[发明专利]邮箱账号异常检测方法、装置、电子设备及存储介质

说明书

本申请提供一种邮箱账号异常检测方法、装置、电子设备及存储介质，该方法包括：获取第一邮箱账号在预设时间段内的多个邮件数据；对每一所述邮件数据进行特征提取，获得每一所述邮件数据对应的邮件特征；将所述账号通信特征、所述通联关系特征和所述邮件内容特征输入预先构建的检测模型中，获得所述检测模型输出的所述第一邮箱账号是否异常的检测结果。本申请实施例通过同时使用账号通信特征、通联关系特征和邮件内容特征作为特征向量，利用机器学习算法对多个邮件数据进行分析，从而从多个维度确定第一邮箱账号是否存在异常情况，提高了检测的准确性。

技术领域

本申请涉及网络安全技术领域，具体而言，涉及一种邮箱账号异常检测方法、装置、电子设备及存储介质。

背景技术

企业内网中邮箱是日常办公经常使用的沟通工具，攻击者也通常利用邮箱服务器或邮箱帐号作为攻击的入口，如钓鱼邮件等。研究人员通过调研发现，很多机构工作邮箱存在对内或向外发送大量垃圾邮件、黑产邮件等现象，而这些邮箱通常是已被攻击者完全控制，被攻击者在不知情地情况下发生上述行为。

目前针对邮件行为异常分析常见的方法主要有以下两种：第一种：采用是否存在群发行为等方法。其中邮件群发通常根据邮箱帐号短时间内发送大量邮件来进行判定，这一方法相对简单，容易形成误报。第二种：判断邮箱帐号是否短时间内在多个不同地点登录来进行检测，这一方法需要过滤常规的邮件代收服务等设置，并且只考虑了登录行为，检测条件相对苛刻，结果较难触发。

由此可知，上述两种方法对邮箱账号检测的准确率较低。

发明内容

本申请实施例的目的在于提供一种邮箱账号异常检测方法、装置、电子设备及存储介质，用以提高对邮箱账号检测的准确率。

第一方面，本申请实施例提供一种邮箱账号异常检测方法，包括：获取第一邮箱账号在预设时间段内的多个邮件数据；对每一所述邮件数据进行特征提取，获得每一所述邮件数据对应的邮件特征；其中，所述邮件特征包括账号通信特征、通联关系特征和邮件内容特征；所述账号通信特征用于表征所述第一邮箱账号在所述预设时间段内与第二邮箱账号通信的数量属性；所述通联关系特征用于表征所述第一邮箱账号与有过通联行为的相关邮箱账号的关系属性；所述邮件内容特征用于表征所述第一邮箱账号在预设时间段内发送的邮件的内容属性；将所述账号通信特征、所述通联关系特征和所述邮件内容特征输入预先构建的检测模型中，获得所述检测模型输出的所述第一邮箱账号是否异常的检测结果。

本申请实施例通过同时使用账号通信特征、通联关系特征和邮件内容特征作为特征向量，利用机器学习算法对多个邮件数据进行分析，从而从多个维度确定第一邮箱账号是否存在异常情况，提高了检测的准确性。

在一实施例中，对每一所述邮件数据进行特征提取，获得账号通信特征，包括：统计所述邮件数据中，所述第一邮箱账号作为发送方与第二邮箱账号通信的第一账号数量，以及所述第一邮箱账号作为收件方第二邮箱账号通信的第二账号数量；根据所述第一账号数量和所述第二账号数量确定所述账号通信特征。

由于被攻击的邮箱往往会在短时间内向多个邮箱发送垃圾邮件，因此，将与第一邮箱账号发生过通信的第一账号数量和第二账号数量作为分析第一邮箱账号是否存在异常的一个因素，从而能够准确地对第一邮箱账号是否发生异常进行检测。

在一实施例中，对每一所述邮件数据进行特征提取，获得通联关系特征，包括：获取与所述第一邮箱账号通信的所有第二邮箱账号；获取所述第二邮箱账号在所述预设时间段内通信的除所述第一邮箱账号以外的第三邮箱账号；根据所述第二邮箱账号和所述第三邮箱账号确定所述通联关系特征。

在一实施例中，所述根据所述第二邮箱账号和所述第三邮箱账号确定所述通联关系特征，包括：获取所述第二邮箱账号对应的第三账号数量；构建所述第一邮箱账号、所述第二邮箱账号和所述第三邮箱账号的连接关系；根据所述连接关系统计所述第一邮箱账号到所述第三邮箱账号之间的边数；根据所述第三账号数量和所述边数确定所述通联关系特征。