[发明专利]一种异常邮件检测方法及装置

权利要求书

1.一种异常邮件检测方法，其特征在于，包括：

获取待检测邮件的行为信息、发送所述待检测邮件的发件邮箱和接收到所述待检测邮件的收件邮箱，其中，所述行为信息表征发送所述待检测邮件时所述发件邮箱的发送行为的信息；

确定所述收件邮箱的常用联系人集合，并判断所述发件邮箱是否包含在所述常用联系人集合中，其中，所述常用联系人集合表征在预设时间范围内与所述收件邮箱之间的往来邮件的数量超过预设数量阈值的常用邮箱的集合；

若确定所述发件邮箱包含在所述常用联系人集合中，则通过将所述行为信息与预先存储的标准行为信息进行匹配，确定所述待检测邮件的邮件类型，否则，通过确定所述发件邮箱与所述常用联系人集合中包含的各常用邮箱之间的邮箱相似度，确定所述待检测邮件的邮件类型，其中，所述标准行为信息表征发送非异常邮件时所述发件邮箱的发送行为的信息；

根据所述邮件类型，确定所述待检测邮件是否为异常邮件。

2.如权利要求1所述的方法，其特征在于，所述常用联系人集合的获得方式为：

获取预设采样范围内所述收件邮箱接收到的各接收邮件和发送所述各接收邮件的源发件邮箱，以及各源发件邮箱发送给所述收件邮箱的各发送邮件；

分别针对所述各源发件邮箱，根据所述各接收邮件和所述各发送邮件，确定任意一源发件邮箱与所述收件邮箱之间的平均往来邮件数量；

分别针对所述各源发件邮箱，若确定任意一源发件邮箱的平均往来邮件数量大于预设的平均数量阈值，则确定该源发件邮箱为常用邮箱；

生成包含有各常用邮箱的常用联系人集合。

3.如权利要求2所述的方法，其特征在于，根据所述各接收邮件和所述各发送邮件，确定任意一源发件邮箱与所述收件邮箱之间的平均往来邮件数量，具体包括：

统计该源发件邮箱每日接收到所述收件邮箱发送的邮件的每日收件数量，以及每日发送给所述收件邮箱的邮件的每日发件数量；

根据每日收件数量之和与预设的天数之间的比值，确定每日平均收件数量，并根据每日发件数量之和与预设的天数之间的比值，确定每日平均发件数量；

根据所述每日平均收件数量、所述每日平均发件数量和所述每日平均收件数量的标准差，确定任意一源发件邮箱与所述收件邮箱之间的平均往来邮件数量。

4.如权利要求1所述的方法，其特征在于，通过确定所述发件邮箱与所述常用联系人集合中包含的各常用邮箱之间的邮箱相似度，确定所述待检测邮件的邮件类型，具体包括：

分别针对所述常用联系人集合中包含的各常用邮箱，将任意一常用邮箱的用户名信息与所述发件邮箱的用户名信息对齐，将该常用邮箱的域名信息与所述发件邮箱信息的域名信息对齐，并将该常用邮箱的各个字符转换为特征值，并根据各特征值，确定该常用邮箱的特征向量值；

分别针对所述各常用邮箱，计算所述发件邮箱的特征向量值与任意一常用邮箱的特征向量值之间的余弦相似度，若确定所述余弦相似度大于预设的相似度阈值，则确定所述待检测邮件的邮件类型为相似邮件。

5.如权利要求1所述的方法，其特征在于，若所述行为信息为发件时间和IP地址，则通过将所述行为信息与预先存储的标准行为信息进行匹配，确定所述待检测邮件的邮件类型，具体包括：

若确定所述发件时间未位于为预设的标准发件时间内，和/或所述IP地址不为预设的标准IP地址，则确定所述待检测邮件的邮件类型为行为异常邮件，其中，所述标准发件时间表征所述发件邮箱发送非异常邮件时的发件时间，所述标准IP地址表征所述发件邮箱发送非异常邮件时的IP地址。

6.如权利要求5所述的方法，其特征在于，所述标准发件时间的获得方式为：

分别针对所述常用联系人集合中的各常用邮箱，统计任意一常用邮箱每日在各预设时间段内的发件数量；

分别针对所述各常用邮箱，根据任意一常用邮箱每日在所述各时间段内的发件数量，以及对应的标准差，确定所述各时间段的标准分值，并将超过预设标准分值阈值的时间段计为标准发件时间，其中，所述标准分值表征是否为标准发件时间对应的分值。