CN109039863A - 一种基于自学习的邮件安全检测方法、装置及存储介质 - Google Patents
一种基于自学习的邮件安全检测方法、装置及存储介质 Download PDFInfo
- Publication number
- CN109039863A CN109039863A CN201810865680.1A CN201810865680A CN109039863A CN 109039863 A CN109039863 A CN 109039863A CN 201810865680 A CN201810865680 A CN 201810865680A CN 109039863 A CN109039863 A CN 109039863A
- Authority
- CN
- China
- Prior art keywords
- feature
- self
- self study
- security detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种基于自学习的邮件安全检测方法、装置、计算机设备及可读存储介质。基于自学习的邮件安全检测方法包括:识别接收到邮件的特征;检测所述邮件的特征是否命中邮件特征库;若所述邮件的特征并未命中系统邮件特征库,则检测所述邮件特征是否偏离邮件自学习模型基线;若所述邮件特征偏离邮件自学习模型基线超过预设阈值,将所述邮件放置隔离区。本发明从自学习方法、邮件收发基线定义、邮件识别及处理三个技术层面进行处理,解决了邮件的安全性问题和信息泄露等问题。
Description
技术领域
本发明涉及计算机网络技术领域,具体涉及一种基于自学习的邮件安全检测方法、装置、计算机设备及可读存储介质。
背景技术
随着互联网的快速发展,电子邮件在人们日常工作生活中变得越来越重要,而伴随而来的却是个人信息安全,越来越多的垃圾邮件,病毒邮件给我们的使用带来了巨大挑战。
邮件安全防护,即对收发的邮件进行安全检测,包括病毒检测、垃圾邮件检测、弱口令检测、涉密邮件检测等,防止邮件服务器受到外部攻击或信息泄漏。随着网络技术不断发展,邮件安全防护也越来越受到重视,因为邮件中包含个人隐私等很多敏感信息,如何防护邮件安全,保护个人隐私,成为新网络时代的首要任务。传统邮件安全检测根据病毒库等特征库进行安全检测,由于特征库更新不及时或未能及时找到防护方法等问题,很难适应新的攻击等需求的防护,所以如何提供一种能够具有普适性,全面性的邮件安全检测,是目前亟需解决的问题。
发明内容
本发明提供一种能够自动学习邮件规则和用户行为的邮件安全检测方法、装置、计算机系统及可读存储介质,能够保障邮件的网络和数据安全。
本发明一实施例提供一种基于自学习的邮件安全检测方法,包括:
识别接收到邮件的特征;
检测所述邮件的特征是否命中邮件特征库;
若所述邮件的特征并未命中系统邮件特征库,则检测所述邮件特征是否偏离邮件自学习模型基线;
若所述邮件特征偏离邮件自学习模型基线超过预设阈值,将所述邮件放置隔离区。
优选的,所述邮件自学习模型基线为时间与邮件安全性之间的函数曲线。
优选的,所述邮件安全性为与邮件特征相关联的邮件安全值。
优选的,在所述识别接收到邮件的特征前,所述方法还包括:
根据设置的学习周期,系统对接收邮件进行特征库和模型基线的自学习,建立特征库和邮件自学习模型基线。
优选的,所述识别接收到邮件的特征,具体包括:
解析收到的邮件原始文件;
提取所述原始文件中的特征。
优选的,所述特征至少包括:邮件的收/发人,抄送人,密送人,主题,正文,附件格式,附件大小,附件内容。
优选的,若所述邮件的特征是否命中邮件特征库,隔离所述邮件。
本发明另一实施例提供一种基于自学习邮件安全检测装置,包括:
识别单元,用于识别接收到邮件的特征;
第一检测单元,检测所述邮件的特征是否命中邮件特征库;
第二检测单元,若所述邮件的特征并未命中系统邮件特征库,用于检测所述邮件特征是否偏离邮件自学习模型基线;
隔离单元,若所述邮件特征偏离邮件自学习模型基线超过预设阈值,用于将所述邮件放置隔离区。
优选的,所述邮件自学习模型基线为时间与邮件安全性之间的函数曲线。
优选的,所述邮件安全性为与邮件特征相关联的邮件安全值。
优选的,所述装置还包括:
建立单元,用于根据设置的学习周期,对接收邮件进行特征库和模型基线的自学习,建立特征库和邮件自学习模型基线。
优选的,所述识别单元,具体用于:
解析收到的邮件原始文件;
提取所述原始文件中的特征。
优选的,所述特征至少包括:邮件的收/发人,抄送人,密送人,主题,正文,附件格式,附件大小,附件内容。
优选的,所述隔离单元还用于:若所述邮件的特征是否命中邮件特征库,隔离所述邮件。
本发明另一实施例提供一种计算机设备,所述计算机设备包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现如上述任意一项基于自学习邮件安全检测方法的步骤。
本发明另一实施例提供一种计算机可读存储介质,其上存储有计算机程序(指令),其特征在于:所述计算机程序(指令)被处理器执行时实现如上述任意一项基于自学习邮件安全检测方法的步骤。
针对邮件传输中可能携带病毒、垃圾邮件、非法内容等信息,以及影响邮件服务器安全及造成信息泄漏等多方面的需求,本发明提供的基于自学习的邮件安全检测方法、装置、计算机系统及可读存储介质,从自学习方法、邮件收发基线定义、邮件识别及处理三个技术层面进行处理,解决了邮件的安全性问题和信息泄漏等问题,从根源上结局了邮件传输中的安全性问题。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明基于自学习的邮件安全检测方法一实施例;
图2为本发明基于自学习的邮件安全检测方法另一实施例;
图3为本发明基于自学习的邮件安全检测装置一实施例;
图4为本发明计算机设备实施例。
具体实施方式
以下结合说明书附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明,并且在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
基于以上现有技术的不足,本发明实施例一提供一种基于自学习邮件安全检测方法,该方法包括:识别接收到邮件的特征;检测所述邮件的特征是否命中邮件特征库;若所述邮件的特征并未命中系统邮件特征库,则检测所述邮件特征是否偏离邮件自学习模型基线;若所述邮件特征偏离邮件自学习模型基线超过预设阈值,将所述邮件放置隔离区。
本发明实施例中,步骤:检测所述邮件的特征是否命中邮件特征库后,若邮件特征命中邮件特征库,则隔离所述邮件。本实施例中隔离所述邮件,可选择为设置单独存储空间,将所述邮件隔离,待管理员进行确认,管理员确认为风险邮件,则进行删除处理,若管理员确认后该邮件安全,则对该邮件正常接收。
本发明中邮件特征库是邮件特征的集合,用于表征邮件相关属性,其中与邮件接收相关的内容都可以为邮件特征,用于邮件风险邮件,至少包括:邮件的收/发人,抄送人,密送人,主题,正文,附件格式,附件大小,附件内容等。本发明邮件特征库具有自学习功能,,默认以周为单位,对所有收发邮件进行检测,根据学习过程中特征的命中程度和管理员的核实情况,完善特征库。
举例说明,接收到邮件A,本实施例一识别该邮件A的特征:17:30分张三发送的,主题为“信用贷款”,具体内容“XXXX”;同样包括附件信息。本发明实施例一检测邮件A的特征是否命中邮件特征库,由于邮件特征库中存在“贷款”,此时,邮件A的特征命中邮件特征库,将该邮件A隔离待管理员确认。后续管理员确认张三是自己熟悉的银行的朋友,该邮件为张三给自己发送的银行贷款政策,因此并非风险邮件,将其设置为正常,此时,由于本实施例一特征库具有自学习功能,根据此次管理员确认,特征库会将贷款删除,或者选择将贷款的特征匹配后自动加入发件人的匹配,用于增加特征库的实用性。
本发明实施例一特征库的自学习完善,对不适合的特征库进行关闭,没有特征进行添加,对于误报的特征进行匹配条件限制或权值修改,通过自动修复和人工干预,实现特征库的自学习,进而增加特征库的实用性。
本发明实施例一中邮件自学习模型基线为时间与邮件安全性之间的函数曲线,具体的,是一个以时间为横轴,邮件安全性为纵轴的一条曲线。基线也可以说是一个范围,当邮件处于这个范围内时,表示该邮件是安全的,超出该范围就表示邮件可能存在风险。根据邮件提取的各项参数(时间、发送频率、特征等),计算出邮件的安全值。
更为具体的,该邮件自学习模型同样是通过设置固定学习时间段内,根据邮件特征的识别情况,邮件收发频率,收发时间,发送人信息等因素,加上这些因素的权重信息,计算出来各个邮件安全值,然后将该邮件安全值与邮件接收时间的关系,建立邮件收发基线。
其中一种实现方式,安全值可以概率的形式进行表达,根据学习时间段内的邮件收发情况,建立邮件收发基线,以时间为单位,以邮件收发频率、安全事件发生概率为参考值,建立以周为单位的邮件收发基线;
根据贝叶斯公式建立NB模型,计算发送安全事件的概率:
其中,假设命中特征库为事件A,其概率为P(A),命中基线为事件Bi,事件A已发生条件下事件Bi的概率为P(Bi|A)。
本发明实施例一中,在所述邮件特征并未命中邮件特征库,即以特征库为判断条件判断该邮件为非风险邮件;检测所述邮件特征是否偏离邮件自学习模型基线,及计算该邮件的安全值,根据邮件接收时间,判断是否偏离自学习模型基线超过预设阈值,若超过预设阈值,则判断该邮件为风险邮件,放置隔离区,待管理员确认。
本实施例中预设阈值时用来定义偏离程度地,可以根据本领域技术人员各自实施情况自行选择设置,设置时主要考虑准确性和容错性因素,优选地可设置偏离小于20%,超过该范围则说明可能存在风险。
本发明实施例一中基于自学习邮件安全检测方法,设置有特征库的匹配,以及邮件自学习模型基线偏离度的检测,通过双重检测,能够增加邮件检测的准确性,同时特征库和邮件模型基先都能够自学习,在大数据的基础上,完成自我调整,配合认为干预,使得本发明的邮件安全检测方法能够最大程度上行增加判断的准确性和检测的全面性,更为有效的帮助用户识别风险邮件,营造出良好的邮件系统的使用体验。
如附图2所示,本发明实施例二提供一种基于自学习的邮件安全检测方法,包括:步骤100:据设置的学习周期,系统对接收邮件进行特征库和模型基线的自学习,建立特征库和邮件自学习模型基线;步骤101:识别接收到的邮件的特征;步骤103:检测所述邮件的特征是否命中邮件特征库:步骤104:若所述邮件的特征命中邮件特征库,隔离所述油价你;步骤105:若所述邮件的特征并未命中系统邮件特征库,则检测所述邮件特征是否偏离邮件自学习模型基线;步骤107:若所述邮件特征偏离邮件自学习模型基线超过预设阈值,将所述邮件放置隔离区。
本实施例中,所述邮件自学习模型基线为时间与邮件安全性之间地函数取先;优选的,所述邮件安全性为与邮件特征相关联地邮件安全值。
本实施例中优选的,所述识别接收到邮件地特征,具体包括,解析收到邮件原始文件,提取原始文件中地特征,所述特征至少包括:邮件的收/发人,抄送人,密送人,主题,正文,附件格式,附件大小,附件内容。
本发明中邮件特征库是邮件特征的集合,用于表征邮件相关属性,其中与邮件接收相关的内容都可以为邮件特征,用于邮件风险邮件,至少包括:邮件的收/发人,抄送人,密送人,主题,正文,附件格式,附件大小,附件内容等。本发明邮件特征库具有自学习功能,,默认以周为单位,对所有收发邮件进行检测,根据学习过程中特征的命中程度和管理员的核实情况,完善特征库。
本发明实施例中特征库的自学习完善,对不适合的特征库进行关闭,没有特征进行添加,对于误报的特征进行匹配条件限制或权值修改,通过自动修复和人工干预,实现特征库的自学习,进而增加特征库的实用性。
本发明实施例三提供一种基于自学习邮件安全检测装置200,包括:识别单元201,用于识别接收到邮件的特征;第一检测单元205,检测所述邮件的特征是否命中邮件特征库;第二检测单元207,若所述邮件的特征并未命中系统邮件特征库,用于检测所述邮件特征是否偏离邮件自学习模型基线;隔离单元209,若所述邮件特征偏离邮件自学习模型基线超过预设阈值,用于将所述邮件放置隔离区。
需要说明的是,本实施例中所述邮件自学习模型基线为时间与邮件安全性之间地函数曲线,所述邮件安全性为与邮件特征相关联的邮件安全值。
本实施例基于自学习邮件安全检测装置200还包括建立单元203:用于根据设置的学习周期,对接收邮件进行特征库和模型基线的自学习,建立特征库和邮件自学习模型基线。
需要说明的是,本实施例中所述隔离单元209还用于,若所述邮件的特征是否命中邮件特征库,隔离所述邮件。
本实施例中邮件特征库是邮件特征的集合,用于表征邮件相关属性,其中与邮件接收相关的内容都可以为邮件特征,用于邮件风险邮件,至少包括:邮件的收/发人,抄送人,密送人,主题,正文,附件格式,附件大小,附件内容等。本发明邮件特征库具有自学习功能,,默认以周为单位,对所有收发邮件进行检测,根据学习过程中特征的命中程度和管理员的核实情况,完善特征库。
举例说明,接收到邮件A,本实施例一识别该邮件A的特征:17:30分张三发送的,主题为“信用贷款”,具体内容“XXXX”;同样包括附件信息。本发明实施例一检测邮件A的特征是否命中邮件特征库,由于邮件特征库中存在“贷款”,此时,邮件A的特征命中邮件特征库,将该邮件A隔离待管理员确认。后续管理员确认张三是自己熟悉的银行的朋友,该邮件为张三给自己发送的银行贷款政策,因此并非风险邮件,将其设置为正常,此时,由于本实施例一特征库具有自学习功能,根据此次管理员确认,特征库会将贷款删除,或者选择将贷款的特征匹配后自动加入发件人的匹配,用于增加特征库的实用性。
本实施例特征库的自学习完善,对不适合的特征库进行关闭,没有特征进行添加,对于误报的特征进行匹配条件限制或权值修改,通过自动修复和人工干预,实现特征库的自学习,进而增加特征库的实用性。
本实施例中邮件自学习模型基线为时间与邮件安全性之间的函数曲线,具体的,是一个以时间为横轴,邮件安全性为纵轴的一条曲线。基线也可以说是一个范围,当邮件处于这个范围内时,表示该邮件是安全的,超出该范围就表示邮件可能存在风险。根据邮件提取的各项参数(时间、发送频率、特征等),计算出邮件的安全值。
更为具体的,该邮件自学习模型同样是通过设置固定学习时间段内,根据邮件特征的识别情况,邮件收发频率,收发时间,发送人信息等因素,加上这些因素的权重信息,计算出来各个邮件安全值,然后将该邮件安全值与邮件接收时间的关系,建立邮件收发基线。
其中一种实现方式,安全值可以概率的形式进行表达,根据学习时间段内的邮件收发情况,建立邮件收发基线,以时间为单位,以邮件收发频率、安全事件发生概率为参考值,建立以周为单位的邮件收发基线;
根据贝叶斯公式建立NB模型,计算发送安全事件的概率:
其中,假设命中特征库为事件A,其概率为P(A),命中基线为事件Bi,事件A已发生条件下事件Bi的概率为P(Bi|A)。
本发明实施例一中,在所述邮件特征并未命中邮件特征库,即以特征库为判断条件判断该邮件为非风险邮件;检测所述邮件特征是否偏离邮件自学习模型基线,及计算该邮件的安全值,根据邮件接收时间,判断是否偏离自学习模型基线超过预设阈值,若超过预设阈值,则判断该邮件为风险邮件,放置隔离区,待管理员确认。
本实施例中预设阈值时用来定义偏离程度地,可以根据本领域技术人员各自实施情况自行选择设置,设置时主要考虑准确性和容错性因素,优选地可设置偏离小于20%,超过该范围则说明可能存在风险。
本实施例中一种基于自学习邮件安全检测装置200,包括:识别单元201,用于识别接收到邮件的特征;第一检测单元205,检测所述邮件的特征是否命中邮件特征库;第二检测单元207,若所述邮件的特征并未命中系统邮件特征库,用于检测所述邮件特征是否偏离邮件自学习模型基线;隔离单元209,若所述邮件特征偏离邮件自学习模型基线超过预设阈值,用于将所述邮件放置隔离区。通过设置有特征库的匹配,以及邮件自学习模型基线偏离度的检测,通过双重检测,能够增加邮件检测的准确性,同时特征库和邮件模型基先都能够自学习,在大数据的基础上,完成自我调整,配合认为干预,使得本发明的邮件安全检测方法能够最大程度上行增加判断的准确性和检测的全面性,更为有效的帮助用户识别风险邮件,营造出良好的邮件系统的使用体验。
图4是本发明一实施方式提供的计算机设备的示意图。如图4所示,计算机设备1至少包括:处理器20、存储器30、存储在所述存储器30中并可在所述处理器20上运行的计算机程序40(例如数据处理方法的控制程序)。
其中,所述计算机设备1可以是智能手机、平板电脑、笔记本电脑,台式电脑,服务器电脑,个人数字助理等具有拍摄功能的计算机设备。本领域技术人员可以理解,所述示意图3仅仅是计算机设备1的示例,并不构成对计算机设备1的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述计算机设备1还可以包括输入输出设备、网络接入设备、总线等。
所述处理器20执行所述计算机程序40时实现上述邮件安全检测方法实施方式中的步骤,例如图1所示的邮件安全检测方法、图2所示的邮件安全检测方法方法。所述处理器20执行所述计算机程序40时实现上述各装置实施方式中各模块/单元,例如附图3中各个单元的功能。
示例性的,所述计算机程序40可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器30中,并由所述处理器20执行,以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,所述指令段用于描述所述计算机程序40在所述终端1中的执行过程。例如,所述计算机程序40可以被分割成图3中的识别单元201,建立单元203,第一检测单元205,第二检测单元207,隔离单元209,各单元的具体功能请参见前面的具体介绍,为节省篇幅及避免重复起见,在此就不再赘述。
所称处理器20可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者所述处理器20也可以是任何常规的处理器等,所述处理器20是所述邮件安全检测装置200/所述计算机设备的控制中心,利用各种接口和线路连接整个邮件安全检测装置200/计算机设备1的各个部分。
所述存储器30用于存储所述计算机程序40和/或模块/单元,所述处理器20通过运行或执行存储在所述存储器30内的计算机程序和/或模块/单元,以及调用存储在所述存储器30内的数据,实现所述邮件安全检测装置200/计算机设备1的各种功能。所述存储器30可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据计算机设备1的使用所创建的数据等。此外,所述存储器30可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述实施方式中所述的邮件安全检测方法的步骤。
所述邮件安全检测装置200//计算机设备集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施方式方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,所述计算机程序在被处理器执行时,可实现上述各个方法实施方式的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读存储介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
在本发明所提供的几个具体实施方式中,应该理解到,所揭露的终端和方法,可以通过其它的方式实现。例如,以上所描述的终端实施方式仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
另外,在本发明各个实施例中的各功能模块可以集成在相同处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在相同模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
对于本领域技术人员而言,显然本发明实施例不限于上述示范性实施例的细节,而且在不背离本发明实施例的精神或基本特征的情况下,能够以其他的具体形式实现本发明实施例。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明实施例的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明实施例内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。系统、装置或终端权利要求中陈述的多个单元、模块或装置也可以由同一个单元、模块或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
最后应说明的是,以上实施方式仅用以说明本发明实施例的技术方案而非限制,尽管参照以上较佳实施方式对本发明实施例进行了详细说明,本领域的普通技术人员应当理解,可以对本发明实施例的技术方案进行修改或等同替换都不应脱离本发明实施例的技术方案的精神和范围。
Claims (10)
1.一种基于自学习邮件安全检测方法,其特征在于,包括:
识别接收到邮件的特征;
检测所述邮件的特征是否命中邮件特征库;
若所述邮件的特征并未命中系统邮件特征库,则检测所述邮件特征是否偏离邮件自学习模型基线;
若所述邮件特征偏离邮件自学习模型基线超过预设阈值,将所述邮件放置隔离区。
2.如权利要求1所述的基于自学习邮件安全检测方法,其特征在于,
所述邮件自学习模型基线为时间与邮件安全性之间的函数曲线。
3.如权利要求2所述的基于自学习邮件安全检测方法,其特征在于,
所述邮件安全性为与邮件特征相关联的邮件安全值。
4.如权利要求1所述的自学习邮件安全检测方法,其特征在于,
所述识别接收到邮件的特征前,所述方法还包括:
根据设置的学习周期,系统对接收邮件进行特征库和模型基线的自学习,建立特征库和邮件自学习模型基线。
5.如权利要求1至4任一项所述的基于自学习邮件安全检测方法,其特征在于,
所述识别接收到邮件的特征,具体包括:
解析收到的邮件原始文件;
提取所述原始文件中的特征。
6.一种基于自学习邮件安全检测装置,其特征在于,包括:
识别单元,用于识别接收到邮件的特征;
第一检测单元,检测所述邮件的特征是否命中邮件特征库;
第二检测单元,若所述邮件的特征并未命中系统邮件特征库,用于检测所述邮件特征是否偏离邮件自学习模型基线;
隔离单元,若所述邮件特征偏离邮件自学习模型基线超过预设阈值,用于将所述邮件放置隔离区。
7.如权利要求6所述的自学习邮件安全检测装置,其特征在于,
所述装置还包括:
建立单元,用于根据设置的学习周期,对接收邮件进行特征库和模型基线的自学习,建立特征库和邮件自学习模型基线。
8.如权利要求6至17任一项所述的基于自学习邮件安全检测装置,其特征在于,
所述识别单元,具体用于:
解析收到的邮件原始文件;
提取所述原始文件中的特征。
9.一种计算机设备,其特征在于,所述计算机设备包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现如权利要求1-5中任意一项基于自学习邮件安全检测方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序(指令),其特征在于:所述计算机程序(指令)被处理器执行时实现如权利要求1-5中任意一项基于自学习邮件安全检测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810865680.1A CN109039863B (zh) | 2018-08-01 | 2018-08-01 | 一种基于自学习的邮件安全检测方法、装置及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810865680.1A CN109039863B (zh) | 2018-08-01 | 2018-08-01 | 一种基于自学习的邮件安全检测方法、装置及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109039863A true CN109039863A (zh) | 2018-12-18 |
CN109039863B CN109039863B (zh) | 2021-06-22 |
Family
ID=64647549
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810865680.1A Active CN109039863B (zh) | 2018-08-01 | 2018-08-01 | 一种基于自学习的邮件安全检测方法、装置及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109039863B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110535758A (zh) * | 2019-10-12 | 2019-12-03 | 北京明朝万达科技股份有限公司 | 一种邮件处理方法及装置 |
CN113242258A (zh) * | 2021-05-27 | 2021-08-10 | 安天科技集团股份有限公司 | 一种主机集群的威胁检测方法和装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1882921A (zh) * | 2003-10-10 | 2006-12-20 | 阿拉丁知识系统有限公司 | 用于防止对电子邮件消息进行入侵的方法和系统 |
GB2496120A (en) * | 2010-08-30 | 2013-05-08 | Stratify Inc | Analysis of emails using a hidden Markov model to recognize sections of the email, e.g. header, body, signature block and disclaimer |
CN104967558A (zh) * | 2015-06-10 | 2015-10-07 | 东软集团股份有限公司 | 一种垃圾邮件的检测方法及装置 |
CN105323248A (zh) * | 2015-10-23 | 2016-02-10 | 绵阳师范学院 | 一种基于规则的交互式中文垃圾邮件过滤方法 |
CN105871887A (zh) * | 2016-05-12 | 2016-08-17 | 北京大学 | 基于客户端的个性化电子邮件过滤系统和过滤方法 |
US20170251013A1 (en) * | 2016-02-26 | 2017-08-31 | Oracle International Corporation | Techniques for discovering and managing security of applications |
-
2018
- 2018-08-01 CN CN201810865680.1A patent/CN109039863B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1882921A (zh) * | 2003-10-10 | 2006-12-20 | 阿拉丁知识系统有限公司 | 用于防止对电子邮件消息进行入侵的方法和系统 |
GB2496120A (en) * | 2010-08-30 | 2013-05-08 | Stratify Inc | Analysis of emails using a hidden Markov model to recognize sections of the email, e.g. header, body, signature block and disclaimer |
CN104967558A (zh) * | 2015-06-10 | 2015-10-07 | 东软集团股份有限公司 | 一种垃圾邮件的检测方法及装置 |
CN105323248A (zh) * | 2015-10-23 | 2016-02-10 | 绵阳师范学院 | 一种基于规则的交互式中文垃圾邮件过滤方法 |
US20170251013A1 (en) * | 2016-02-26 | 2017-08-31 | Oracle International Corporation | Techniques for discovering and managing security of applications |
CN105871887A (zh) * | 2016-05-12 | 2016-08-17 | 北京大学 | 基于客户端的个性化电子邮件过滤系统和过滤方法 |
Non-Patent Citations (1)
Title |
---|
张晟勋: "《面向企业的反垃圾邮件网关系统的设计与实现》", 《中国优秀硕士学位论文全文数据库》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110535758A (zh) * | 2019-10-12 | 2019-12-03 | 北京明朝万达科技股份有限公司 | 一种邮件处理方法及装置 |
CN110535758B (zh) * | 2019-10-12 | 2021-10-01 | 北京明朝万达科技股份有限公司 | 一种邮件处理方法及装置 |
CN113242258A (zh) * | 2021-05-27 | 2021-08-10 | 安天科技集团股份有限公司 | 一种主机集群的威胁检测方法和装置 |
CN113242258B (zh) * | 2021-05-27 | 2023-11-14 | 安天科技集团股份有限公司 | 一种主机集群的威胁检测方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN109039863B (zh) | 2021-06-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107566358B (zh) | 一种风险预警提示方法、装置、介质及设备 | |
CN103548016B (zh) | 用于消息分类的动态规则重新排序 | |
CN104301117B (zh) | 身份校验方法及装置 | |
US10462080B1 (en) | Verifying users of an electronic messaging system | |
US11704583B2 (en) | Machine learning and validation of account names, addresses, and/or identifiers | |
CN104272268B (zh) | 用于通信安全管理的系统、装置和方法 | |
US11847662B2 (en) | Systems and methods of photo-based fraud protection | |
WO2020114125A1 (zh) | 基于通讯录的鉴证方法、终端设备、服务器及存储介质 | |
CN104954322A (zh) | 一种账号的绑定处理方法、装置及系统 | |
WO2017193997A1 (zh) | 一种短信过滤方法和系统 | |
EP3385894B1 (en) | Method for producing a cryptographically signed transaction | |
US20240048514A1 (en) | Method for electronic impersonation detection and remediation | |
CN109039863A (zh) | 一种基于自学习的邮件安全检测方法、装置及存储介质 | |
CN108366052A (zh) | 验证短信的处理方法及系统 | |
CN109716370A (zh) | 用于在消息应用中传送响应的系统和方法 | |
CN111178890A (zh) | 账户的保护方法、装置和设备 | |
CN108076012A (zh) | 异常登录判断方法及装置 | |
US20220400172A1 (en) | Restricting access based on voice communication parameters | |
US11943193B2 (en) | Misdirected email data loss prevention | |
Kikerpill et al. | Mazephishing: The COVID-19 pandemic as credible social context for social engineering attacks | |
CN109547322A (zh) | 系统提示控制方法、装置、计算机及计算机可读存储介质 | |
CN107506355B (zh) | 对象分组方法及装置 | |
CN111105064A (zh) | 确定欺诈事件的嫌疑信息的方法及装置 | |
US20170309552A1 (en) | System and method for verifying users for a network service using existing users | |
CN110135190A (zh) | 数据管理方法、服务器及计算机存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |