[发明专利]一种BEC邮件检测方法、装置、系统及可读存储介质

说明书

本发明公开了一种BEC邮件检测方法、装置、系统及计算机可读存储介质，该方法包括针对每个邮箱账户，获取邮箱账户的各类当前行为特征；对邮箱账户的各类当前行为特征及对应的各类历史行为特征进行分析，得到邮箱账户的综合异常状况；根据每个邮箱账户的综合异常状况，确定出异常邮箱账户；对异常邮箱账户进行BEC邮件检测；本发明在使用过程中能够提高BEC邮件检测的准确度，提高邮箱账户的安全性。

技术领域

本发明涉及信息安全技术领域，特别是涉及一种BEC邮件检测方法、装置、系统及计算机可读存储介质。

背景技术

钓鱼邮件是使用社会工程学进行攻击的一种方式，BEC是一种高级的的钓鱼邮件，也是鱼叉式钓鱼邮件中的一种。相比于普通的钓鱼邮件，BEC(Business EmailCompromise,商业邮件欺诈)钓鱼邮件具有极强的针对性，BEC是专门针对企业高管的一类定向钓鱼邮件，其危害远远高于普通钓鱼邮件。

BEC相比于其他类的鱼叉式钓鱼邮件，BEC一般不含附件或链接，而是纯靠社会工程学攻击，通常会假冒为领导或商业合作伙伴，然后使用领导或商业合作伙伴的口吻，使用一些较为急切的话语让接收者转账或进一步交流，接收者往往会由于时间紧张或出于信任的关系，直接向指定账号进行转账或按照指示进行下一步动作。这类攻击方式的成功率很高，造成的损失巨大，近年来，针对企业高管的BEC越来越多。

由于BEC不含链接或附件，使得传统的针对钓鱼邮件、甚至是鱼叉式钓鱼邮件的基于附件或基于链接的检测方式失效，而一些NLP自然语言处理的方法，也由于BEC邮件的数量稀缺和强针对性，使得纯基于语法词法分析的NLP技术效果也不够好。

鉴于此，如何提供一种检测准确率较高的BEC邮件检测方法、装置、系统及计算机可读存储介质成为本领域技术人员需要解决的问题。

发明内容

本发明实施例的目的是提供一种BEC邮件检测方法、装置、系统及计算机可读存储介质，在使用过程中能够提高BEC邮件检测的准确度，提高邮箱账户的安全性。

为解决上述技术问题，本发明实施例提供了一种BEC邮件检测方法，包括：

针对每个邮箱账户，获取所述邮箱账户的各类当前行为特征；

对所述邮箱账户的各类所述当前行为特征及对应的各类历史行为特征进行分析，得到所述邮箱账户的综合异常状况；

根据每个所述邮箱账户的综合异常状况，确定出异常邮箱账户；

对所述异常邮箱账户进行BEC邮件检测。

可选的，所述对所述邮箱账户的各类所述当前行为特征及对应的各类历史行为特征进行分析，得到所述邮箱账户的综合异常状况的过程为：

预先根据所述邮箱账户的各类历史行为特征建立的、与各类行为特征各自对应的正常历史行为基线；

将所述邮箱账户的各类所述当前行为特征的特征值与对应的正常历史行为基线进行对比，得到与每类所述当前行为特征各自对应的第一异常得分；

依据每类所述当前行为特征各自对应的第一异常得分，计算出所述邮箱账户的综合异常得分；

所述根据每个所述邮箱账户的综合异常状况，确定出异常邮箱账户为：

对每个所述邮箱账户各自的综合异常得分进行分析，确定出异常邮箱账户。

可选的，所述预先根据所述邮箱账户的各类历史行为特征建立的、与各类行为特征各自对应的正常历史行为基线的过程为：

针对每个邮箱账户，预先采集所述邮箱账户的历史审计日志和历史邮件数据；

从所述邮箱账户的历史审计日志和历史邮件数据中提取出每类历史行为特征；