用如下技术方案：
[0006]第一方面，本专利技术的实施例提供一种邮件账号异常检测方法，包括：
[0007]对邮件账号日志进行预处理；
[0008]基于聚类技术对预处理后的邮件账号日志进行解析，生成消息模式集合，所述消息模式集合用于表征用户行为；
[0009]对所述消息模式集合进行账号信息提取，并输入机器学习模型进行训练，得到异常检测模型；其中，所述异常检测模型包括账号异常检测模型和/或IP异常检测模型；
[0010]将当前账号的邮件账号日志输入所述异常检测模型，预测所述邮件账号日志是否存在异常。
[0011]结合第一方面，在第一方面的第一种可能的实现方式中，所述对邮件账号日志进行预处理，包括：
[0012]对所述邮件账号日志包括的系统消息进行过滤处理，保留所述邮件账号日志中的IP消息及账号消息；
[0013]对过滤处理后的日志中的共性特征进行通配符替换处理。
[0014]结合第一方面，在第一方面的第二种可能的实现方式中，所述基于聚类技术对预处理后的邮件账号日志进行解析，生成消息模式集合，所述消息模式集合用于表征用户行为，包括：
[0015]计算预处理后的邮件账号日志中的相应信息与通配符之间的相似度；
[0016]将相似度大于或等于预设阈值的日志进行归类处理；
[0017]将归类后得到的多个类作为所述消息模式集合。
[0018]结合第一方面的第二种可能的实现方式，在第一方面的第三种可能的实现方式
中，所述计算预处理后的邮件账号日志中的相应信息与通配符之间的相似度，包括：
[0019]计算预处理后的邮件账号日志中的相应信息与通配符之间的距离，所述距离为余弦距离或欧式距离；
[0020]所述方法还包括：
[0021]对所述消息模式集合中的至少一个类添加标识，所述标识包括黑名单标识或白名单标识。
[0022]结合第一方面，在第一方面的第四种可能的实现方式中，所述对所述消息模式集合进行账号信息提取，并输入机器学习模型进行训练，得到异常检测模型，包括：
[0023]对所述消息模式集合中预设时间段内的IP消息和账号消息进行事件统计，得到计数矩阵；
[0024]将所述技术矩阵输入机器学习模型，进行非监督训练或半监督训练；
[0025]将训练得到的模型作为所述异常检测模型；其中，所述异常检测模型包括账号异常检测模型和/或IP异常检测模型。
[0026]第二方面，本专利技术的实施例提供一种邮件账号异常检测装置，包括：
[0027]预处理模块，用于对邮件账号日志进行预处理；
[0028]聚类模块，用于基于聚类技术对预处理后的邮件账号日志进行解析，生成消息模式集合，所述消息模式集合用于表征用户行为；
[0029]训练模块，用于对所述消息模式集合进行账号信息提取，并输入机器学习模型进行训练，得到异常检测模型；其中，所述异常检测模型包括账号异常检测模型和/或IP异常检测模型；
[0030]预测模块，用于将当前账号的邮件账号日志输入所述异常检测模型，预测所述邮件账号日志是否存在异常。
[0031]结合第二方面，在第二方面的第一种可能的实现方式中，所述预处理模块，包括：
[0032]过滤子模块，用于对所述邮件账号日志包括的系统消息进行过滤处理，保留所述邮件账号日志中的IP消息及账号消息；
[0033]替换子模块，用于对过滤处理后的日志中的共性特征进行通配符替换处理。
[0034]结合第二方面，在第二方面的第二种可能的实现方式中，所述聚类模块包括：
[0035]计算子模块，用于计算预处理后的邮件账号日志中的相应信息与通配符之间的相似度；
[0036]归类子模块，用于将相似度大于或等于预设阈值的日志进行归类处理，并将归类后得到的多个类作为所述消息模式集合。
[0037]结合第二方面的第二种可能的实现方式，在第二方面的第三种可能的实现方式中，
[0038]所述计算子模块，还用于计算预处理后的邮件账号日志中的相应信息与通配符之间的距离，所述距离为余弦距离或欧式距离；
[0039]所述聚类模块还包括：
[0040]标识子模块，用于对所述消息模式集合中的至少一个类添加标识，所述标识包括黑名单标识或白名单标识。
[0041]结合第二方面，在第二方面的第四种可能的实现方式中，所述训练模块包括：
[0042]计数子模块，用于对所述消息模式集合中预设时间段内的IP消息和账号消息进行事件统计，得到计数矩阵；
[0043]训练子模块，用于将所述技术矩阵输入机器学习模型，进行非监督训练或半监督训练；并将训练得到的模型作为所述异常检测模型；其中，所述异常检测模型包括账号异常检测模型和/或IP异常检测模型。
[0044]第三方面，本专利技术的实施例提供一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述程序被处理器执行时实现第一方面提供的方法的步骤。
[0045]本专利技术实施例提供的邮件账号异常检测方法、装置及存储介质，通过对邮件账号日志进行预处理；基于聚类技术对预处理后的邮件账号日志进行解析，生成消息模式集合，所述消息模式集合用于表征用户行为；对所述消息模式集合进行账号信息提取，并输入机器学习模型进行训练，得到异常检测模型；其中，所述异常检测模型包括账号异常检测模型和/或IP异常检测模型；将当前账号的邮件账号日志输入所述异常检测模型，预测所述邮件账号日志是否存在异常。能够基于聚类技术进行日志解析，并根据解析结果提取出I P信息或邮箱账号信息生成相应计数矩阵，作为输入特征来训练一种非监督的机器学习模型，得到用于账号异常检测的机器学习模型，从而对邮件账号的异常情况进行实时、有效的检测。
附图说明
[0046]为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种邮件账号异常检测方法，其特征在于，包括：对邮件账号日志进行预处理；基于聚类技术对预处理后的邮件账号日志进行解析，生成消息模式集合，所述消息模式集合用于表征用户行为；对所述消息模式集合进行账号信息提取，并输入机器学习模型进行训练，得到异常检测模型；其中，所述异常检测模型包括账号异常检测模型和/或IP异常检测模型；将当前账号的邮件账号日志输入所述异常检测模型，预测所述邮件账号日志是否存在异常。2.根据权利要求1所述的邮件账号异常检测方法，其特征在于，所述对邮件账号日志进行预处理，包括：对所述邮件账号日志包括的系统消息进行过滤处理，保留所述邮件账号日志中的IP消息及账号消息；对过滤处理后的日志中的共性特征进行通配符替换处理。3.根据权利要求1所述的邮件账号异常检测方法，其特征在于，所述基于聚类技术对预处理后的邮件账号日志进行解析，生成消息模式集合，所述消息模式集合用于表征用户行为，包括：计算预处理后的邮件账号日志中的相应信息与通配符之间的相似度；将相似度大于或等于预设阈值的日志进行归类处理；将归类后得到的多个类作为所述消息模式集合。4.根据权利要求3所述的邮件账号异常检测方法，其特征在于，所述计算预处理后的邮件账号日志中的相应信息与通配符之间的相似度，包括：计算预处理后的邮件账号日志中的相应信息与通配符之间的距离，所述距离为余弦距离或欧式距离；所述方法还包括：对所述消息模式集合中的至少一个类添加标识，所述标识包括黑名单标识或白名单标识。5.根据权利要求1所述的邮件账号异常检测方法，其特征在于，所述对所述消息模式集合进行账号信息提取，并输入机器学习模型进行训练，得到异常检测模型，包括：对所述消息模式集合中预设时间段内的IP消息和账号消息进行事件统计，得到计数矩阵；将所述技术矩阵输入机器学习模型，进行非监督训练或半监督训练；将训练得到的模型作为所述异常检测模型；其中，所述异常检测模型包括账号异常检测模型和/或IP异常检测模型。6.一种邮件账号异常检测装置，其特征在于，包括：预...

【专利技术属性】
技术研发人员：龙春，张宇柔，杜冠瑶，赵静，杨帆，
申请(专利权)人：中国科学院计算机网络信息中心，
类型：发明
国别省市：