[发明专利]一种基于邮件日志数据的账号安全检测方法

权利要求书

1.一种基于邮件日志数据的账号安全检测方法，其特征在于，包括以下步骤：

1）获取邮件日志数据；

2）对邮件日志数据进行数据处理得到邮件网关服务日志数据特征、邮件客户端访问服务日志特征和邮件代理服务日志特征；

所述的邮件网关服务日志数据特征包括：用户邮箱账号序列是否正常、用户邮件递送状态、是否正常发送邮件、是否正常收到邮件4类特征；

所述的邮件客户端访问服务日志特征包括：用户账号操作序列是否正常、会话是否成功、会话操作返回码3类特征；

所述的邮件代理服务日志特征包括：用户轨迹特征是否正常、设备类型是否正常、设备ID是否正常3类特征；

3）对邮件网关服务日志数据特征、邮件客户端访问服务日志特征和邮件代理服务日志特征进行数据建模，具体包括：

步骤一：确定评估指标，采用准确率、精确率、检测率、误判率四个指标评估模型的好坏；

步骤二：每天对邮件代理服务日志特征进行分析，更新调整用户一天变化曲线和知识库；

步骤三：对邮件网关服务日志，邮件客户端访问服务日志以及邮件代理在数据处理模块中进行实时数据处理，生成特征；

步骤四：基于数据处理模块中得到特征，利用Python语言中的keras框架，搭建AutoEncoder算法对训练集样本进行训练得到模型；

4）对建模后的数据监测日志是否存在异常，判别是否存在账号高危的情况。

2.根据权利要求1所述的基于邮件日志数据的账号安全检测方法，其特征在于，步骤2）中，对邮件日志数据进行数据处理得到邮件网关服务日志数据特征，具体包括：

2.1.1）利用Drain算法解析邮件网关服务日志数据，得到日志模板，对每一个日志模板进行编号得到日志模板集合，为第1个日志模板，为第2个日志模板，为第n个日志模板，1~n为日志模板编号，对于每一条邮件日志数据，均由中的一种模板以及变量信息组成；

2.1.2）对上一步中得到的日志模板编号代替原日志数据得到用户的行为序列，其中为第一个日志模板编号，为第二个日志模板编号，为第i个日志模板编号，为第个日志模板编号；

2.1.3）根据邮件网关服务日志数据中的邮件ID和进程PID切割用户行为序列，按照时间排序，将具有相同邮件ID和进程PID的行为序列划分到同一个序列集，得到序列集的集合，其中为第1个序列集，为第2个序列集，为第i个序列集，为第o个序列集；

2.1.4）基于步骤2.1.3）中得到行为序列集的集合，利用SPADE算法设定最小支持度以计算频繁项集，得到用户邮箱账号序列特征，若为频繁项集，该特征值标记为正常序列，反之标记为异常序列；

2.1.5）基于步骤2.1.1）中得到的日志模板中的变量信息，对每一项所对应的变量信息进行分析，构建用户邮件递送状态，是否正常发送邮件，是否正常收到邮件3类特征。

3.根据权利要求2所述的基于邮件日志数据的账号安全检测方法，其特征在于，步骤2.1.4）中，所述的最小支持度为0.7~0.9。