【技术实现步骤摘要】
本专利技术涉及信息安全领域,特别涉及一种电子邮箱账号异常检测方法、装置、设备及存储介质。
技术介绍
1、电子邮件在现代企业的发展过程中扮演着极其重要的角色,其是企业日常业务开展的重要组成部分,被广泛运用在企业对内对外的沟通联络,以及品牌形象,产品,内容的宣传上,同时也经常成为现代企业工作管理流中的必要环节,对于邮件内容的存档记录也是很多企业的刚需。但是近年来,对于企业电子邮箱的保护投入却是有限的,虽然随着国家政策的逐渐完善,以及企业安全防范意识的不断提高,企业在网络安全建设上持续增加投入,但是往往忽略了对于邮件安全的防护,攻击者放弃高成本的攻击者手段,转而对企业邮箱进行攻击,其所带来的危害同样是巨大的。就企业电子邮箱账号被盗攻击而言,一旦企业员工的电子邮箱账号被盗,攻击者就可以利用该账号继续发动攻击,以该企业的名义,向内向外扩散钓鱼邮件或者垃圾邮件,致使员工、企业遭受财产损失(骗取金融账户信息,骗取业务汇款等),企业名誉受损(以企业名义发动的攻击),严重的还会威胁到企业的系统安全(病毒投放),数据安全(业务数据泄露)。
2、然而,对于企业邮箱账号被盗的防御主要是以预防与异常提醒为主,邮件供应商会提供可选的多因子认证登陆,异地登陆提醒,强密码要求,密码过期机制等机制,但是这些措施始终依赖于企业的邮箱安全管理员以及员工的安全防范意识,也就带来了其脆弱性与不及时性等局限性。同时,传统的邮件安全设备例如串联设备邮件安全网关,也为了保证邮件的正常通信,对于源于内部的攻击一般难以进行拦截防御,使得盗号攻击变得愈加难以识别与防范,
技术实现思路
1、有鉴于此,本专利技术的目的在于提供一种电子邮箱账号异常检测方法、装置、设备及存储介质,能够通过对邮箱账号产生的各种异常发信行为进行识别,高效准确地实现对企业电子邮箱账号异常的检测。其具体方案如下:
2、第一方面,本申请公开了一种电子邮箱账号异常检测方法,包括:
3、对待检测账号进行监测,在监测到邮件收发事件时,将与所述邮件收发事件对应的收发邮件备份至预设的安全监测邮箱中,从所述安全监测邮箱中获取所述待检测账号的邮件原始数据;
4、将所述邮件原始数据进行分类,将相应的分类结果与预设的异常发信模式进行匹配,以得到第一匹配结果,并计算最新邮件发信内容对应的各参数数值与预设基准值之间的第一偏离值;
5、将所述分类结果以及所述最新邮件发信内容与预设白名单规则进行匹配,以得到第二匹配结果,基于所述第一匹配结果、所述第一偏离值以及所述第二匹配结果确定所述待检测账号是否异常;
6、基于所述邮件原始数据对应的发件人信息对所述邮件原始数据进行聚合,获取聚合后历史邮件,并对所述聚合后历史邮件进行相应的学习,以获取目标基准值以及偏差范围,并计算所述最新邮件发信内容对应的各参数数值与所述目标基准值之间的第二偏离值;
7、将所述聚合后历史邮件以及所述最新邮件发信内容与所述预设白名单规则进行匹配,以得到第三匹配结果,基于所述第二偏离值、所述偏差范围以及所述第三匹配结果确定所述待检测账号是否异常。
8、可选的,所述从所述安全监测邮箱中获取所述待检测账号的邮件原始数据之后,还包括:
9、将所述邮件原始数据发送至预设数据库中进行存储,以便从所述预设数据库中获取所述邮件原始数据进行分类。
10、可选的,所述将所述邮件原始数据进行分类,包括:
11、根据所述发件人信息以及预设各数据维度对所述邮件原始数据进行分类。
12、可选的,所述基于所述第一匹配结果、所述第一偏离值以及所述第二匹配结果确定所述待检测账号是否异常,包括:
13、若所述分类结果与预设的异常发信模式匹配成功,则判定所述待检测账号异常;
14、若最新邮件发信内容对应的各参数数值大于预设基准值,则判定所述待检测账号异常;
15、在判定所述待检测账号异常时,将所述分类结果和/或所述最新邮件发信与所述预设白名单规则进行匹配;
16、若匹配成功,则判定所述待检测账号正常;
17、若未匹配成功,则判定所述待检测账号异常。
18、可选的,所述对所述聚合后历史邮件进行相应的学习,以获取目标基准值以及偏差范围,包括:
19、对所述聚合后历史邮件对应的历史发信主旨、发信结构以及邮件通信网络进行学习分析,以获取相应的所述目标基准值以及所述偏差范围。
20、可选的,所述基于所述第二偏离值、所述偏差范围以及所述第三匹配结果确定所述待检测账号是否异常,包括:
21、若所述第二偏离值不符合所述偏差范围,则判定所述待检测账号异常;
22、在判定所述待检测账号异常时,将所述聚合后历史邮件和/或所述最新邮件发信内容与所述预设白名单规则进行匹配;
23、若匹配成功,则判定所述待检测账号正常;
24、若未匹配成功,则判定所述待检测账号异常。
25、可选的,所述方法还包括:
26、将已完成邮件内容检测的所述邮件原始数据进行标记,以得到标记后邮件原始数据,针对所述标记后邮件原始数据不再进行检测。
27、第二方面,本申请公开了一种电子邮箱账号异常检测装置,包括:
28、邮件原始数据获取模块,用于对待检测账号进行监测,在监测到邮件收发事件时,将与所述邮件收发事件对应的收发邮件备份至预设的安全监测邮箱中,从所述安全监测邮箱中获取所述待检测账号的邮件原始数据;
29、匹配模块,用于将所述邮件原始数据进行分类,将相应的分类结果与预设的异常发信模式进行匹配,以得到第一匹配结果;
30、第一偏离值计算模块,用于计算最新邮件发信内容对应的各参数数值与预设基准值之间的第一偏离值;
31、第一账号异常判定模块,用于将所述分类结果以及所述最新邮件发信内容与预设白名单规则进行匹配,以得到第二匹配结果,基于所述第一匹配结果、所述第一偏离值以及所述第二匹配结果确定所述待检测账号是否异常;
32、获取模块,用于基于所述邮件原始数据对应的发件人信息对所述邮件原始数据进行聚合,获取聚合后历史邮件,并对所述聚合后历史邮件进行相应的学习,以获取目标基准值以及偏差范围;
33、第二偏离值计算模块,用于计算所述最新邮件发信内容对应的各参数数值与所述目标基准值之间的第二偏离值;
34、第二账号异常判定模块,用于将所述聚合后历史邮件以及所述最新邮件发信内容与所述预设白名单规则进行匹配,以得到第三匹配结果,基于所述第二偏离值、所述偏差范围以及所述第三匹配结果确定所述待检测账号是否异常。
35、第三方面,本申请公开了一种电子设备,包括:
36、存储器,用于保存计算机程序;
37、处理器,用于执行所述计算机程序,本文档来自技高网...
【技术保护点】
1.一种电子邮箱账号异常检测方法,其特征在于,包括:
2.根据权利要求1所述的电子邮箱账号异常检测方法,其特征在于,所述从所述安全监测邮箱中获取所述待检测账号的邮件原始数据之后,还包括:
3.根据权利要求1所述的电子邮箱账号异常检测方法,其特征在于,所述将所述邮件原始数据进行分类,包括:
4.根据权利要求1所述的电子邮箱账号异常检测方法,其特征在于,所述基于所述第一匹配结果、所述第一偏离值以及所述第二匹配结果确定所述待检测账号是否异常,包括:
5.根据权利要求1所述的电子邮箱账号异常检测方法,其特征在于,所述对所述聚合后历史邮件进行相应的学习,以获取目标基准值以及偏差范围,包括:
6.根据权利要求1所述的电子邮箱账号异常检测方法,其特征在于,所述基于所述第二偏离值、所述偏差范围以及所述第三匹配结果确定所述待检测账号是否异常,包括:
7.根据权利要求1至6任一项所述的电子邮箱账号异常检测方法,其特征在于,还包括:
8.一种电子邮箱账号异常检测装置,其特征在于,包括:
9.一种电子设备,其
10.一种计算机可读存储介质,其特征在于,用于存储计算机程序;其中,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的电子邮箱账号异常检测方法的步骤。
...【技术特征摘要】
1.一种电子邮箱账号异常检测方法,其特征在于,包括:
2.根据权利要求1所述的电子邮箱账号异常检测方法,其特征在于,所述从所述安全监测邮箱中获取所述待检测账号的邮件原始数据之后,还包括:
3.根据权利要求1所述的电子邮箱账号异常检测方法,其特征在于,所述将所述邮件原始数据进行分类,包括:
4.根据权利要求1所述的电子邮箱账号异常检测方法,其特征在于,所述基于所述第一匹配结果、所述第一偏离值以及所述第二匹配结果确定所述待检测账号是否异常,包括:
5.根据权利要求1所述的电子邮箱账号异常检测方法,其特征在于,所述对所述聚合后历史邮件进行相应的...
【专利技术属性】
技术研发人员:王润峰,娄宇,范如,吴悠漾,王澳,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。