[发明专利]一种基于邮件日志数据的账号安全检测方法

说明书

本发明公开了一种基于邮件日志数据的账号安全检测方法，包括以下步骤：1）获取邮件日志数据；2）对邮件日志数据进行数据处理得到邮件网关服务日志数据特征、邮件客户端访问服务日志特征和邮件代理服务日志特征；3）对邮件网关服务日志数据特征、邮件客户端访问服务日志特征和邮件代理服务日志特征进行数据建模；4）对建模后的数据监测日志是否存在异常，判别是否存在账号高危的情况。本发明是为了解决基于邮箱日志数据的用户账号安全检测而进行的，目的在于通过解析邮箱日志数据中的关键信息来判别是否存在账号高危的情况。

技术领域

本发明涉及邮件日志数据处理领域，具体涉及一种基于邮件日志数据的账号安全检测方法。

背景技术

随着网络的普及以及互联网的高速发展，对比于书信交流的缓慢，短信交流的字节限制，通过邮箱发送内容或文件的优势显得极为明显。当前，许多企业纷纷采用邮箱作为工作交流的重要方式。然而，随着攻击手段的层出不穷，攻击类型的复杂多变以及传统防御的被动使得当前网络安全形式极为严峻。

邮件作为民众生活工作中最为常见的交流方式，在各个企业或组织中均会有相应的配置，因此，在网络安全中，对于企业或组织而言，对邮箱进行账号安全检测是能够降低公司网络被攻击的重要前提。同时，对于邮箱而言，用户每一次的邮箱操作均在日志中有所体现，因此如果用户的邮箱账号出现异常现象，在日志中也应有所体现。基于以上现象，本发明通过对邮件日志数据进行解析建模以判别当前用户是否存在账号异常的情况。

在传统的账号安全检测中，往往采用规则建立的方法来判别用户账号是否异常，此时往往会出现漏判或者误判的情况，且每日产生的日志量极大，从而导致人力耗费也极大。在机器学习发展的进程中，对于异常数据的识别产生了多种算法，结合邮件数据中异常数据占据少数而产生的数据不均衡性，异常数据与正常数据间可能仅存在略微的差别性等多方面性质，本发明采用AutoEncoder对数据进行重建还原。同时考虑到用户的邮件操作时存在一定的顺序，因此在选取特征阶段对序列数据利用Drain算法进行模板提取并通过SPADE算法进行数据特征构造。

AutoEncoer的基本思想是通过编码和解码两种方式将样本重建，如果数据为正常数据，那么该算法能够将正常样本重建还原，如果数据为异常数据，那么该算法无法较好的还原该数据，致使还原误差较大。

综合以上算法可以有效监测邮件账号是否存在异常。

现有技术往往通过规则的方法对日志数据进行分析，经研究表明，该方法容易产生较多的误报率和漏报率，而且固定的特征容易失效，安全人员需要不断地更新监测规则，同时每天日志量极为庞大，耗费了大量的人力物力。因此，在发明中，利用算法建模，不仅解放人力，而且极大地提升了识别效率。

现有技术中缺少对邮件日志数据的序列进行考虑，本发明中，加入了对序列数据的考量，使得邮件日志数据特征展示面更全。

现有技术中对邮件日志的安全分析往往集中在邮件日志本身，如判断该日志是否为垃圾邮件等，而本发明从用户角度，针对用户的操作进行分析，判断是否存在用户账号风险。

发明内容

本发明是为了解决基于邮箱日志数据的用户账号安全检测而进行的，提供了一种基于邮件日志数据的账号安全检测方法，目的在于通过解析邮箱日志数据中的关键信息来判别是否存在账号高危的情况。

一种基于邮件日志数据的账号安全检测方法，包括以下步骤：

1）获取邮件日志数据；

2）对邮件日志数据进行数据处理得到邮件网关服务日志数据特征、邮件客户端访问服务日志特征和邮件代理服务日志特征；

3）对邮件网关服务日志数据特征、邮件客户端访问服务日志特征和邮件代理服务日志特征进行数据建模；

4）对建模后的数据监测日志是否存在异常，判别是否存在账号高危的情况。