[发明专利]邮件账号异常检测方法、装置及存储介质

权利要求书

1.一种邮件账号异常检测方法，其特征在于，包括：

对邮件账号日志进行预处理；

基于聚类技术对预处理后的邮件账号日志进行解析，生成消息模式集合，所述消息模式集合用于表征用户行为；

对所述消息模式集合进行账号信息提取，并输入机器学习模型进行训练，得到异常检测模型；其中，所述异常检测模型包括账号异常检测模型和/或IP异常检测模型；

将当前账号的邮件账号日志输入所述异常检测模型，预测所述邮件账号日志是否存在异常；

所述对邮件账号日志进行预处理，包括：对所述邮件账号日志包括的系统消息进行过滤处理，保留所述邮件账号日志中的IP消息及账号消息，对过滤处理后的日志中的共性特征进行通配符替换处理；

所述基于聚类技术对预处理后的邮件账号日志进行解析，生成消息模式集合，所述消息模式集合用于表征用户行为，包括：计算预处理后的邮件账号日志中的相应信息与通配符之间的相似度；将相似度大于或等于预设阈值的日志进行归类处理；将归类后得到的多个类作为所述消息模式集合。

2.根据权利要求1所述的邮件账号异常检测方法，其特征在于，所述计算预处理后的邮件账号日志中的相应信息与通配符之间的相似度，包括：

计算预处理后的邮件账号日志中的相应信息与通配符之间的距离，所述距离为余弦距离或欧式距离；

所述方法还包括：

对所述消息模式集合中的至少一个类添加标识，所述标识包括黑名单标识或白名单标识。

3.根据权利要求1所述的邮件账号异常检测方法，其特征在于，所述对所述消息模式集合进行账号信息提取，并输入机器学习模型进行训练，得到异常检测模型，包括：

对所述消息模式集合中预设时间段内的IP消息和账号消息进行事件统计，得到计数矩阵；

将所述计数矩阵输入机器学习模型，进行非监督训练或半监督训练；

将训练得到的模型作为所述异常检测模型；其中，所述异常检测模型包括账号异常检测模型和/或IP异常检测模型。

4.一种邮件账号异常检测装置，其特征在于，包括：

预处理模块，用于对邮件账号日志进行预处理；

聚类模块，用于基于聚类技术对预处理后的邮件账号日志进行解析，生成消息模式集合，所述消息模式集合用于表征用户行为；

训练模块，用于对所述消息模式集合进行账号信息提取，并输入机器学习模型进行训练，得到异常检测模型；其中，所述异常检测模型包括账号异常检测模型和/或IP异常检测模型；

预测模块，用于将当前账号的邮件账号日志输入所述异常检测模型，预测所述邮件账号日志是否存在异常；

所述预处理模块，包括：

过滤子模块，用于对所述邮件账号日志包括的系统消息进行过滤处理，保留所述邮件账号日志中的IP消息及账号消息；

替换子模块，用于对过滤处理后的日志中的共性特征进行通配符替换处理；

所述聚类模块包括：

计算子模块，用于计算预处理后的邮件账号日志中的相应信息与通配符之间的相似度；

归类子模块，用于将相似度大于或等于预设阈值的日志进行归类处理，并将归类后得到的多个类作为所述消息模式集合。

5.根据权利要求4所述的邮件账号异常检测装置，其特征在于，

所述计算子模块，还用于计算预处理后的邮件账号日志中的相应信息与通配符之间的距离，所述距离为余弦距离或欧式距离；

所述聚类模块还包括：

标识子模块，用于对所述消息模式集合中的至少一个类添加标识，所述标识包括黑名单标识或白名单标识。

6.根据权利要求4所述的邮件账号异常检测装置，其特征在于，所述训练模块包括：

计数子模块，用于对所述消息模式集合中预设时间段内的IP消息和账号消息进行事件统计，得到计数矩阵；

训练子模块，用于将所述计数矩阵输入机器学习模型，进行非监督训练或半监督训练；并将训练得到的模型作为所述异常检测模型；其中，所述异常检测模型包括账号异常检测模型和/或IP异常检测模型。

7.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述程序被处理器执行时实现权利要求1-3任一项所述方法的步骤。