[发明专利]邮件账号异常检测方法、装置及存储介质

说明书

本发明实施例公开了一种邮件账号异常检测方法、装置及存储介质，涉及网络安全领域。本发明的方法包括：对邮件账号日志进行预处理；基于聚类技术对预处理后的邮件账号日志进行解析，生成消息模式集合，所述消息模式集合用于表征用户行为；对所述消息模式集合进行账号信息提取，并输入机器学习模型进行训练，得到异常检测模型；其中，所述异常检测模型包括账号异常检测模型和/或IP异常检测模型；将当前账号的邮件账号日志输入所述异常检测模型，预测所述邮件账号日志是否存在异常。本发明能够提高邮件账号异常检测的准确度。

技术领域

本发明涉及网络安全领域，尤其涉及一种邮件账号异常检测方法、装置及存储介质。

背景技术

随着计算机技术的高速发展及互联网的广泛普及，电子邮件越来越多地应用于社会生产、生活、学习的各个方面，发挥着举足轻重的作用。人们在享受电子邮件带来便利、快捷的同时，又必须面对互联网的开放性、计算机软件漏洞等所带来的电子邮件安全问题。

邮件账户是网络攻击中最具有针对性的来源之一。攻击者寻求一切可能的方式进行账户破解，寻找一切有价值的信息资源。因此能够在海量的邮件日志中高效、准确的识别出异常的账户，并采取相关措施，保障邮件系统的安全性变得尤为重要。

发明内容

本发明的实施例提供一种邮件账号异常检测方法、装置及存储介质，能够提高邮件账号异常检测的准确度。

为达到上述目的，本发明的实施例采用如下技术方案：

第一方面，本发明的实施例提供一种邮件账号异常检测方法，包括：

对邮件账号日志进行预处理；

基于聚类技术对预处理后的邮件账号日志进行解析，生成消息模式集合，所述消息模式集合用于表征用户行为；

对所述消息模式集合进行账号信息提取，并输入机器学习模型进行训练，得到异常检测模型；其中，所述异常检测模型包括账号异常检测模型和/或IP异常检测模型；

将当前账号的邮件账号日志输入所述异常检测模型，预测所述邮件账号日志是否存在异常。

结合第一方面，在第一方面的第一种可能的实现方式中，所述对邮件账号日志进行预处理，包括：

对所述邮件账号日志包括的系统消息进行过滤处理，保留所述邮件账号日志中的IP消息及账号消息；

对过滤处理后的日志中的共性特征进行通配符替换处理。

结合第一方面，在第一方面的第二种可能的实现方式中，所述基于聚类技术对预处理后的邮件账号日志进行解析，生成消息模式集合，所述消息模式集合用于表征用户行为，包括：

计算预处理后的邮件账号日志中的相应信息与通配符之间的相似度；

将相似度大于或等于预设阈值的日志进行归类处理；

将归类后得到的多个类作为所述消息模式集合。

结合第一方面的第二种可能的实现方式，在第一方面的第三种可能的实现方式中，所述计算预处理后的邮件账号日志中的相应信息与通配符之间的相似度，包括：

计算预处理后的邮件账号日志中的相应信息与通配符之间的距离，所述距离为余弦距离或欧式距离；

所述方法还包括：

对所述消息模式集合中的至少一个类添加标识，所述标识包括黑名单标识或白名单标识。

结合第一方面，在第一方面的第四种可能的实现方式中，所述对所述消息模式集合进行账号信息提取，并输入机器学习模型进行训练，得到异常检测模型，包括：

对所述消息模式集合中预设时间段内的IP消息和账号消息进行事件统计，得到计数矩阵；