CN113839852B - 邮件账号异常检测方法、装置及存储介质 - Google Patents

邮件账号异常检测方法、装置及存储介质 Download PDF

Info

Publication number
CN113839852B
CN113839852B CN202010578662.2A CN202010578662A CN113839852B CN 113839852 B CN113839852 B CN 113839852B CN 202010578662 A CN202010578662 A CN 202010578662A CN 113839852 B CN113839852 B CN 113839852B
Authority
CN
China
Prior art keywords
account
mail account
abnormality detection
detection model
log
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010578662.2A
Other languages
English (en)
Other versions
CN113839852A (zh
Inventor
龙春
张宇柔
杜冠瑶
赵静
杨帆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Computer Network Information Center of CAS
Original Assignee
Computer Network Information Center of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Computer Network Information Center of CAS filed Critical Computer Network Information Center of CAS
Priority to CN202010578662.2A priority Critical patent/CN113839852B/zh
Publication of CN113839852A publication Critical patent/CN113839852A/zh
Application granted granted Critical
Publication of CN113839852B publication Critical patent/CN113839852B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/42Mailbox-related aspects, e.g. synchronisation of mailboxes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/906Clustering; Classification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/23Reliability checks, e.g. acknowledgments or fault reporting

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Software Systems (AREA)
  • Databases & Information Systems (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Mathematical Physics (AREA)
  • Computing Systems (AREA)
  • Medical Informatics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Evolutionary Biology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明实施例公开了一种邮件账号异常检测方法、装置及存储介质,涉及网络安全领域。本发明的方法包括:对邮件账号日志进行预处理;基于聚类技术对预处理后的邮件账号日志进行解析,生成消息模式集合,所述消息模式集合用于表征用户行为;对所述消息模式集合进行账号信息提取,并输入机器学习模型进行训练,得到异常检测模型;其中,所述异常检测模型包括账号异常检测模型和/或IP异常检测模型;将当前账号的邮件账号日志输入所述异常检测模型,预测所述邮件账号日志是否存在异常。本发明能够提高邮件账号异常检测的准确度。

Description

邮件账号异常检测方法、装置及存储介质
技术领域
本发明涉及网络安全领域,尤其涉及一种邮件账号异常检测方法、装置及存储介质。
背景技术
随着计算机技术的高速发展及互联网的广泛普及,电子邮件越来越多地应用于社会生产、生活、学习的各个方面,发挥着举足轻重的作用。人们在享受电子邮件带来便利、快捷的同时,又必须面对互联网的开放性、计算机软件漏洞等所带来的电子邮件安全问题。
邮件账户是网络攻击中最具有针对性的来源之一。攻击者寻求一切可能的方式进行账户破解,寻找一切有价值的信息资源。因此能够在海量的邮件日志中高效、准确的识别出异常的账户,并采取相关措施,保障邮件系统的安全性变得尤为重要。
发明内容
本发明的实施例提供一种邮件账号异常检测方法、装置及存储介质,能够提高邮件账号异常检测的准确度。
为达到上述目的,本发明的实施例采用如下技术方案:
第一方面,本发明的实施例提供一种邮件账号异常检测方法,包括:
对邮件账号日志进行预处理;
基于聚类技术对预处理后的邮件账号日志进行解析,生成消息模式集合,所述消息模式集合用于表征用户行为;
对所述消息模式集合进行账号信息提取,并输入机器学习模型进行训练,得到异常检测模型;其中,所述异常检测模型包括账号异常检测模型和/或IP异常检测模型;
将当前账号的邮件账号日志输入所述异常检测模型,预测所述邮件账号日志是否存在异常。
结合第一方面,在第一方面的第一种可能的实现方式中,所述对邮件账号日志进行预处理,包括:
对所述邮件账号日志包括的系统消息进行过滤处理,保留所述邮件账号日志中的IP消息及账号消息;
对过滤处理后的日志中的共性特征进行通配符替换处理。
结合第一方面,在第一方面的第二种可能的实现方式中,所述基于聚类技术对预处理后的邮件账号日志进行解析,生成消息模式集合,所述消息模式集合用于表征用户行为,包括:
计算预处理后的邮件账号日志中的相应信息与通配符之间的相似度;
将相似度大于或等于预设阈值的日志进行归类处理;
将归类后得到的多个类作为所述消息模式集合。
结合第一方面的第二种可能的实现方式,在第一方面的第三种可能的实现方式中,所述计算预处理后的邮件账号日志中的相应信息与通配符之间的相似度,包括:
计算预处理后的邮件账号日志中的相应信息与通配符之间的距离,所述距离为余弦距离或欧式距离;
所述方法还包括:
对所述消息模式集合中的至少一个类添加标识,所述标识包括黑名单标识或白名单标识。
结合第一方面,在第一方面的第四种可能的实现方式中,所述对所述消息模式集合进行账号信息提取,并输入机器学习模型进行训练,得到异常检测模型,包括:
对所述消息模式集合中预设时间段内的IP消息和账号消息进行事件统计,得到计数矩阵;
将所述技术矩阵输入机器学习模型,进行非监督训练或半监督训练;
将训练得到的模型作为所述异常检测模型;其中,所述异常检测模型包括账号异常检测模型和/或IP异常检测模型。
第二方面,本发明的实施例提供一种邮件账号异常检测装置,包括:
预处理模块,用于对邮件账号日志进行预处理;
聚类模块,用于基于聚类技术对预处理后的邮件账号日志进行解析,生成消息模式集合,所述消息模式集合用于表征用户行为;
训练模块,用于对所述消息模式集合进行账号信息提取,并输入机器学习模型进行训练,得到异常检测模型;其中,所述异常检测模型包括账号异常检测模型和/或IP异常检测模型;
预测模块,用于将当前账号的邮件账号日志输入所述异常检测模型,预测所述邮件账号日志是否存在异常。
结合第二方面,在第二方面的第一种可能的实现方式中,所述预处理模块,包括:
过滤子模块,用于对所述邮件账号日志包括的系统消息进行过滤处理,保留所述邮件账号日志中的IP消息及账号消息;
替换子模块,用于对过滤处理后的日志中的共性特征进行通配符替换处理。
结合第二方面,在第二方面的第二种可能的实现方式中,所述聚类模块包括:
计算子模块,用于计算预处理后的邮件账号日志中的相应信息与通配符之间的相似度;
归类子模块,用于将相似度大于或等于预设阈值的日志进行归类处理,并将归类后得到的多个类作为所述消息模式集合。
结合第二方面的第二种可能的实现方式,在第二方面的第三种可能的实现方式中,
所述计算子模块,还用于计算预处理后的邮件账号日志中的相应信息与通配符之间的距离,所述距离为余弦距离或欧式距离;
所述聚类模块还包括:
标识子模块,用于对所述消息模式集合中的至少一个类添加标识,所述标识包括黑名单标识或白名单标识。
结合第二方面,在第二方面的第四种可能的实现方式中,所述训练模块包括:
计数子模块,用于对所述消息模式集合中预设时间段内的IP消息和账号消息进行事件统计,得到计数矩阵;
训练子模块,用于将所述技术矩阵输入机器学习模型,进行非监督训练或半监督训练;并将训练得到的模型作为所述异常检测模型;其中,所述异常检测模型包括账号异常检测模型和/或IP异常检测模型。
第三方面,本发明的实施例提供一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现第一方面提供的方法的步骤。
本发明实施例提供的邮件账号异常检测方法、装置及存储介质,通过对邮件账号日志进行预处理;基于聚类技术对预处理后的邮件账号日志进行解析,生成消息模式集合,所述消息模式集合用于表征用户行为;对所述消息模式集合进行账号信息提取,并输入机器学习模型进行训练,得到异常检测模型;其中,所述异常检测模型包括账号异常检测模型和/或IP异常检测模型;将当前账号的邮件账号日志输入所述异常检测模型,预测所述邮件账号日志是否存在异常。能够基于聚类技术进行日志解析,并根据解析结果提取出I P信息或邮箱账号信息生成相应计数矩阵,作为输入特征来训练一种非监督的机器学习模型,得到用于账号异常检测的机器学习模型,从而对邮件账号的异常情况进行实时、有效的检测。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是本发明实施例的邮件账号异常检测方法的流程示意图;
图2是本发明实施例的邮件账号异常检测方法的另一流程示意图;
图3是本发明实施例的邮件账号异常检测装置结构示意图;
图4是本发明实施例的邮件账号异常检测装置的另一结构示意图;
图5是本发明实施例的邮件账号异常检测装置500的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明一实施例提供一种邮件账号异常检测方法,如图1所示,所述方法包括:
101、对邮件账号日志进行预处理。
102、基于聚类技术对预处理后的邮件账号日志进行解析,生成消息模式集合,所述消息模式集合用于表征用户行为。
103、对所述消息模式集合进行账号信息提取,并输入机器学习模型进行训练,得到异常检测模型。
其中,所述异常检测模型包括账号异常检测模型和/或IP异常检测模型。
104、将当前账号的邮件账号日志输入所述异常检测模型,预测所述邮件账号日志是否存在异常。
与现有技术相比,本发明实施例能够基于聚类技术进行日志解析,并根据解析结果提取出I P信息或邮箱账号信息生成相应计数矩阵,作为输入特征来训练一种非监督的机器学习模型,得到用于账号异常检测的机器学习模型,从而对邮件账号的异常情况进行实时、有效的检测。
本发明又一实施例提供一种邮件账号异常检测方法,如图2所示,所述方法包括:
201、对所述邮件账号日志包括的系统消息进行过滤处理,保留所述邮件账号日志中的IP消息及账号消息。
由于本发明实施例关注由用户行为导致的异常情况、或者恶意用户带来的异常情况,因此考虑与IP信息、邮箱账号信息相关的日志消息,将其余由系统自身产生的日志消息进行过滤处理。
202、对过滤处理后的日志中的共性特征进行通配符替换处理。
对于本发明实施例,将每条日志消息中包含的共性特征替换为通配符,其中,共性特征包括IP信息、邮箱账号信息、邮件ID信息、错误代码信息等。
可选地,本发明实施例还包括:将后续异常检测方法的分析对象的具体取值保存为一个新的字段,称为“参数列表”。其中,分析对象包括IP信息和邮箱账号信息。
203、计算预处理后的邮件账号日志中的相应信息与通配符之间的相似度。
可选地,步骤203可以为:计算预处理后的邮件账号日志中的相应信息与通配符之间的距离,所述距离为余弦距离或欧式距离。在本发明实施例中,邮件账号日志中的相应信息与通配符之间的距离越小,则邮件账号日志中的相应信息与通配符之间的相似度越高。
204、将相似度大于或等于预设阈值的日志进行归类处理。
对于本发明实施例,对相似度大于或等于预设阈值的日志进行归类处理,即对距离值小于或等于预设值的日志进行归类处理。
在本发明实施例中,基于聚类技术的思想,将相似度高(即距离小)的日志消息归为一类,同一类即表示为同一事件或某类事件,并为该类事件提取统一的日志消息模式。
以下为针对本发明实施例步骤201-204的一种示例性地说明:
(1)获取的邮件账号日志为:
线程ID+时间+消息类型+线程号+内容
T:2913838848(00:00:01)[S:n+IE3gCnhq6B+Rtb|][System.SSL:Info]
[n+IE3gCnhq6B+Rtb]Remote may has closed while writing ssl inTIMAPSvr::onWriteStream:error:140790E5:SSL routines:ssl23_write:ssl handshakefailure
T:4263384832(00:00:02)[S:n+IE3QAXua6C+Rtb|][System.SSL:Info]
[n+IE3QAXua6C+Rtb]Remote may has closed while writing ssl inTIMAPSvr::onWriteStream:error:140790E5:SSL routines:ssl23_write:ssl handshakefailure
T:857634592(00:00:02)[S:][App.Command:Info]Got cmd:from192.168.0.184:36753
T:857634592(00:00:02)[S:][App.Command:Info]Got cmd:snmpget
T:857634592(00:00:02)[S:][App.Command:Info]Got cmd:from192.168.0.184:36753
T:857634592(00:00:02)[S:][App.Command:Info]from 192.168.0.184:36753
T:857634592(00:00:02)[S:][App.Command:Info]User zhanghq@igsnrr.ac.cnfrom 92.63.193.40login fail
T:857634592(00:00:02)[S:][App.Command:Info]from 192.168.0.184:36753
T:857634592(00:00:02)[S:][App.Command:Info]User zhanghq@igsnrr.ac.cnfrom 92.63.193.40login success
(2)经步骤201进行过滤处理后为:
线程ID+时间+消息类型+线程号+内容
T:857634592(00:00:02)[S:][App.Command:Info]Got cmd:from192.168.0.184:36753
T:857634592(00:00:02)[S:][App.Command:Info]from 192.168.0.184:36753
T:857634592(00:00:02)[S:][App.Command:Info]Got cmd:from192.168.0.184:36753
T:857634592(00:00:02)[S:][App.Command:Info]User zhanghq@igsnrr.ac.cnfrom 92.63.193.40login fail
T:857634592(00:00:02)[S:][App.Command:Info]from 192.168.0.184:36753
T:857634592(00:00:02)[S:][App.Command:Info]User zhanghq@igsnrr.ac.cnfrom 92.63.193.40login success
(3)经步骤202进行通配符替换处理后为:
线程ID+时间+消息类型+线程号+内容
T:857634592(00:00:02)[S:][App.Command:Info]Got cmd:from<ip>
T:857634592(00:00:02)[S:][App.Command:Info]from<ip>
T:857634592(00:00:02)[S:][App.Command:Info]Got cmd:from<ip>
T:857634592(00:00:02)[S:][App.Command:Info]User<email>from<ip>loginfail
T:857634592(00:00:02)[S:][App.Command:Info]from<ip>
T:857634592(00:00:02)[S:][App.Command:Info]User<email>from<ip>loginsuccess
(4)经步骤203和204进行聚类处理后为:
内容消息模式集
Got cmd:from<ip>
from<ip>
User<email>from<ip>login fail
User<email>from<ip>login success
205、将归类后得到的多个类作为所述消息模式集合。
对于本发明实施例,通过不会走走204进行归类处理后,所有日志消息被分为有限个类,并为每个类提取了相应消息模式,得到所有类的模式组成的日志模式集合,即为所述消息模式集合。
206、对所述消息模式集合中的至少一个类添加标识,所述标识包括黑名单标识或白名单标识。
可选地,为消息模式集合中的部分类或全部类,分别添加相应白名单标识或黑名单标识。
在本发明实施例中,为某一类添加黑名单标识,即该类对应的事件为邮箱账号异常事件,在该类中的事件均认为是邮箱账号异常事件,与该类的类中心之间的距离大于预设值的事件,可认为是邮箱账号正常事件。同样地,为某一类添加白名单标识,即该类对应的事件为邮箱账号正常事件,在该类中的事件均认为是邮箱账号正常事件,与该类的类中心之间的距离大于预设值的事件,可认为是邮箱账号异常事件。
对于本发明实施例,通过为消息模式集合中的类添加黑名单标识或白名单标识,能够进一步提高邮箱账户异常情况预测的准确性。
207、对所述消息模式集合中预设时间段内的IP消息和账号消息进行事件统计,得到计数矩阵。
对于本发明实施例,分别以IP信息、邮箱账号信息作为分析维度,将固定时间段内的同一IP地址或同一邮箱账号的消息划入至一个会话窗口,统计在某窗口内每一个事件(即每一个日志模式)的发生频率,作为IP、邮箱账号两种计数矩阵。
208、将所述技术矩阵输入机器学习模型,进行非监督训练或半监督训练。
可选地,将所述技术矩阵输入机器学习模型,进行非监督训练。在本发明实施例,通过非监督训练的方式,能够增加机器学习模型训练的便利性。
可选地,将所述技术矩阵输入机器学习模型,进行非监督训练。在本发明实施例,通过非监督训练的方式,能够提升机器学习模型训练的效率。
209、将训练得到的模型作为所述异常检测模型。
其中,所述异常检测模型包括账号异常检测模型和/或IP异常检测模型。在本发明实施例中,可以仅构建账号异常检测模型作为异常检测模型,也可以仅构建IP异常检测模型作为异常检测模型,还可以同时构建账号异常检测模型和IP异常检测模型,将二者共同作为异常检测模型。以上模型构建方式均在本发明实施例的保护范围内,本发明实施例不做限制。
210、将当前账号的邮件账号日志输入所述异常检测模型,预测所述邮件账号日志是否存在异常。
对于本发明实施例,步骤210之后还可以包括:当预测结果为所述邮件账号日志存在异常时,对所述当前账号进行告警提醒。步骤210之后也可以包括:预测结果为所述邮件账号日志存在异常时,多所述当前账号进行禁止登录或禁止邮件收发操作处理。
与现有技术相比,本发明实施例能够基于聚类技术进行日志解析,并根据解析结果提取出IP信息或邮箱账号信息生成相应计数矩阵,作为输入特征来训练一种非监督的机器学习模型,得到用于账号异常检测的机器学习模型,从而对邮件账号的异常情况进行实时、有效的检测。
本发明又一实施例提供一种邮件账号异常检测装置,如图3所示,所述装置包括:
预处理模块31,用于对邮件账号日志进行预处理;
聚类模块32,用于基于聚类技术对预处理后的邮件账号日志进行解析,生成消息模式集合,所述消息模式集合用于表征用户行为;
训练模块33,用于对所述消息模式集合进行账号信息提取,并输入机器学习模型进行训练,得到异常检测模型;其中,所述异常检测模型包括账号异常检测模型和/或IP异常检测模型;
预测模块34,用于将当前账号的邮件账号日志输入所述异常检测模型,预测所述邮件账号日志是否存在异常。
进一步地,如图4所示,所述预处理模块31,包括:
过滤子模块311,用于对所述邮件账号日志包括的系统消息进行过滤处理,保留所述邮件账号日志中的IP消息及账号消息;
替换子模块312,用于对过滤处理后的日志中的共性特征进行通配符替换处理。
进一步地,如图4所示,所述聚类模块32包括:
计算子模块321,用于计算预处理后的邮件账号日志中的相应信息与通配符之间的相似度;
归类子模块322,用于将相似度大于或等于预设阈值的日志进行归类处理,并将归类后得到的多个类作为所述消息模式集合。
所述计算子模块321,还用于计算预处理后的邮件账号日志中的相应信息与通配符之间的距离,所述距离为余弦距离或欧式距离;
进一步地,如图4所示,所述聚类模块32还包括:
标识子模块323,用于对所述消息模式集合中的至少一个类添加标识,所述标识包括黑名单标识或白名单标识。
进一步地,如图4所示,所述训练模块33包括:
计数子模块331,用于对所述消息模式集合中预设时间段内的IP消息和账号消息进行事件统计,得到计数矩阵;
训练子模块332,用于将所述技术矩阵输入机器学习模型,进行非监督训练或半监督训练;并将训练得到的模型作为所述异常检测模型;其中,所述异常检测模型包括账号异常检测模型和/或IP异常检测模型。
与现有技术相比,本发明实施例能够基于聚类技术进行日志解析,并根据解析结果提取出I P信息或邮箱账号信息生成相应计数矩阵,作为输入特征来训练一种非监督的机器学习模型,得到用于账号异常检测的机器学习模型,从而对邮件账号的异常情况进行实时、有效的检测。
本发明实施例还提供另一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中的存储器中所包含的计算机可读存储介质;也可以是单独存在,未装配入终端中的计算机可读存储介质。所述计算机可读存储介质存储有一个或者一个以上程序,所述一个或者一个以上程序被一个或者一个以上的处理器用来执行图1、图2所示实施例提供的邮件账号异常检测方法。
本发明实施例提供的邮件账号异常检测装置可以实现上述提供的方法实施例,具体功能实现请参见方法实施例中的说明,在此不再赘述。本发明实施例提供的邮件账号异常检测方法、装置及存储介质可以适用于对邮件账号的异常情况进行检测,但不仅限于此。
如图5所示,邮件账号异常检测装置500可以是移动电话,计算机,数字广播终端,消息收发设备,游戏控制台,平板设备,个人数字助理等。
参照图5,邮件账号异常检测装置500可以包括以下一个或多个组件:处理组件502,存储器504,电源组件506,多媒体组件508,音频组件510,输入/输出(I/O)的接口512,传感器组件514,以及通信组件516。
处理组件502通常控制无人机控制装置500的整体操作,诸如与显示,电话呼叫,数据通信,相机操作和记录操作相关联的操作。处理组件502可以包括一个或多个处理器520来执行指令。
此外,处理组件502可以包括一个或多个模块,便于处理组件502和其他组件之间的交互。例如,处理组件502可以包括多媒体模块,以方便多媒体组件508和处理组件502之间的交互。
存储器504被配置为存储各种类型的数据以支持在无人机控制装置500的操作。这些数据的示例包括用于在无人机控制装置500上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。存储器504可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
电源组件506为无人机控制装置500的各种组件提供电力。电源组件506可以包括电源管理系统,一个或多个电源,及其他与为无人机控制装置500生成、管理和分配电力相关联的组件。
多媒体组件508包括在所述无人机控制装置500和用户之间的提供一个输出接口的屏幕。在一些实施例中,屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中,多媒体组件508包括一个前置摄像头和/或后置摄像头。当无人机控制装置500处于操作模式,如拍摄模式或视频模式时,前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
音频组件510被配置为输出和/或输入音频信号。例如,音频组件510包括一个麦克风(MIC),当无人机控制装置500处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器504或经由通信组件516发送。在一些实施例中,音频组件510还包括一个扬声器,用于输出音频信号。
I/O接口512为处理组件502和外围接口模块之间提供接口,上述外围接口模块可以是键盘,点击轮,按钮等。这些按钮可包括但不限于:主页按钮、音量按钮、启动按钮和锁定按钮。
传感器组件514包括一个或多个传感器,用于为无人机控制装置500提供各个方面的状态评估。例如,传感器组件514可以检测到无人机控制装置500的打开/关闭状态,组件的相对定位,例如所述组件为无人机控制装置500的显示器和小键盘,传感器组件514还可以检测无人机控制装置500或无人机控制装置500一个组件的位置改变,用户与无人机控制装置500接触的存在或不存在,无人机控制装置500方位或加速/减速和无人机控制装置500的温度变化。传感器组件514可以包括接近传感器,被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件514还可以包括光传感器,如CMOS或CCD图像传感器,用于在成像应用中使用。在一些实施例中,该传感器组件514还可以包括加速度传感器,陀螺仪传感器,磁传感器,压力传感器或温度传感器。
通信组件516被配置为便于无人机控制装置500和其他设备之间有线或无线方式的通信。无人机控制装置500可以接入基于通信标准的无线网络,如WiFi,3G、4G或5G,或它们的组合。在一个示例性实施例中,通信组件516经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,所述通信组件516还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
在示例性实施例中,无人机控制装置500可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(RandomAccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。

Claims (7)

1.一种邮件账号异常检测方法,其特征在于,包括:
对邮件账号日志进行预处理;
基于聚类技术对预处理后的邮件账号日志进行解析,生成消息模式集合,所述消息模式集合用于表征用户行为;
对所述消息模式集合进行账号信息提取,并输入机器学习模型进行训练,得到异常检测模型;其中,所述异常检测模型包括账号异常检测模型和/或IP异常检测模型;
将当前账号的邮件账号日志输入所述异常检测模型,预测所述邮件账号日志是否存在异常;
所述对邮件账号日志进行预处理,包括:对所述邮件账号日志包括的系统消息进行过滤处理,保留所述邮件账号日志中的IP消息及账号消息,对过滤处理后的日志中的共性特征进行通配符替换处理;
所述基于聚类技术对预处理后的邮件账号日志进行解析,生成消息模式集合,所述消息模式集合用于表征用户行为,包括:计算预处理后的邮件账号日志中的相应信息与通配符之间的相似度;将相似度大于或等于预设阈值的日志进行归类处理;将归类后得到的多个类作为所述消息模式集合。
2.根据权利要求1所述的邮件账号异常检测方法,其特征在于,所述计算预处理后的邮件账号日志中的相应信息与通配符之间的相似度,包括:
计算预处理后的邮件账号日志中的相应信息与通配符之间的距离,所述距离为余弦距离或欧式距离;
所述方法还包括:
对所述消息模式集合中的至少一个类添加标识,所述标识包括黑名单标识或白名单标识。
3.根据权利要求1所述的邮件账号异常检测方法,其特征在于,所述对所述消息模式集合进行账号信息提取,并输入机器学习模型进行训练,得到异常检测模型,包括:
对所述消息模式集合中预设时间段内的IP消息和账号消息进行事件统计,得到计数矩阵;
将所述计数矩阵输入机器学习模型,进行非监督训练或半监督训练;
将训练得到的模型作为所述异常检测模型;其中,所述异常检测模型包括账号异常检测模型和/或IP异常检测模型。
4.一种邮件账号异常检测装置,其特征在于,包括:
预处理模块,用于对邮件账号日志进行预处理;
聚类模块,用于基于聚类技术对预处理后的邮件账号日志进行解析,生成消息模式集合,所述消息模式集合用于表征用户行为;
训练模块,用于对所述消息模式集合进行账号信息提取,并输入机器学习模型进行训练,得到异常检测模型;其中,所述异常检测模型包括账号异常检测模型和/或IP异常检测模型;
预测模块,用于将当前账号的邮件账号日志输入所述异常检测模型,预测所述邮件账号日志是否存在异常;
所述预处理模块,包括:
过滤子模块,用于对所述邮件账号日志包括的系统消息进行过滤处理,保留所述邮件账号日志中的IP消息及账号消息;
替换子模块,用于对过滤处理后的日志中的共性特征进行通配符替换处理;
所述聚类模块包括:
计算子模块,用于计算预处理后的邮件账号日志中的相应信息与通配符之间的相似度;
归类子模块,用于将相似度大于或等于预设阈值的日志进行归类处理,并将归类后得到的多个类作为所述消息模式集合。
5.根据权利要求4所述的邮件账号异常检测装置,其特征在于,
所述计算子模块,还用于计算预处理后的邮件账号日志中的相应信息与通配符之间的距离,所述距离为余弦距离或欧式距离;
所述聚类模块还包括:
标识子模块,用于对所述消息模式集合中的至少一个类添加标识,所述标识包括黑名单标识或白名单标识。
6.根据权利要求4所述的邮件账号异常检测装置,其特征在于,所述训练模块包括:
计数子模块,用于对所述消息模式集合中预设时间段内的IP消息和账号消息进行事件统计,得到计数矩阵;
训练子模块,用于将所述计数矩阵输入机器学习模型,进行非监督训练或半监督训练;并将训练得到的模型作为所述异常检测模型;其中,所述异常检测模型包括账号异常检测模型和/或IP异常检测模型。
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现权利要求1-3任一项所述方法的步骤。
CN202010578662.2A 2020-06-23 2020-06-23 邮件账号异常检测方法、装置及存储介质 Active CN113839852B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010578662.2A CN113839852B (zh) 2020-06-23 2020-06-23 邮件账号异常检测方法、装置及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010578662.2A CN113839852B (zh) 2020-06-23 2020-06-23 邮件账号异常检测方法、装置及存储介质

Publications (2)

Publication Number Publication Date
CN113839852A CN113839852A (zh) 2021-12-24
CN113839852B true CN113839852B (zh) 2023-03-24

Family

ID=78963750

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010578662.2A Active CN113839852B (zh) 2020-06-23 2020-06-23 邮件账号异常检测方法、装置及存储介质

Country Status (1)

Country Link
CN (1) CN113839852B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115604003B (zh) * 2022-10-14 2024-04-05 浙江工业大学 一种基于程序日志数据的系统异常检测方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107196844A (zh) * 2016-11-28 2017-09-22 北京神州泰岳信息安全技术有限公司 异常邮件识别方法及装置
CN107885817A (zh) * 2017-11-06 2018-04-06 余帝乾 一种基于大数据网络用户行为的方法和装置
CN109040103A (zh) * 2018-08-27 2018-12-18 深信服科技股份有限公司 一种邮件账号失陷检测方法、装置、设备及可读存储介质
CN109981625A (zh) * 2019-03-18 2019-07-05 中国人民解放军陆军炮兵防空兵学院郑州校区 一种基于在线层次聚类的日志模板抽取方法
CN110210512A (zh) * 2019-04-19 2019-09-06 北京亿阳信通科技有限公司 一种自动化日志异常检测方法及系统
CN110417643A (zh) * 2019-07-29 2019-11-05 世纪龙信息网络有限责任公司 邮件处理方法和装置
CN110958136A (zh) * 2019-11-11 2020-04-03 国网山东省电力公司信息通信公司 一种基于深度学习的日志分析预警方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10721256B2 (en) * 2018-05-21 2020-07-21 Oracle International Corporation Anomaly detection based on events composed through unsupervised clustering of log messages
US11216502B2 (en) * 2018-06-05 2022-01-04 LogsHero Ltd. Clustering of log messages

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107196844A (zh) * 2016-11-28 2017-09-22 北京神州泰岳信息安全技术有限公司 异常邮件识别方法及装置
CN107885817A (zh) * 2017-11-06 2018-04-06 余帝乾 一种基于大数据网络用户行为的方法和装置
CN109040103A (zh) * 2018-08-27 2018-12-18 深信服科技股份有限公司 一种邮件账号失陷检测方法、装置、设备及可读存储介质
CN109981625A (zh) * 2019-03-18 2019-07-05 中国人民解放军陆军炮兵防空兵学院郑州校区 一种基于在线层次聚类的日志模板抽取方法
CN110210512A (zh) * 2019-04-19 2019-09-06 北京亿阳信通科技有限公司 一种自动化日志异常检测方法及系统
CN110417643A (zh) * 2019-07-29 2019-11-05 世纪龙信息网络有限责任公司 邮件处理方法和装置
CN110958136A (zh) * 2019-11-11 2020-04-03 国网山东省电力公司信息通信公司 一种基于深度学习的日志分析预警方法

Also Published As

Publication number Publication date
CN113839852A (zh) 2021-12-24

Similar Documents

Publication Publication Date Title
US10637674B2 (en) System and method for real-time decoding and monitoring for encrypted instant messaging and other information exchange applications
CN108632081B (zh) 网络态势评估方法、装置及存储介质
CN110191085B (zh) 基于多分类的入侵检测方法、装置及存储介质
CN109951476B (zh) 基于时序的攻击预测方法、装置及存储介质
US11234130B2 (en) Systems and methods for monitoring user activity
CN111242188B (zh) 入侵检测方法、装置及存储介质
CN107229638A (zh) 一种文本信息处理方法及装置
CN109842612B (zh) 基于图库模型的日志安全分析方法、装置及存储介质
Krieter et al. Analyzing mobile application usage: generating log files from mobile screen recordings
CN116707965A (zh) 一种威胁检测方法、装置、存储介质以及电子设备
CN111813932B (zh) 文本数据的处理方法、分类方法、装置及可读存储介质
CN110222706A (zh) 基于特征约简的集成分类方法、装置及存储介质
CN109598120A (zh) 移动终端的安全态势智能分析方法、装置及存储介质
CN113839852B (zh) 邮件账号异常检测方法、装置及存储介质
CN109981624B (zh) 入侵检测方法、装置及存储介质
CN110781842A (zh) 图像处理方法及装置、电子设备和存储介质
CN112241652A (zh) 指纹识别方法和装置
CN113810328A (zh) 异常账户确定方法、装置及存储介质
CN111797746B (zh) 人脸识别方法、装置及计算机可读存储介质
CN111860552B (zh) 基于核自编码器的模型训练方法、装置及存储介质
CN110213062B (zh) 处理消息的方法及装置
CN111651627A (zh) 数据处理方法及装置、电子设备和存储介质
CN111428806A (zh) 图像标签确定方法、装置、电子设备及存储介质
CN114189719B (zh) 视频信息提取方法、装置、电子设备及存储介质
CN116188846A (zh) 一种基于振动图像的设备故障检测方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant