一种邮箱登录异常的检测方法、装置、设备及存储介质制造方法及图纸

本发明专利技术公开了一种邮箱登录异常的检测方法、装置、设备及存储介质，包括：获取用户邮箱的所有登录记录，并根据所述用户邮箱中预设的正常邮件，建立可信IP列表和标准用户画像；根据登录IP的预设地理信息库，获取每个登录记录对应地区的经纬度；其中，每一个登录记录包含一个登录IP和一个登录时间；根据所述登录时间，依次计算每相邻两次登录记录所对应地区的经纬度的切换速度，并根据预设的速度阈值，筛选出可疑登录记录；根据所述可信IP列表和所述标准用户画像，对所述可疑登录记录进行剔除操作，并将剔除操作后的可疑登录记录作为异常记录。本发明专利技术解决了现有技术中登录地区切换的登录异常检测准确性低的技术问题。录异常检测准确性低的技术问题。录异常检测准确性低的技术问题。

【技术实现步骤摘要】
一种邮箱登录异常的检测方法、装置、设备及存储介质


[0001]本专利技术涉及网络信息技术安全领域，尤其涉及一种邮箱登录异常的检测方法、装置、设备及存储介质。

技术介绍

[0002]电子邮箱的非授权登录检测是邮件安全领域的重要应用。电子邮箱的应用非常广泛，企业邮箱的安全性更关乎公司、企业等的利益，绝大多数企业、政府部门、科研单位等采用企业邮件进行公文传递、修改和审批，许多高度机密的数据都包含在其中。但是电子邮件在传输过程中，需要在不同的邮件服务器上进行转发，这就给攻击者带来了可乘之机。电子邮箱的密码泄露途径非常多，包括但不限于钓鱼邮件(骗取用户点击邮件中的不明链接URL到一个非法登录页面并盗取用户的账号密码)，暴力破解(使用大量的IP快速的尝试大量账号的大量密码，有一定的概率能破解一些简单密码的邮箱账号)，木马(通过邮件或者其他下载途径在客户机器安装木马并偷取用户账号密码)，撞库(用户的账号密码在多个网站共用，导致其中一个网站后台被攻陷账号密码被盗后，能用同一个密码登录其他系统或者对应的邮件系统)。由于攻击方法层出不穷，所以只能认为肯定有用户因为上述某些原因被盗走了对应的邮箱账号密码，因此需要一个办法判别当前登录的是用户自己还是其他非授权的用户。
[0003]目前，绝大多数的邮箱账号登录风险控制的安全检测都是针对于某一个特定泄漏途径，例如，通过聚类等方法获得攻击者的使用IP，最终确定可疑邮箱的共同登录IP确定攻击者，但对于有大量代理可疑从不同IP登录被盗账号的攻击者，或者针对少量高价值账号的低频持续监控攻击，基于共同登录IP的方法不一定能够捕获这类异常登录；对于暴力破解，对于同一个IP尝试大量不同的账号，大量不同密码的，设定一定阈值；对于异地登录风险控制，需额外对登录的用户做双因子认证，但对于用户可能使用VPN等代理，切换对应地理位置时，或基于不同的IP地理未知信息库，有一定的概率返回错误的IP对应地理位置，导致登录过程复杂，甚至失败。
[0004]因此，目前亟需一种对于企业邮箱的登录异常进行检测的策略，以解决现有技术中用户使用代理导致登录地区切换引起误报，使得检测不准确的情况。

技术实现思路

[0005]本专利技术提供了一种邮箱登录异常的检测方法、装置、设备及存储介质，以解决现有技术中登录地区切换的登录异常检测准确性低的技术问题。
[0006]为了解决上述技术问题，本专利技术实施例提供了一种邮箱登录异常的检测方法，包括：
[0007]获取用户邮箱的所有登录记录，并根据所述用户邮箱中预设的正常邮件，建立可信IP列表和标准用户画像；
[0008]根据登录IP的预设地理信息库，获取每个登录记录对应地区的经纬度；其中，每一
个登录记录包含一个登录IP和一个登录时间；
[0009]根据所述登录时间，依次计算每相邻两次登录记录所对应地区的经纬度的切换速度，并根据预设的速度阈值，筛选出可疑登录记录；
[0010]根据所述可信IP列表和所述标准用户画像，对所述可疑登录记录进行剔除操作，并将剔除操作后的可疑登录记录作为异常记录。
[0011]作为优选方案，在所述将剔除操作后的可疑登录记录作为异常记录之后，还包括：
[0012]响应于当前用户的邮箱登录操作，生成第一登录记录，根据所述可信IP列表和所述标准用户画像，判断所述第一登录记录是否正常；
[0013]若所述第一登录记录正常，则保存该登录记录；
[0014]若所述第一登录记录不正常，则触发双因子认证，以使所述当前用户确认登录。
[0015]作为优选方案，在所述响应于当前用户的邮箱登录操作，生成第一登录记录，根据所述可信IP列表和所述标准用户画像，判断所述第一登录记录是否正常之后，还包括：
[0016]记录在第一预设时间段内生成的登录记录的数量，若所述生成的登录记录的数量大于预设的第一阈值，则封禁所述当前用户的邮箱。
[0017]作为优选方案，在所述根据登录IP的预设地理信息库，获取每个登录记录对应地区的经纬度之后，还包括：
[0018]获取第二预设时间段内所有登录失败的登录记录，根据预设的暴力破解规则，对所述所有登录失败的登录记录进行分类操作，获得暴力破解记录和非暴力破解记录；
[0019]若所述暴力破解记录超过预设的第二阈值，则将所述暴力破解记录中的所有登录IP进行标记，作为暴力破解IP列表；
[0020]根据符合所述暴力破解IP列表的登录IP所对应的登录记录，更新所述异常记录。
[0021]作为优选方案，所述获取用户邮箱的所有登录记录，根据所述用户邮箱中预设的正常邮件，建立可信IP列表和标准用户画像，具体为：
[0022]获取用户的邮箱中所有预设的正常邮件的IP所对应的唯一发信人的数量，将所述唯一发信人的数量大于第三阈值的IP作为可信IP种子，并将所有发自所述可信IP的邮件的客户端ID作为可信ID列表；其中，每个登录记录还包含一个客户端ID；
[0023]根据所述可信IP种子和所述可信ID列表，将每个所述可信IP种子作为一个顶点，每个所述顶点的权值为每个所述可信IP种子所对应的唯一发信人的数量，从而构建信誉传输图，对所述信誉传输图进行迭代生长与传播，直至迭代次数达到预设值，获得迭代后每个顶点的权值，并根据所述迭代后每个顶点的权值，获得可信IP列表；
[0024]根据所述可信IP列表，计算得到标准用户画像。
[0025]作为优选方案，所述根据所述可信IP，计算得到标准用户画像，具体为：
[0026]获取所述用户的邮箱的所有登录记录，根据所述可信IP列表，筛选出符合所述可信IP列表的登录记录；
[0027]根据所述符合所述可信IP列表的登录记录，计算出所述用户的特征向量，作为标准用户画像。
[0028]作为优选方案，所述根据所述登录时间，依次计算每相邻两次登录记录所对应地区的经纬度的切换速度，并根据预设的速度阈值，筛选出可疑登录记录，具体为：
[0029]根据所述登录时间，对所有登录记录进行排序，依次计算每相邻两次登录记录所
对应地区的经纬度的切换速度，并根据预设的速度阈值，筛选出大于所述预设的速度阈值的切换速度所对应的相邻两次登录记录，作为可疑登录记录。
[0030]相应地，本专利技术还提供一种邮箱登录异常的检测装置，包括：列表画像模块、地区位置模块、可疑登录模块和异常记录模块；
[0031]所述列表画像模块，用于获取用户邮箱的所有登录记录，并根据所述用户邮箱中预设的正常邮件，建立可信IP列表和标准用户画像；
[0032]所述地区位置模块，用于根据登录IP的预设地理信息库，获取每个登录记录对应地区的经纬度；其中，每一个登录记录包含一个登录IP和一个登录时间；
[0033]所述可疑登录模块，用于根据所述登录时间，依次计算每相邻两次登录记录所对应地区的经纬度的切换速度，并根据预设的速度阈值，筛选出可疑登录记录；
[0034]所述异常记录模块，用于根据所述可本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种邮箱登录异常的检测方法，其特征在于，包括：获取用户邮箱的所有登录记录，并根据所述用户邮箱中预设的正常邮件，建立可信IP列表和标准用户画像；根据登录IP的预设地理信息库，获取每个登录记录对应地区的经纬度；其中，每一个登录记录包含一个登录IP和一个登录时间；根据所述登录时间，依次计算每相邻两次登录记录所对应地区的经纬度的切换速度，并根据预设的速度阈值，筛选出可疑登录记录；根据所述可信IP列表和所述标准用户画像，对所述可疑登录记录进行剔除操作，并将剔除操作后的可疑登录记录作为异常记录。2.如权利要求1所述的一种邮箱登录异常的检测方法，其特征在于，在所述将剔除操作后的可疑登录记录作为异常记录之后，还包括：响应于当前用户的邮箱登录操作，生成第一登录记录，根据所述可信IP列表和所述标准用户画像，判断所述第一登录记录是否正常；若所述第一登录记录正常，则保存该登录记录；若所述第一登录记录不正常，则触发双因子认证，以使所述当前用户确认登录。3.如权利要求2所述的一种邮箱登录异常的检测方法，其特征在于，在所述响应于当前用户的邮箱登录操作，生成第一登录记录，根据所述可信IP列表和所述标准用户画像，判断所述第一登录记录是否正常之后，还包括：记录在第一预设时间段内生成的登录记录的数量，若所述生成的登录记录的数量大于预设的第一阈值，则封禁所述当前用户的邮箱。4.如权利要求1所述的一种邮箱登录异常的检测方法，其特征在于，在所述根据登录IP的预设地理信息库，获取每个登录记录对应地区的经纬度之后，还包括：获取第二预设时间段内所有登录失败的登录记录，根据预设的暴力破解规则，对所述所有登录失败的登录记录进行分类操作，获得暴力破解记录和非暴力破解记录；若所述暴力破解记录超过预设的第二阈值，则将所述暴力破解记录中的所有登录IP进行标记，作为暴力破解IP列表；根据符合所述暴力破解IP列表的登录IP所对应的登录记录，更新所述异常记录。5.如权利要求1所述的一种邮箱登录异常的检测方法，其特征在于，所述获取用户邮箱的所有登录记录，根据所述用户邮箱中预设的正常邮件，建立可信IP列表和标准用户画像，具体为：获取用户的邮箱中所有预设的正常邮件的IP所对应的唯一发信人的数量，将所述唯一发信人的数量大于第三阈值的IP作为可信IP种子，并将所有发自所述可信IP的邮件的客户端ID作为可信ID列表；其中，每个登录记录还包含一个客户端ID；根据所述可信IP种子和所述可信ID列表，...

【专利技术属性】
技术研发人员：林延中，潘庆峰，
申请(专利权)人：广东盈世计算机科技有限公司，
类型：发明
国别省市：