[发明专利]一种基于多属性的误发邮件检测方法

说明书

技术领域

本发明属于隐私保护领域，涉及一种基于多属性的误发邮件检测方法。

背景技术

电子邮件是是Internet应用最广泛的服务之一，具有快速方便、价格低廉、用途广泛等特点。由于电子邮件作用巨大，稍有不慎就可能造成敏感数据泄露，给数据安全带来了严重威胁。目前电子邮件泄露造成的安全事故屡屡发生，在互联网上大行其道的内部邮件泄密消息不绝于耳，其中由用户失误或内部攻击者造成的泄密更为严重。Info watch的调研报告显示电子邮件泄露在无意识的泄露事件中和有意识泄露事件中分别占9.9％和4.4％。大部分的无意识邮件泄密是由用户误发邮件造成的，如用户Alice本来打算向john@corpa.com发一封敏感邮件，却由于疏忽发给了joan@corpb.com，导致信息泄露或造成恶劣影响。2011年，曼城CEO Cook将一封发给曼城足球总监Marwood的邮件误发给曼城队后卫Nedum Onuoha身患癌症的母亲Dr Anthonia Onuoha。邮件中对Dr Anthonia Onuoha进行了“嘲讽和侮辱”，Cook因此被推到了舆论风暴中心，直接导致他辞职。此类事件发生次数还很多，造成的影响也更加严重。因此必须在源头监控敏感邮件的流通，防止误发事件发生。

误发邮件实际上与用户的意图相悖的，表现在用户的通信行为出现了异常，即与以前的行为存在较大偏差，而正常用户行为的偏差常在一定范围内波动。因此可以将误发邮件检测看成一种分类问题：行为差异较小的正常邮件和行为差异较大的误发邮件。已有的检测方法多关注单个用户行为，建立单用户模型以检测误发邮件，且提取属性不全面，准确率不高。

发明内容

针对上述现有技术不足，本发明将误发邮件检测看成一个二值分类问题，从内容特征、社会关系和通信行为等多种属性对用户的通信行为偏差建立通用检测模型，当用户通信行为偏差超过正常的范围时，则很可能是一封误发邮件。

为了准确地检测误发邮件，本发明提出了一种基于多属性的误发邮件检测方法，包括以下步骤：

1)从标记的多个邮件中提取内容特征属性、社会关系属性及通信行为属性；

2)根据所述内容特征属性、社会关系属性及通信行为属性建立基于SVM分类模型；

3)提取一封新邮件的内容属性、社会关系属性及通信行为属性，并用所述基于SVM分类模型进行检测，判断所述新邮件是否为误发邮件。

进一步地，提取所述内容特征属性包括，在邮件集合E中，查找与邮件集合E中的邮件e最相似的K个邮件组成集合E_sub＝{e₁,e₂,…,e_K}，并计算每个收件人的得分t_i作为其文本特征；若收件人r_i曾经发送或接收过e_j,则r_i获得值为sim(e_i,e)的得分；其中sim(e_j,e)为e_j和e的相似度，采用BM25算法计算得到；t_i的值越小，则新邮件为误发邮件的可能性越大。

进一步地，所述sim(e_j,e)的计算公式为：其中q_i为e_j中的关键词，f(q_i,e)为关键词q_i在邮件e中的频率，|e|是e中的词的数量，avgdl是所有邮件平均词数量，k₁和b是参数，取值为k₁∈[1.2,2.0]，b＝0.75，n为e_j中的词数量，IDF(q_i)是关键词q_i的倒排文档频率权重。

进一步地，所述IDF(q_i)的计算公式为：其中N为集合中邮件总数，n(q_i)是包含关键词q_i的邮件数量。

进一步地，所述t_i的计算公式为：其中，isRec(e_j,u_i)为指示函数，如果邮件e_j是u_i接收或发送的邮件，返回1，否则返回0。所有内容特征属性进行归一化处理，即u_i的文本特征为