本发明专利技术提供一种基于密度聚类的邮箱账号异常登录行为检测方法及设备,该方法包括:获取登录日志信息,对所述登录日志信息清洗后提取所述登录日志信息中的目标特征信息;对所述目标特征信息进行特征处理得到对应的特征值;通过特征选择算法从所述特征值中确定目标特征值,将所述目标特征值输入DBSCAN算法模型进行密度聚类得到离群点,将所述离群点确定为异常点。本方法不依赖于外部威胁情报库等第三方信息库,仅使用账号本身的历史登录记录作为判断依据,具有配置灵活、准确性高、处理速度快的优点,可以快速找到具有异常登录特征的账号登录记录并发出告警信息,方便运维人员进一步核验发现隐藏的异常登录行为。验发现隐藏的异常登录行为。验发现隐藏的异常登录行为。
【技术实现步骤摘要】
基于密度聚类的邮箱账号异常登录行为检测方法及设备
[0001]本专利技术涉及计算机
,具体涉及一种基于密度聚类的邮箱账号异常登录行为检测方法及设备。
技术介绍
[0002]邮箱账号被窃可能造成邮箱内重要资料丢失及敏感数据泄露,从而为用户甚至组织带来巨大损失,而邮箱账号的异常登录往往是邮箱账号被窃的开始和重要标志。因此,及时检测并发现邮箱账号的异常登录行为,进而采取告警及处置措施尤为重要。
[0003]现有的检测邮箱账号异常登录的方法主要是在账号登录时,通过判断用户的登录地信息和上次登录地的差异,给出登录告警,该方法存在大量误报,例如对用户配置了代理收发邮件、通过境外服务器跳转登录邮箱账号等行为会识别为异常登录。
技术实现思路
[0004]本专利技术要解决的是现有技术中检测误判多而不准确的问题。
[0005]有鉴于此,第一方面,本专利技术提供一种基于密度聚类的邮箱账号异常登录行为检测方法,包括:
[0006]获取登录日志信息,对所述登录日志信息清洗后提取所述登录日志信息中的目标特征信息;
[0007]对所述目标特征信息进行特征处理得到对应的特征值;
[0008]通过特征选择算法从所述特征值中确定目标特征值,将所述目标特征值输入DBSCAN算法模型进行密度聚类得到离群点,将所述离群点确定为异常点。
[0009]优选地,所述目标特征信息包括:登录时间信息、登录IP信息、登录的邮箱账号名称、账号登录状态信息、登录协议信息。
[0010]优选地,所述对所述目标特征信息进行特征处理得到对应的特征值包括:对所述登录时间信息和所述登录IP信息进行编码和归一化处理得到对应的登录时间特征值和登录IP特征值。
[0011]优选地,对所述登录时间信息进行编码和归一化处理包括:提取登录时间的年、月、日信息,并判断识别是否为工作日/节假日,基于预设规则对登录时间进行编码和归一化处理得到登录时间编码值,将所述是否为工作日/节假日的判断结果信息和所述登录时间编码值作为所述登录时间特征值。
[0012]优选地,所述预设规则为:将登录行为发生的具体时间转化成其与当天零点时刻相差的秒数作为该时间的编码,将所述编码进行归一化得到登录时间编码值。
[0013]优选地,对所述登录IP信息进行编码和归一化处理包括:对提取的登录IP字段进行解析,得到IP地址的所属经纬度、所属国家、所属地区、所属运营商;将IP地址的四段数字提取后分别转换为十进制数字,并从左向右分别标记为p1、p2、p3、p4,对p1、p2、p3、p4四个值分配不同的权重a、b、c、d,计算该IP地址的加权编码值IP_code,其中IP_code=a*p1+b*
p2+c*p3+d*p4;对解析出的运营商字段进行统一编码和归一化处理,得到运营商字段编码值;将所述IP地址的加权编码值和所述运营商字段编码值作为所述登录IP特征值。
[0014]优选地,在对所述目标特征信息进行特征处理得到对应的特征值之后,还包括:根据待检测邮箱账号的近期行为特点、用户有效登录日志条数和检测要求,选择确定目标时间窗口。
[0015]优选地,所述特征选择算法为信息增益算法模型。
[0016]优选地,所述登录日志信息包括:imap协议登录日志、web协议登录日志、pop协议登录日志。
[0017]第二方面,本专利技术提供一种电子设备,包括:至少一个处理器以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器执行上述第一方面提供的基于密度聚类的邮箱账号异常登录行为检测方法。
[0018]根据本专利技术提供的基于密度聚类的邮箱账号异常登录行为检测方法及设备,首先对邮件系统中各邮件协议的登录日志进行清洗,提取登录时间、登录IP地址等特征;然后进行特征编码、特征选择等处理,采用滑动时间窗口控制并选择用户登录行为建模所用的时间段;之后构建基于密度聚类的异常检测模型。本专利技术本方法不依赖于外部威胁情报库等第三方信息库,仅使用账号本身的历史登录记录作为判断依据,具有配置灵活、准确性高、处理速度快的优点,可以快速找到具有异常登录特征的账号登录记录并发出告警信息,方便运维人员进一步核验发现隐藏的异常登录行为。
附图说明
[0019]为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0020]图1为本专利技术实施例提供的基于密度聚类的邮箱账号异常登录行为检测方法的流程图;
[0021]图2为本专利技术实施例提供的基于密度聚类的邮箱账号异常登录行为检测方法的流程图;
[0022]图3为本专利技术实施例聚类的效果图。
具体实施方式
[0023]下面将结合附图对本专利技术的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0024]邮箱账号被窃可能造成邮箱内重要资料丢失及敏感数据泄露,从而为用户甚至组织带来巨大损失,而邮箱账号的异常登录往往是邮箱账号被窃的开始和重要标志。因此,及时检测并发现邮箱账号的异常登录行为,进而采取告警及处置措施尤为重要。
[0025]邮箱账号异常登录行为的精确检测存在一定难度,一是邮箱账号的异常行为往往
隐蔽性较强,虽然通过邮件网关等安全产品可以识别并拦截一部分明显的异常行为,但对一些隐藏的异常登录行为很难发现和识别。二是邮件系统登录日志体量大,运维人员很难对海量登录日志进行深入的人工分析,并且大部分的登录日志都是正常数据,只有极少数日志为登录异常,因此也没有对全量登录日志进行人工分析的必要。三是邮件系统登录日志实际上是无标签数据,除非得到用户反馈,否则无论是通过安全产品检测出来的异常还是人工判别出的异常登录行为,其检测准确性都无法得到确认,这给通过使用机器学习算法来训练模型从而实现检测邮件账号异常登录行为增加了难度。
[0026]当前检测邮箱账号异常登录的方法主要有两大类,一是在账号登录时,通过判断用户的登录地信息和上次登录地的差异,给出登录告警,该方法存在大量误报,例如对用户配置了代理收发邮件、通过境外服务器跳转登录邮箱账号等行为会识别为异常登录。现有主流方法的第二类是对登录IP进行判断,例如通过判断登录IP是否为威胁情报库中的问题IP来检验当前账号登录是否为异常操作。该方法的准确性受到威胁情报库信息准确性的限制,若威胁情报库本身信息不准确,则很难用来检测邮箱账号的异常登录行为;另一方面若威胁情报库信息更新不及时,也会影响异常登录判断的准确性。
[0027]由此,本专利技术第一实施例本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于密度聚类的邮箱账号异常登录行为检测方法,其特征在于,包括:获取登录日志信息,对所述登录日志信息清洗后提取所述登录日志信息中的目标特征信息;对所述目标特征信息进行特征处理得到对应的特征值;通过特征选择算法从所述特征值中确定目标特征值,将所述目标特征值输入DBSCAN算法模型进行密度聚类得到离群点,将所述离群点确定为异常点。2.根据权利要求1所述的方法,其特征在于,所述目标特征信息包括:登录时间信息、登录IP信息、登录的邮箱账号名称、账号登录状态信息、登录协议信息。3.根据权利要求2所述的方法,其特征在于,所述对所述目标特征信息进行特征处理得到对应的特征值包括:对所述登录时间信息和所述登录IP信息进行编码和归一化处理得到对应的登录时间特征值和登录IP特征值。4.根据权利要求3所述的方法,其特征在于,对所述登录时间信息进行编码和归一化处理包括:提取登录时间的年、月、日信息,并判断识别是否为工作日/节假日,基于预设规则对登录时间进行编码和归一化处理得到登录时间编码值,将所述是否为工作日/节假日的判断结果信息和所述登录时间编码值作为所述登录时间特征值。5.根据权利要求4所述的方法,其特征在于,所述预设规则为:将登录行为发生的具体时间转化成其与当天零点时刻相差的秒数作为该时间的编码,将所述编码进行归一化得到登录时间编码值。6.根据权利要求3所述的方法,其特征在于,对所述登录IP信息进行编码和归一...
【专利技术属性】
技术研发人员:龙春,杜冠瑶,万巍,赵静,魏金侠,杨帆,
申请(专利权)人:中国科学院计算机网络信息中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。