邮件异常账号检测方法以及装置、电子设备、存储介质

本申请涉及邮件安全，尤其涉及一种邮件异常账号检测方法以及装置、电子设备、存储介质。

背景技术：

1、smtp协议，在邮件通信中使用较为广泛，但其内部存在很多安全隐患，很容易被黑客利用进行攻击，但是其日志中记录了较为丰富的行为。smtp协议日志中记录了邮件账号登录、发件等信息，尤其是其中的发件记录，能够刻画出用户和用户之间的关联关系。

2、邮件系统服务器每天产生的日志数量都在tb级以上，这其中不乏记录了一些异常用户行为，乃至黑客攻击行为。因此，对邮件日志进行分析，并快速找出其中隐藏的异常账号进行防护变得尤为重要。但是由于邮件系统日志量较为庞大，使用传统的数据库搜索技术来分析邮件日志存在搜索效率低下且无法快速关联出所有的相似邮件账号的问题。

3、相关技术中对于邮件异常账号检测效率低下无法快速关联出所有的相似的邮件账号的问题，仍然没有较好的解决方案。

技术实现思路

1、本申请实施例提供了一种邮件异常账号检测方法以及装置、电子设备、存储介质，以实现实时的检索出存在异常登录的邮件账号，以及检索出与异常登录账号相似度较大的潜在异常账号。

2、本申请实施例采用下述技术方案：

3、第一方面，本申请实施例提供了邮件异常账号检测方法，其特征在于，所述方法包括：。

4、基于stmp协议日志建立知识图谱；

5、根据所述知识图谱，确定初始的邮件异常登录账号以及邮件异常登录ip地址；

6、根据所述初始的邮件异常登录账号以及邮件异常登录ip地址，查找邮件系统网络中的异常账号。

7、在一些实施例中，所述根据所述初始的邮件异常登录账号以及邮件异常登录ip地址，查找邮件系统网络中的异常账号，包括：

8、对所述邮件异常账号采用三层检测方法，所述三层检测包括：

9、通过路径搜索算法找到与所述邮件异常账号关联的待检测账号，得到过滤集合；

10、通过预设距离算法计算初始的邮件异常登录账号和所述过滤集合中的所述待检测账号之间的实体相似度；

11、根据所述实体相似度的得分进行排序，得到需要查找的邮件异常账号。

12、在一些实施例中，所述通过路径搜索算法找到与所述邮件异常账号关联的待检测账号，得到过滤集合，包括：

13、设广度优先路径算法的路径为1时，找到与所述邮件异常账号有直接发送邮件关系的账号；

14、当广度优先算路径法路径大于1小于n时，找到与所述邮件异常账号有间接关系的账号；

15、根据搜寻到的与所述邮件异常账号关联的待检测账号以及待检测账号之间的过滤结果，得到过滤集合。

16、在一些实施例中，所述通过预设距离算法计算初始的邮件异常登录账号和所述过滤集合中的所述待检测账号之间的实体相似度，包括：

17、通过wasserstein距离算法计算初始的邮件异常登录账号和所述过滤集合中的所述待检测账号之间的实体相似度。

18、在一些实施例中，所述通过wasserstein距离算法计算初始的邮件异常登录账号和所述过滤集合中的所述待检测账号之间的实体相似度，具体包括：

19、定义所述邮件异常账号查询过滤的动态阈值tdynamic随两个节点的公共路径个数n的变化而变化，

20、

21、将初始异常账号节点记为q，待检测账号节点记为g，计算权重表示为wi，初始邮件异常账号的相关属性特征集合记为p1，待检测账号的相关属性特征集合记为p2，将p1账号所对应的账号属性和ip属性记为xi，相应的p2所对应的账号属性和ip属性记为yi，则两个账号之间的关联相似度计算方法为：

22、

23、其中∏(p1,p2)是p1和p2分布组合起来所有可能的联合分布的集合，inf代表所有可能联合分布的集合的期望值取下界。

24、在一些实施例中，所述根据所述实体相似度的得分进行排序，得到需要查找的邮件异常账号，包括：

25、利用相关排序算法对所述实体相似度的得分进行排序，将排序结果与对应的过滤阈值进行比较；

26、如果排序结果大于所述对应的过滤阈值，将位于预设排名位置的查询账号标记为潜在邮件异常账号作为需要查找的邮件异常账号。

27、在一些实施例中，所述根据所述初始的邮件异常登录账号以及邮件异常登录ip地址，查找邮件系统网络中的异常账号，包括：

28、对于所述异常登录ip地址，采用广度优先搜索算法找到与该ip地址有直接登录关系的账号，并将搜索到的账号作为需要查找异常账号。

29、第二方面，本申请实施例提供了一种邮件异常账号检测装置，所述装置包括：

30、图谱建立模块，用于基于stmp协议日志建立知识图谱；

31、查询模块，用于根据所述知识图谱，确定初始的邮件异常登录账号以及邮件异常登录ip地址；

32、查询模块，用于根据所述初始的邮件异常登录账号以及邮件异常登录i p地址，查找邮件系统网络中的异常账号。

33、第三方面，本申请实施例还提供一种电子设备，包括：处理器；以及被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器执行上述方法。

34、第四方面，本申请实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储一个或多个程序，所述一个或多个程序当被包括多个应用程序的电子设备执行时，使得所述电子设备执行上述方法。

35、本申请实施例采用的上述至少一个技术方案能够达到以下有益效果：

36、利用smtp协议日志构建邮件系统知识图谱，进而利用实体间的关联关系发掘异常账号。进一步通过使用知识图谱来构建邮件系统账号间关联关系，利用知识图谱的关联特性实时准确地发现日志中存在的异常登录初始异常账号以及与初始异常账号相似度较大的潜在异常账号。

技术特征：

1.一种邮件异常账号检测方法，其特征在于，所述方法包括：。

2.根据权利要求1所述的方法，其特征在于，所述根据所述初始的邮件异常登录账号以及邮件异常登录ip地址，查找邮件系统网络中的异常账号，包括：

3.根据权利要求2所述的方法，其特征在于，所述通过路径搜索算法找到与所述邮件异常账号关联的待检测账号，得到过滤集合，包括：

4.根据权利要求2所述的方法，其特征在于，所述通过预设距离算法计算初始的邮件异常登录账号和所述过滤集合中的所述待检测账号之间的实体相似度，包括：

5.根据权利要求4所述的方法，其特征在于，所述通过wasserstein距离算法计算初始的邮件异常登录账号和所述过滤集合中的所述待检测账号之间的实体相似度，具体包括：

6.根据权利要求2所述的方法，其特征在于，所述根据所述实体相似度的得分进行排序，得到需要查找的邮件异常账号，包括：

7.根据权利要求1所述的方法，其特征在于，所述根据所述初始的邮件异常登录账号以及邮件异常登录ip地址，查找邮件系统网络中的异常账号，包括：

8.一种邮件异常账号检测装置，其特征在于，所述装置包括：

9.一种电子设备，包括：

10.一种计算机可读存储介质，所述计算机可读存储介质存储一个或多个程序，所述一个或多个程序当被包括多个应用程序的电子设备执行时，使得所述电子设备执行所述权利要求1～7之任一所述方法。

技术总结本申请公开了邮件异常账号检测方法以及装置、电子设备、存储介质，其中所述方法包括：基于STMP协议日志建立知识图谱；根据所述知识图谱，确定初始的邮件异常登录账号以及邮件异常登录IP地址；根据所述初始的邮件异常登录账号以及邮件异常登录IP地址，查找邮件系统网络中的异常账号。通过本申请实现了实时的检索出存在异常登录的邮件账号，以及检索出与异常登录账号相似度较大的潜在异常账号。技术研发人员：杜冠瑶,郭勇杰,赵静,龙春,杨帆受保护的技术使用者：中国科学院计算机网络信息中心技术研发日：技术公布日：2024/9/12