CN113810329A - 一种邮箱账号异常的检测方法及检测系统 - Google Patents

一种邮箱账号异常的检测方法及检测系统 Download PDF

Info

Publication number
CN113810329A
CN113810329A CN202010530781.0A CN202010530781A CN113810329A CN 113810329 A CN113810329 A CN 113810329A CN 202010530781 A CN202010530781 A CN 202010530781A CN 113810329 A CN113810329 A CN 113810329A
Authority
CN
China
Prior art keywords
account
login
abnormal
mailbox
weight
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010530781.0A
Other languages
English (en)
Other versions
CN113810329B (zh
Inventor
杜冠瑶
龙春
万巍
赵静
杨帆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Computer Network Information Center of CAS
Original Assignee
Computer Network Information Center of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Computer Network Information Center of CAS filed Critical Computer Network Information Center of CAS
Priority to CN202010530781.0A priority Critical patent/CN113810329B/zh
Publication of CN113810329A publication Critical patent/CN113810329A/zh
Application granted granted Critical
Publication of CN113810329B publication Critical patent/CN113810329B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/42Mailbox-related aspects, e.g. synchronisation of mailboxes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种邮箱账号异常的检测方法及检测系统,该方法包括对邮件日志数据进行清洗,提取有用信息;统计预设时间窗口内各有用信息对应的登录行为数据;确定当前时间窗口内每一登录行为数据所占的权重;根据各登录行为数据及其对应的权重计算账户行为异常值z,并与预设阈值z0进行比较,当z>z0时,判断账户为异常账户;该方法综合考虑邮箱帐号的登陆次数、地址位置信息、登陆时间、登陆方式等影响因素,采用滑动时间窗口来限定帐号的行为周期,对各种影响因素进行加权,并用随机森林算法学习各影响因素的权重,最终判断邮箱帐号是否存在异常,提高了邮箱账号异常检测的准确性。

Description

一种邮箱账号异常的检测方法及检测系统
技术领域
本发明属于异常检测领域,特别涉及一种邮箱账号异常的检测方法及检测系统。
背景技术
电子邮箱是日常生活、办公不可缺少的沟通交流工具,用户可通过电脑等方式登录电子邮箱。然而随着网络的不断发展,电子邮箱账号安全问题显得尤为重要,很多用户的电子邮箱受到攻击或者被盗取。针对邮箱账户的异常行为,目前的检测方法通常是检测终端登陆邮箱时的IP地址是否是常用地址,当发现用户不在常用地登陆时,进行告警。
然而现有的判断邮箱账号是否存在异常的方法面临以下问题:邮箱账号正常和异常的状态无法清晰界定;大量日志数据本身存在噪声,噪声和异常难以区分;邮箱账号的正常行为并不是一成不变的,也会随时间发生演化。以上几方面都给邮箱帐号异常检测带来困难。此外,现有的部分文献在判断异常行为时,没有考虑时间变化的特性,设置好检测规则后一直使用;部分文献在判断邮箱帐号异常时只考虑登陆行为中的一种或几种单一特征,并没有综合考虑到不同特征如何从整体上对邮箱账号异常所带来的影响,因此,现有技术公开的方法无法准确地判断邮箱账号的异常行为。
发明内容
为了解决现有技术中存在的问题,本发明提供一种邮箱账号异常的检测方法及检测系统。
本发明其中一个技术方案提供一种邮箱账号异常的检测方法,该方法包括如下步骤:
对邮件日志数据进行清洗,提取有用信息;
统计预设时间窗口内各有用信息对应的登录行为数据;
确定当前时间窗口内每一登录行为数据所占的权重;
根据各登录行为数据及其对应的权重计算账户行为异常值z,并与预设阈值z0进行比较,当z>z0时,判断账户为异常账户。
进一步改进的方案中,所述有用信息包括邮箱账户、登录时间、登录IP、登录IP归属地、账号登录状态及登录方式。
进一步改进的方案中,确定当前时间窗口内每一登录行为数据所占的权重为利用随机森林算法确定当前时间窗口内每一登录行为数据所占的权重。
进一步改进的方案中,根据各登录行为数据及其对应的权重计算账户行为异常值z具体按照公式(一)进行计算:
z=a1*b1+a2*b2+a3*b3+a4*b4+a5*b5 (一)
其中,b1为帐号登陆失败的次数异常值;b2为非正常时段登陆异常值;b3为不同登陆地值;b4为登录邮箱的地理位置异常值;b5为登录方式异常值;a1-a5为登录行为数据所占的权重。
进一步改进的方案中,所述方法还包括:当判断出z≤z0时,采用关联分析算法对邮箱账号进行检测。
本发明另一方案提供一种邮箱帐号异常的检测系统,该检测系统包括:
日志数据预处理模块,被配置为对邮件日志数据进行清洗,提取有用信息;
数据统计模块,被配置为统计预设时间窗口内各有用信息对应的登录行为数据;
权重获取模块,被配置为确定当前时间窗口内每一登录行为数据所占的权重;
异常判断模块,被配置为根据各登录行为数据及其对应的权重计算账户行为异常值z,并与预设阈值z0进行比较,当z>z0时,判断账户为异常账户。
本发明提供的一种邮箱帐号异常的检测方法及检测系统,对清洗后的邮件日志数据进行分析,综合考虑邮箱帐号的登陆次数、地址位置信息、登陆时间、登陆方式等影响因素,采用滑动时间窗口来限定帐号的行为周期,对各种影响因素进行加权,并用随机森林算法学习各影响因素的权重,最终判断邮箱帐号是否存在异常,提高了邮箱账号异常检测的准确性。
附图说明
图1为本发明一些实施例中一种邮箱账号异常的检测方法的流程图;
图2为本发明另一些实施例中关联分析算法的流程图;
图3为本发明另一些实施例中一种邮箱账号异常的检测系统的结构框图。
具体实施方式
本发明一些实施例提供一种邮箱账号异常的检测方法,如图1所示,该检测方法包括如下步骤:
1)对邮件日志数据进行清洗,提取有用信息;
其中,步骤1)所述邮件日志数据的清洗目的是去除噪声影响,提取有用信息,有用信息包括:邮箱账号、登录时间、登陆IP、登陆IP归属地(用作地理位置信息)、账号登陆状态(登录成功或登陆失败)、登陆方式(网页、代理或手机端APP等);
2)统计预设时间窗口内各有用信息对应的登录行为数据;
其中,所述登录行为数据包括:账号登录失败的次数异常值、非正常时间段登录异常值、不同登陆地值、登录邮箱的地理位置异常值及登录方式异常值;
3)确定当前时间窗口内每一登录行为数据所占的权重;
其中,步骤3)利用随机森林算法确定当前时间窗口内每一登录行为数据所占的权重;
所用随机森林算法具体过程如下:
第一步:
用K-fold-validation方法分组训练K次,其中在每一次内,每做一次抽样,训练一棵决策树;
第二步:
会得到K棵决策树,其中每棵决策树都用CART决策树构建,生成回归树(处理方法如下);
总结最小二乘回归树算法步骤:
输入:训练数据集D
输出:回归树f(x)
1.首先对特征空间进行划分,注意选择顺序,先遍历变量j,然后对固定的变量j找到最优的切分点s,然后选择使得下式最小的键值对(j,s),即:
Figure BDA0002535321430000041
2.用此键值对(j,s)对输入空间进行划分,然后取划分空间内y的平均值作为其输出值,公式如下:
R1(j,s)={x|x(j)≤s}and R2(j,s)={x|x(j)≥s};3.继续对两个子空间调用步骤1和2直到满足相应的输出条件,生产决策树
Figure BDA0002535321430000042
第三步
训练结果是:给定b1到b5(一个样本)可以预测(计算出)一个z,其中z是每个决策树取平均得到;
第四步
获取权重a1到a5方法:
构造样本数据(1,0,0,0,0)代入决策树取平均(即z=a1),以此类推获得a2到a5
4)根据各登录行为数据及其对应的权重计算账户行为异常值z,并与预设阈值z0进行比较,当z>z0时,判断账户为异常账户;
其中,z0可根据实际情况进行限定,异常值z按照公式(一)进行计算:
z=a1*b1+a2*b2+a3*b3+a4*b4+a5*b5 (一)
其中,b1为帐号登陆失败的次数异常值;选取某一个时间窗口,统计帐号登陆失败的次数,次数大于阈值n1,则认为存在异常,b1=1,否则b1=0;其中n1可以选择为5或10等;
b2为非正常时段登陆异常值;非正常时间段根据(从t1到t2,例如从0:00-6:00)登陆次数m,如果m>阈值m0,则认为该用户当日在非正常时段有登录活动,b2=1,否则b2=0;其中m0可以选择5、10、20等;
b3为不同登陆地值;统计用户每日登录的地理位置信息;如果用户登录的不重复位置超过p个,则认为该用户当日登录地异常;如果用户具有登录地异常情况的天数大于d,则认为该用户行为异常,b3=1,否则为b3=0;其中p可以为5、10、20等;d可以为3、5、10等;
b4为登录邮箱的地理位置异常值;统计用户两次登录时间间隔内,地理位置距离大于阈值s,s的取值例如可以为飞机每小时飞行距离(速度按照500公里/小时),则b4=1,否则b4=0;
b5为登录方式异常值;登陆方式有网页、代理或手机端APP等,根据用户使用习惯,每次新的登录方式出现,则b5=1,否则b5=0;
a1-a5为登录行为数据所占的权重。
本发明提供的一种邮箱帐号异常的检测方法,对清洗后的邮件日志数据进行分析,综合考虑邮箱帐号的登陆次数、地址位置信息、登陆时间、登陆方式等影响因素,采用滑动时间窗口来限定帐号的行为周期,对各种影响因素进行加权,并用随机森林算法学习各影响因素的权重,最终判断邮箱帐号是否存在异常,提高了邮箱账号异常检测的准确性。
本发明另一些实施例提供的一种邮箱账号异常的检测方法,还包括如下步骤:
5)当判断出z≤z0时,采用关联分析算法对邮箱账号进行检测。
在一些优选的实施例中,如图2所示,步骤5)包括:
51)获取数据库中邮箱账号异常时对应的日志数据,对日志数据进行清洗,提取有用信息并获取有用信息对应的登录行为数据;
所述登录行为数据包括:
c1为帐号登陆失败的次数异常值;选取某一个时间窗口,统计帐号登陆失败的次数,当次数大于n2时,c1=1,否则c1=0;其中,n2可以为3、5等;
c2为登录习惯异常值;非正常时间段(从t1到t2,例如从0:00-6:00)登陆次数与正常时间段登录次数的比值r,如果r>阈值r0,则c2=1,否则c2=0;其中r0可以为3、5等;
c3为登陆地异常值;统计用户每日登录的地理位置信息;当用户登录的不重复位置超过p1个且登录天数大于d1,则c3=1,否则c3=0;p1可以为3、5、10等,d1可以为2、5等;
c4为登录邮箱的地理位置异常值;统计用户两次登录时间间隔内,地理位置距离大于阈值s1,s1的取值例如可以为飞机每小时飞行距离(速度按照500公里/小时),当此前出现过此情况且次数少于阈值e时,c4=0,否则c4=1;e可以为2、5等;
c5为登录方式异常值;登陆方式有网页、代理或手机端APP等,根据用户使用习惯,连续w次以新的登录方式出现,则c5=1,否则c5=0;w可以为2、3、5等;
52)获取每一登录行为数据的权重,根据权重对登录行为数据进行排序,形成候选项集;
其中每一登录行为数据所占的权重可以通过随机森林算法获取或者人为设定,分别为f1至f5
53)按照公式(二)计算候选项集内每一项的支持度,扫描一遍候选项集,去掉支持度小于最小支持度阈值的项,形成频繁1项集;
Figure BDA0002535321430000071
其中,Si表示第i项(登录行为数据)的支持度,Ni表示第i频繁项出现的次数,N表示所有连接项出现的次数;
54)连接频繁1项集构成2项集,计算同时存在2项的支持度,删除支持度小于最小支持度阈值的项,形成频繁2项集,以此类推直至找不出频繁项集;
55)从步骤54)找出的最终频繁项集内形成关联规则;
形成关联规则是指将置信度大于置信度阈值的项集形成关联规则;
其中,按照公式(三)计算置信度C;
Figure BDA0002535321430000081
其中,S(X,Y)表示同时出现x,y的支持度,S(X)表示x的支持度;x,y分别表示登录行为数据;
56)计算关联系数k,k=C*zp,zp为频繁项集的权重,将关联系数与关联系数阈值k0进行比较,挑选出关联系数大于阈值k0的项集,形成强关联规则;
Figure BDA0002535321430000082
其中,fi表示频繁项集内第i项的权重,fg表示频繁项集子集内第g项的权重;
57)提取待检测日志内的有用信息及对应的登录行为数据,将登录行为数据之间的连接与强关联规则进行匹配,匹配偏差小于阈值,即为存在异常。
具体匹配过程可以根据权值进行匹配,权值可以通过卷积神经网络进行训练获得。
下面给出利用关联分析算法对邮箱异常检测具体的实施例
Figure BDA0002535321430000083
以上表是按权重大小依次排列。上表中各项的权重异常为f1至f5
预设最小值支持度为2,关联系数阈值k0为0.7;
Figure BDA0002535321430000084
将项C5删除,连接形成的2项集如下:
{C1,C2},{C1,C3},{C1,C4},{C2,C3},{C2,C4},{C3,C4}
Figure BDA0002535321430000091
删除项{C1,C4}和{C3,C4},连接形成的3项集如下:
{C1,C2,C3},第三次扫描支持度S=2。
{C1,C2,C3}的非空子集包括{C1},{C2},{C3},{C1,C2},{C1,C3},{C2,C3}。
结果关联规则如下,每个都列出置信度及关联系数,设定权重分别为f1=30%,
f2=25%,f3=20%,f4=15%,f5=10%。
1).C1=>C2∧C3,C=2/4=50%,
Figure BDA0002535321430000092
2).C2=>C1∧C3,C=2/3=66.7%;
Figure BDA0002535321430000093
3).C3=>C1∧C2,C=2/3=66.7%;
Figure BDA0002535321430000094
4).C1∧C2=>C3,C=2/2=100%;
Figure BDA0002535321430000095
5).C1∧C3=>C2,C=2/2=100%;
Figure BDA0002535321430000096
6).C2∧C3=>C1,C=2/3=66.7%;
Figure BDA0002535321430000097
其中k4>0.7,因此4)是频繁项集{C1,C2,C3}产生的强关联规则且可以输出。
本发明采用以上方法,根据关联规则和各登录行为数据的权重计算出关联系数,进而形成强关联规则,用于实现对待检测邮箱日志可能存在的异常进行检测,进而显著提高了检测的准确性。
本发明另一些实施例提供一种邮箱帐号异常的检测系统,如图3所示,该检测系统包括:
日志数据预处理模块10,被配置为对邮件日志数据进行清洗,提取有用信息;
其中,提取有用信息,有用信息包括:邮箱账号、登录时间、登陆IP、登陆IP归属地(用作地理位置信息)、账号登陆状态(登录成功或登陆失败)、登陆方式(网页、代理或手机端APP等);
数据统计模块20,被配置为统计预设时间窗口内各有用信息对应的登录行为数据;
其中,所述登录行为数据包括:账号登录失败的次数异常值、非正常时间段登录异常值、不同登陆地值、登录邮箱的地理位置异常值及登录方式异常值;
权重获取模块30,被配置为确定当前时间窗口内每一登录行为数据所占的权重;
其中,利用随机森林算法确定当前时间窗口内每一登录行为数据所占的权重;
异常判断模块40,被配置为根据各登录行为数据及其对应的权重计算账户行为异常值z,并与预设阈值z0进行比较,当z>z0时,判断账户为异常账户;
其中,z0可根据实际情况进行限定,异常值z按照公式(一)进行计算:
z=a1*b1+a2*b2+a3*b3+a4*b4+a5*b5 (一)
其中,b1为帐号登陆失败的次数异常值;选取某一个时间窗口,统计帐号登陆失败的次数,次数大于阈值n1,则认为存在异常,b1=1,否则b1=0;
b2为非正常时段登陆异常值;非正常时间段根据(从t1到t2)登陆次数m,如果m>阈值m0,则认为该用户当日在非正常时段有登录活动,b2=1,否则b2=0;
b3为不同登陆地值;统计用户每日登录的地理位置信息;如果用户登录的不重复位置超过p个,则认为该用户当日登录地异常;如果用户具有登录地异常情况的天数大于d,则认为该用户行为异常,b3=1,否则为b3=0;
b4为登录邮箱的地理位置异常值;统计用户两次登录时间间隔,地理位置距离大于阈值s,s的取值例如可以为飞机每小时飞行距离(速度按照500公里/小时),则b4=1,否则b4=0;
b5为登录方式异常值;登陆方式有网页、代理或手机端APP等,根据用户使用习惯,每次新的登录方式出现,则b5=1,否则b5=0;
a1-a5为登录行为数据所占的权重。
本发明提供的一种邮箱帐号异常的检测系统,采用滑动时间窗口来限定帐号的行为周期,对各种影响因素进行加权,并用随机森林算法学习各影响因素的权重,最终判断邮箱帐号是否存在异常,提高了邮箱账号异常检测的准确性。
本发明另一些实施例提供一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中的存储器所包含的计算机可读存储介质;也可以是单独存在,未装配入终端中的计算机可读存储介质。所述计算机可读存储介质存储有一个或者一个以上程序,所述一个或者一个以上程序被一个或者一个以上的处理器用来执行上述实施例所提供的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。

Claims (6)

1.一种邮箱账号异常的检测方法,其特征在于,所述方法包括如下步骤:
对邮件日志数据进行清洗,提取有用信息;
统计预设时间窗口内各有用信息对应的登录行为数据;
确定当前时间窗口内每一登录行为数据所占的权重;
根据各登录行为数据及其对应的权重计算账户行为异常值z,并与预设阈值z0进行比较,当z>z0时,判断账户为异常账户。
2.如权利要求1所述的邮箱账号异常的检测方法,其特征在于,所述有用信息包括邮箱账户、登录时间、登录IP、登录IP归属地、账号登录状态及登录方式。
3.如权利要求1所述的邮箱账号异常的检测方法,其特征在于,确定当前时间窗口内每一登录行为数据所占的权重为利用随机森林算法确定当前时间窗口内每一登录行为数据所占的权重。
4.如权利要求1所述的邮箱账号异常的检测方法,其特征在于,根据各登录行为数据及其对应的权重计算账户行为异常值z具体按照公式(一)进行计算:
z=a1*b1+a2*b2+a3*b3+a4*b4+a5*b5 (一)
其中,b1为帐号登陆失败的次数异常值;b2为非正常时段登陆异常值;b3为不同登陆地值;b4为登录邮箱的地理位置异常值;b5为登录方式异常值;a1-a5为登录行为数据所占的权重。
5.如权利要求1所述的邮箱账号异常的检测方法,其特征在于,所述方法还包括:当判断出z≤z0时,采用关联分析算法对邮箱账号进行检测。
6.一种邮箱账号异常的检测系统,其特征在于,所述检测系统包括:
日志数据预处理模块,被配置为对邮件日志数据进行清洗,提取有用信息;
数据统计模块,被配置为统计预设时间窗口内各有用信息对应的登录行为数据;
权重获取模块,被配置为确定当前时间窗口内每一登录行为数据所占的权重;
异常判断模块,被配置为根据各登录行为数据及其对应的权重计算账户行为异常值z,并与预设阈值z0进行比较,当z>z0时,判断账户为异常账户。
CN202010530781.0A 2020-06-11 2020-06-11 一种邮箱账号异常的检测方法及检测系统 Active CN113810329B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010530781.0A CN113810329B (zh) 2020-06-11 2020-06-11 一种邮箱账号异常的检测方法及检测系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010530781.0A CN113810329B (zh) 2020-06-11 2020-06-11 一种邮箱账号异常的检测方法及检测系统

Publications (2)

Publication Number Publication Date
CN113810329A true CN113810329A (zh) 2021-12-17
CN113810329B CN113810329B (zh) 2023-09-29

Family

ID=80782915

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010530781.0A Active CN113810329B (zh) 2020-06-11 2020-06-11 一种邮箱账号异常的检测方法及检测系统

Country Status (1)

Country Link
CN (1) CN113810329B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107465642A (zh) * 2016-06-02 2017-12-12 百度在线网络技术(北京)有限公司 一种判断账号异常登录的方法及装置
CN107911396A (zh) * 2017-12-30 2018-04-13 世纪龙信息网络有限责任公司 登录异常检测方法和系统
CN108092975A (zh) * 2017-12-07 2018-05-29 上海携程商务有限公司 异常登录的识别方法、系统、存储介质和电子设备
CN108768943A (zh) * 2018-04-26 2018-11-06 腾讯科技(深圳)有限公司 一种检测异常账号的方法、装置及服务器
CN109040103A (zh) * 2018-08-27 2018-12-18 深信服科技股份有限公司 一种邮件账号失陷检测方法、装置、设备及可读存储介质
CN110198305A (zh) * 2019-05-05 2019-09-03 平安科技(深圳)有限公司 坐席ip的异常检测方法、系统、计算机设备及存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107465642A (zh) * 2016-06-02 2017-12-12 百度在线网络技术(北京)有限公司 一种判断账号异常登录的方法及装置
CN108092975A (zh) * 2017-12-07 2018-05-29 上海携程商务有限公司 异常登录的识别方法、系统、存储介质和电子设备
CN107911396A (zh) * 2017-12-30 2018-04-13 世纪龙信息网络有限责任公司 登录异常检测方法和系统
CN108768943A (zh) * 2018-04-26 2018-11-06 腾讯科技(深圳)有限公司 一种检测异常账号的方法、装置及服务器
CN109040103A (zh) * 2018-08-27 2018-12-18 深信服科技股份有限公司 一种邮件账号失陷检测方法、装置、设备及可读存储介质
CN110198305A (zh) * 2019-05-05 2019-09-03 平安科技(深圳)有限公司 坐席ip的异常检测方法、系统、计算机设备及存储介质

Also Published As

Publication number Publication date
CN113810329B (zh) 2023-09-29

Similar Documents

Publication Publication Date Title
CN107154950B (zh) 一种日志流异常检测的方法及系统
CN109615116B (zh) 一种电信诈骗事件检测方法和检测系统
CN108809745A (zh) 一种用户异常行为检测方法、装置及系统
CN109766956B (zh) 基于快递大数据的异常检测方法
CN107493277B (zh) 基于最大信息系数的大数据平台在线异常检测方法
CN108595655B (zh) 一种基于会话特征相似性模糊聚类的异常用户检测方法
US20020147754A1 (en) Vector difference measures for data classifiers
CN101443736A (zh) 消息评估系统及方法
CN110083507B (zh) 关键性能指标分类方法及装置
CN109657147B (zh) 基于萤火虫和加权极限学习机的微博异常用户检测方法
CN113206824B (zh) 动态网络异常攻击检测方法、装置、电子设备和存储介质
CN110493221B (zh) 一种基于聚簇轮廓的网络异常检测方法
EP3644232B1 (en) Method and device for classifying samples to be assessed
CN113568368B (zh) 一种工控数据特征重排序算法的自适应确定方法
CN110162958B (zh) 用于计算设备的综合信用分的方法、装置和记录介质
CN112839014A (zh) 建立识别异常访问者模型的方法、系统、设备及介质
CN110348215B (zh) 异常对象识别方法、装置、电子设备及介质
CN111079427A (zh) 一种垃圾邮件识别方法及系统
CN107222319B (zh) 一种通信操作分析方法及装置
CN113810329B (zh) 一种邮箱账号异常的检测方法及检测系统
CN115514581B (zh) 一种用于工业互联网数据安全平台的数据分析方法及设备
CN110995713A (zh) 一种基于卷积神经网络的僵尸网络检测系统及方法
CN108347421B (zh) 一种基于内容的恶意邮件检测方法及系统
CN111144430A (zh) 基于遗传算法的养卡号码识别方法及装置
CN113810334B (zh) 一种邮件系统异常ip的检测方法及检测系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant