[发明专利]一种异常邮件检测方法及装置

说明书

本申请涉及网络安全技术领域，尤其涉及一种异常邮件检测方法及装置，获取待检测邮件的行为信息、发送待检测邮件的发件邮箱和接收到待检测邮件的收件邮箱，确定收件邮箱的常用联系人集合，并判断发件邮箱是否包含在常用联系人集合中，若确定发件邮箱包含在常用联系人集合中，则通过将行为信息与预先存储的标准行为信息进行匹配，确定待检测邮件的邮件类型，否则，通过确定发件邮箱与常用联系人集合中包含的各常用邮箱之间的邮箱相似度，确定待检测邮件的邮件类型，根据邮件类型，确定待检测邮件是否为异常邮件，这样，能够在保证不泄漏用户隐私信息的前提下，实现对异常邮件的检测。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种异常邮件检测方法及装置。

背景技术

随着网络技术的发展，出现了越来越多的网络攻击者，网络攻击者可能会向用户发送异常邮件，并在异常邮件中携带恶意链接，诱使用户点击或者登陆账号密码等。一旦用户点击链接或输入账号密码，相关信息就会被窃取，黑客甚至会借机安装木马等恶意程序，持续破坏目标计算机。因此，如何能够实现对异常邮件的检测，成为了一个亟待解决的问题。

现有技术中，在对异常邮件进行检测时，可以基于机器学习算法构建分类器模型，对待检测邮件的正文文本内容或携带的统一资源定位系统(uniform resource locator，URL)链接进行识别，从而判断待检测邮件是否为异常邮件。但是，现有技术中的这种方法需要对待检测邮件的内容进行检测，存在泄露用户隐私的问题。

发明内容

本申请实施例提供一种异常邮件检测方法及装置，在保证不泄露用户隐私的前提下，实现对异常邮件的检测。

本申请实施例提供的具体技术方案如下：

获取待检测邮件的行为信息、发送所述待检测邮件的发件邮箱和接收到所述待检测邮件的收件邮箱，其中，所述行为信息表征发送所述待检测邮件时所述发件邮箱的发送行为的信息；

确定所述收件邮箱的常用联系人集合，并判断所述发件邮箱是否包含在所述常用联系人集合中，其中，所述常用联系人集合表征在预设时间范围内与所述收件邮箱之间的往来邮件的数量超过预设数量阈值的常用邮箱的集合；

若确定所述发件邮箱包含在所述常用联系人集合中，则通过将所述行为信息与预先存储的标准行为信息进行匹配，确定所述待检测邮件的邮件类型，否则，通过确定所述发件邮箱与所述常用联系人集合中包含的各常用邮箱之间的邮箱相似度，确定所述待检测邮件的邮件类型，其中，所述标准行为信息表征发送非异常邮件时所述发件邮箱的发送行为的信息；

根据所述邮件类型，确定所述待检测邮件是否为异常邮件。

可选的，所述常用联系人集合的获得方式为：

获取预设采样范围内所述收件邮箱接收到的各接收邮件和发送所述各接收邮件的源发件邮箱，以及各源发件邮箱发送给所述收件邮箱的各发送邮件；

分别针对所述各源发件邮箱，根据所述各接收邮件和所述各发送邮件，确定任意一源发件邮箱与所述收件邮箱之间的平均往来邮件数量；

分别针对所述各源发件邮箱，若确定任意一源发件邮箱的平均往来邮件数量大于预设的平均数量阈值，则确定该源发件邮箱为常用邮箱；

生成包含有各常用邮箱的常用联系人集合。

可选的，根据所述各接收邮件和所述各发送邮件，确定任意一源发件邮箱与所述收件邮箱之间的平均往来邮件数量，具体包括：

统计该源发件邮箱每日接收到所述收件邮箱发送的邮件的每日收件数量，以及每日发送给所述收件邮箱的邮件的每日发件数量；

根据每日收件数量之和与预设的天数之间的比值，确定每日平均收件数量，并根据每日发件数量之和与预设的天数之间的比值，确定每日平均发件数量；