[发明专利]邮箱账号异常检测方法、装置、电子设备及存储介质

权利要求书

1.一种邮箱账号异常检测方法，其特征在于，包括：

获取第一邮箱账号在预设时间段内的多个邮件数据；

对每一所述邮件数据进行特征提取，获得每一所述邮件数据对应的邮件特征；其中，所述邮件特征包括账号通信特征、通联关系特征和邮件内容特征；所述账号通信特征用于表征所述第一邮箱账号在所述预设时间段内与第二邮箱账号通信的数量属性；所述通联关系特征用于表征所述第一邮箱账号与有过通联行为的相关邮箱账号的关系属性；所述邮件内容特征用于表征所述第一邮箱账号在预设时间段内发送的邮件的内容属性；

将所述账号通信特征、所述通联关系特征和所述邮件内容特征输入预先构建的检测模型中，获得所述检测模型输出的所述第一邮箱账号是否异常的检测结果。

2.根据权利要求1所述的方法，其特征在于，对每一所述邮件数据进行特征提取，获得账号通信特征，包括：

统计所述邮件数据中，所述第一邮箱账号作为发送方与第二邮箱账号通信的第一账号数量，以及所述第一邮箱账号作为收件方第二邮箱账号通信的第二账号数量；

根据所述第一账号数量和所述第二账号数量确定所述账号通信特征。

3.根据权利要求1所述的方法，其特征在于，对每一所述邮件数据进行特征提取，获得通联关系特征，包括：

获取与所述第一邮箱账号通信的所有第二邮箱账号；

获取所述第二邮箱账号在所述预设时间段内通信的除所述第一邮箱账号以外的第三邮箱账号；

根据所述第二邮箱账号和所述第三邮箱账号确定所述通联关系特征。

4.根据权利要求3所述的方法，其特征在于，所述根据所述第二邮箱账号和所述第三邮箱账号确定所述通联关系特征，包括：

获取所述第二邮箱账号对应的第三账号数量；

构建所述第一邮箱账号、所述第二邮箱账号和所述第三邮箱账号的连接关系；

根据所述连接关系统计所述第一邮箱账号到所述第三邮箱账号之间的边数；

根据所述第三账号数量和所述边数确定所述通联关系特征。

5.根据权利要求1所述的方法，其特征在于，对每一所述邮件数据进行特征提取，获得邮件内容特征，包括：

统计所述邮件数据中的主题数量以及主题长度信息；

根据所述主题长度信息计算获得对应的主题均值和主题标准差；

统计包含邮件正文的第一邮件数量及正文长度信息，并根据所述正文长度信息计算获得对应的正文均值和正文标准差；

统计包含附件的第二邮件数据及附件长度信息；

根据所述主题数量、所述主题均值、所述主题标准差、所述第一邮件数量、所述正文均值、所述正文标准差、所述第二邮件数据和所述附件长度信息确定所述邮件内容特征。

6.根据权利要求1所述的方法，其特征在于，所述邮件数据包括邮件正文，所述方法还包括：

抽取所述邮件正文中的关键词；

根据所述关键词获得邮件数据之间的相似性特征；

相应的，

所述将所述账号通信特征、所述通联关系特征和所述邮件内容特征输入预先构建的检测模型中，获得所述检测模型输出的所述第一邮箱账号是否异常的检测结果，包括：

将所述账号通信特征、所述通联关系特征、所述邮件内容特征和相似性特征输入预先构建的检测模型中，获得所述检测模型输出的所述第一邮箱账号是否异常的检测结果。

7.根据权利要求1-6任一项所述的方法，其特征在于，所述方法还包括：

获取训练样本集，所述训练样本集包括多个训练邮件数据和每一所述训练邮件数据对应的标识；其中，所述标识用于表征所述训练邮件数据对应的邮箱账号是否为异常邮箱；

将所述多个训练邮件数据输入待训练检测模型中，获得所述待训练检测模型输出的预测结果；其中，所述待训练检测模型为通过随机森林算法构建；

根据所述预测结果和所述标识对所述待训练检测模型中的参数进行优化，以获得训练好的所述检测模型。