一种邮箱登录异常的检测方法、装置、设备及存储介质与流程

1.本发明涉及网络信息技术安全领域，尤其涉及一种邮箱登录异常的检测方法、装置、设备及存储介质。


背景技术：

2.电子邮箱的非授权登录检测是邮件安全领域的重要应用。电子邮箱的应用非常广泛，企业邮箱的安全性更关乎公司、企业等的利益，绝大多数企业、政府部门、科研单位等采用企业邮件进行公文传递、修改和审批，许多高度机密的数据都包含在其中。但是电子邮件在传输过程中，需要在不同的邮件服务器上进行转发，这就给攻击者带来了可乘之机。电子邮箱的密码泄露途径非常多，包括但不限于钓鱼邮件(骗取用户点击邮件中的不明链接url到一个非法登录页面并盗取用户的账号密码)，暴力破解(使用大量的ip快速的尝试大量账号的大量密码，有一定的概率能破解一些简单密码的邮箱账号)，木马(通过邮件或者其他下载途径在客户机器安装木马并偷取用户账号密码)，撞库(用户的账号密码在多个网站共用，导致其中一个网站后台被攻陷账号密码被盗后，能用同一个密码登录其他系统或者对应的邮件系统)。由于攻击方法层出不穷，所以只能认为肯定有用户因为上述某些原因被盗走了对应的邮箱账号密码，因此需要一个办法判别当前登录的是用户自己还是其他非授权的用户。
3.目前，绝大多数的邮箱账号登录风险控制的安全检测都是针对于某一个特定泄漏途径，例如，通过聚类等方法获得攻击者的使用ip，最终确定可疑邮箱的共同登录ip确定攻击者，但对于有大量代理可疑从不同ip登录被盗账号的攻击者，或者针对少量高价值账号的低频持续监控攻击，基于共同登录ip的方法不一定能够捕获这类异常登录；对于暴力破解，对于同一个ip尝试大量不同的账号，大量不同密码的，设定一定阈值；对于异地登录风险控制，需额外对登录的用户做双因子认证，但对于用户可能使用vpn等代理，切换对应地理位置时，或基于不同的ip地理未知信息库，有一定的概率返回错误的ip对应地理位置，导致登录过程复杂，甚至失败。
4.因此，目前亟需一种对于企业邮箱的登录异常进行检测的策略，以解决现有技术中用户使用代理导致登录地区切换引起误报，使得检测不准确的情况。


技术实现要素：

5.本发明提供了一种邮箱登录异常的检测方法、装置、设备及存储介质，以解决现有技术中登录地区切换的登录异常检测准确性低的技术问题。
6.为了解决上述技术问题，本发明实施例提供了一种邮箱登录异常的检测方法，包括：
7.获取用户邮箱的所有登录记录，并根据所述用户邮箱中预设的正常邮件，建立可信ip列表和标准用户画像；
8.根据登录ip的预设地理信息库，获取每个登录记录对应地区的经纬度；其中，每一
个登录记录包含一个登录ip和一个登录时间；
9.根据所述登录时间，依次计算每相邻两次登录记录所对应地区的经纬度的切换速度，并根据预设的速度阈值，筛选出可疑登录记录；
10.根据所述可信ip列表和所述标准用户画像，对所述可疑登录记录进行剔除操作，并将剔除操作后的可疑登录记录作为异常记录。
11.作为优选方案，在所述将剔除操作后的可疑登录记录作为异常记录之后，还包括：
12.响应于当前用户的邮箱登录操作，生成第一登录记录，根据所述可信ip列表和所述标准用户画像，判断所述第一登录记录是否正常；
13.若所述第一登录记录正常，则保存该登录记录；
14.若所述第一登录记录不正常，则触发双因子认证，以使所述当前用户确认登录。
15.作为优选方案，在所述响应于当前用户的邮箱登录操作，生成第一登录记录，根据所述可信ip列表和所述标准用户画像，判断所述第一登录记录是否正常之后，还包括：
16.记录在第一预设时间段内生成的登录记录的数量，若所述生成的登录记录的数量大于预设的第一阈值，则封禁所述当前用户的邮箱。
17.作为优选方案，在所述根据登录ip的预设地理信息库，获取每个登录记录对应地区的经纬度之后，还包括：
18.获取第二预设时间段内所有登录失败的登录记录，根据预设的暴力破解规则，对所述所有登录失败的登录记录进行分类操作，获得暴力破解记录和非暴力破解记录；
19.若所述暴力破解记录超过预设的第二阈值，则将所述暴力破解记录中的所有登录ip进行标记，作为暴力破解ip列表；
20.根据符合所述暴力破解ip列表的登录ip所对应的登录记录，更新所述异常记录。
21.作为优选方案，所述获取用户邮箱的所有登录记录，根据所述用户邮箱中预设的正常邮件，建立可信ip列表和标准用户画像，具体为：
22.获取用户的邮箱中所有预设的正常邮件的ip所对应的唯一发信人的数量，将所述唯一发信人的数量大于第三阈值的ip作为可信ip种子，并将所有发自所述可信ip的邮件的客户端id作为可信id列表；其中，每个登录记录还包含一个客户端id；
23.根据所述可信ip种子和所述可信id列表，将每个所述可信ip种子作为一个顶点，每个所述顶点的权值为每个所述可信ip种子所对应的唯一发信人的数量，从而构建信誉传输图，对所述信誉传输图进行迭代生长与传播，直至迭代次数达到预设值，获得迭代后每个顶点的权值，并根据所述迭代后每个顶点的权值，获得可信ip列表；
24.根据所述可信ip列表，计算得到标准用户画像。
25.作为优选方案，所述根据所述可信ip，计算得到标准用户画像，具体为：
26.获取所述用户的邮箱的所有登录记录，根据所述可信ip列表，筛选出符合所述可信ip列表的登录记录；
27.根据所述符合所述可信ip列表的登录记录，计算出所述用户的特征向量，作为标准用户画像。
28.作为优选方案，所述根据所述登录时间，依次计算每相邻两次登录记录所对应地区的经纬度的切换速度，并根据预设的速度阈值，筛选出可疑登录记录，具体为：
29.根据所述登录时间，对所有登录记录进行排序，依次计算每相邻两次登录记录所
对应地区的经纬度的切换速度，并根据预设的速度阈值，筛选出大于所述预设的速度阈值的切换速度所对应的相邻两次登录记录，作为可疑登录记录。
30.相应地，本发明还提供一种邮箱登录异常的检测装置，包括：列表画像模块、地区位置模块、可疑登录模块和异常记录模块；
31.所述列表画像模块，用于获取用户邮箱的所有登录记录，并根据所述用户邮箱中预设的正常邮件，建立可信ip列表和标准用户画像；
32.所述地区位置模块，用于根据登录ip的预设地理信息库，获取每个登录记录对应地区的经纬度；其中，每一个登录记录包含一个登录ip和一个登录时间；
33.所述可疑登录模块，用于根据所述登录时间，依次计算每相邻两次登录记录所对应地区的经纬度的切换速度，并根据预设的速度阈值，筛选出可疑登录记录；
34.所述异常记录模块，用于根据所述可信ip列表和所述标准用户画像，对所述可疑登录记录进行剔除操作，并将剔除操作后的可疑登录记录作为异常记录。
35.相应地，本发明还提供一种终端设备，包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序，所述处理器在执行所述计算机程序时实现如上任一项所述的邮箱登录异常的检测方法。
36.相应地，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质包括存储的计算机程序；其中，所述计算机程序在运行时控制所述计算机可读存储介质所在的设备执行如上任一项所述的邮箱登录异常的检测方法。
37.相比于现有技术，本发明实施例具有如下有益效果：
38.本发明的技术方案获取用户邮箱的所有登录记录，根据所述用户邮箱中预设的正常邮件，来建立可信ip列表和标准用户画像，以实现从用户的使用邮箱的习惯来对邮箱登录异常进行检测，提高了对登录异常检测的准确性，根据相邻两次登录记录所对应地区的经纬度的切换速度进行计算，从而筛选出可疑登录记录，提高了对两次登录记录的筛选精准度，根据所述可信ip列表和所述标准用户画像，对所述可疑登录记录进行剔除，避免了现有技术中使用代理后登录地区切换后导致的检测异常出现误报，提升了用户使用邮箱的体验感以及提高了对邮箱登录异常的检测准确性。
附图说明
39.图1：为本发明实施例所提供的一种邮箱登录异常的检测方法的步骤流程图；
40.图2：为本发明实施例所提供的一种邮箱登录异常的检测方法中初始状态下的ip信誉传播图；
41.图3：为本发明实施例所提供的一种邮箱登录异常的检测方法中ip1的信誉传播示意图；
42.图4：为本发明实施例所提供的一种邮箱登录异常的检测方法中ip2的信誉传播示意图；
43.图5：为本发明实施例所提供的一种邮箱登录异常的检测方法中ip3的信誉传播示意图；
44.图6：为本发明实施例所提供的一种邮箱登录异常的检测装置的结构示意图。
具体实施方式
45.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
46.实施例一
47.请参照图1，为本发明实施例提供的一种邮箱登录异常的检测方法，包括一下步骤：
48.s101：获取用户邮箱的所有登录记录，并根据所述用户邮箱中预设的正常邮件，建立可信ip列表和标准用户画像。
49.具体地，获取用户的邮箱中所有预设的正常邮件的ip所对应的唯一发信人的数量，将所述唯一发信人的数量大于第三阈值的ip作为可信ip种子，并将所有发自所述可信ip的邮件的客户端id作为可信id列表；其中，每个登录记录还包含一个客户端id；根据所述可信ip种子和所述可信id列表，将每个所述可信ip种子作为一个顶点，每个所述顶点的权值为每个所述可信ip种子所对应的唯一发信人的数量，从而构建信誉传输图，对所述信誉传输图进行迭代生长与传播，直至迭代次数达到预设值，获得迭代后每个顶点的权值，并根据所述迭代后每个顶点的权值，获得可信ip列表；根据所述可信ip列表，计算得到标准用户画像。
50.需要说明的是，预设的正常邮件为：发件箱中收信人与发送人之间有过多次互相收发沟通关系的邮件。通过预设的正常邮件，可以保证发送该正常邮件时的ip为用户本人操作时的ip，从而可以确保生成精准、具有可信价值的可信ip列表和用户画像。对用户的邮箱中所有预设的正常邮件的ip所对应的唯一发信人的数量进行获取，将唯一发信人的数量大于第三阈值的ip作为可信ip种子，优选地，在实践过程中，对于企业邮箱，一般会发现这些ip多数为公司办公室的共同出口ip。其中，正常邮件的ip所对应的唯一发信人的数量，可以理解为，每封正常邮件均有一个ip，统计出对应于同一个ip下的唯一发信人的数量。
51.在本实施例中，获取用户的邮箱中所有正常邮件的ip所对应的唯一发信人的数量后，将所述唯一发信人的数量大于第三阈值的ip作为可信ip种子，剔除唯一发信人数量过少的ip，并将所有发自所述可信ip的邮件的客户端id作为可信id列表，以可信ip种子为顶点，顶点的权重为对应ip的唯一发信人数量，即信誉大小，可信id列表为每个顶点之间的边线，构建初始的信誉传播图。随后，对信誉传输图进行迭代生长与传播，直至迭代次数达到预设值，获得迭代后每个顶点的权值，并根据所述迭代后每个顶点的权值，获得可信ip列表。
52.作为本实施例的优选方案，请参阅图2，其为初始状态下的信誉传播图。在本优选方案中，共获得四个ip，分别为ip1、ip2、ip3和ip4，其中ip1有100个唯一发信人，初始信誉为100，共有100个可信id，即100条边线，与ip2连接7条边线，即与ip2有7个共同id，与ip3连接3条边线，即与ip3有3个共同id；ip2有10个唯一发信人，初始信誉为10，共有10个可信id，即10条边，与ip1连接7条边线，剩下3条边线与外部其他ip相连；ip3有0个唯一发信人，初始信誉为0，仅与ip1连接3条边线；ip4无唯一发信人，初始信誉为0，且与ip1、ip2和ip3无共同客户端，因此ip4不存在信誉传播。对ip1、ip2和ip3分别进行信誉传播，每一次传播的信誉
大小根据与每个ip的边线连接数量的比例来进行传播，每个ip均进行一次信誉传播为一次迭代过程。优选地，请参阅图3，其为ip1传播信誉至ip2和ip3的信誉传播示意图，ip2获得ip1传来的100＊(7/100)＝7信誉，即ip2当前信誉17，ip3获得ip1传来的100＊(3/100)＝3信誉，即ip3当前信誉3；请参阅图4，其为ip2传播信誉至ip1的信誉传播示意图，ip1获得ip2传来的17＊(7/10)＝11.9信誉，即ip1当前信誉111.9；请参阅图5，其为ip3传播信誉至ip1的信誉传播示意图，ip1获得ip3传来的3＊(3/3)＝3信誉，即ip1当前信誉114.9；在本优选实施例中，所有ip均完成一次信誉传播，即进行了一次信誉计算的迭代过程。
53.优选地，迭代次数达到4次，每个ip的信誉值大小排名基本稳定收敛，对信誉值排名最大的前80％的ip进行保留，作为可信任ip列表。
54.通过信誉传递过程，能够将可信ip的信誉值传播至其他可信ip，包括但不限于用户使用网络代理等改变ip的情况，即可得到相对可信的ip列表，为了避免主观因素等潜在的作弊过程，仅保留信誉传播后的信誉值排名靠前的ip，将信誉较低的ip进行剔除，其中保留的比例根据实际情况需求确定。
55.具体地，获取所述用户的邮箱的所有登录记录，根据所述可信ip列表，筛选出符合所述可信ip列表的登录记录；根据所述符合所述可信ip列表的登录记录，计算出所述用户的特征向量，作为标准用户画像。
56.需要说明的是，登录记录还包括登录时间、登录国家、登录城市、登录ip的c段和登录客户端id，根据所述符合所述可信ip列表的登录记录，优选地，通过item2vec的方法，计算出用户的特征向量，作为标准用户画像。
57.s102：根据登录ip的预设地理信息库，获取每个登录记录对应地区的经纬度；其中，每一个登录记录包含一个登录ip和一个登录时间。
58.作为本实施例的优选方案，在所述根据登录ip的预设地理信息库，获取每个登录记录对应地区的经纬度之后，还包括：获取第二预设时间段内所有登录失败的登录记录，根据预设的暴力破解规则，对所述所有登录失败的登录记录进行分类操作，获得暴力破解记录和非暴力破解记录；若所述暴力破解记录超过预设的第二阈值，则将所述暴力破解记录中的所有登录ip进行标记，作为暴力破解ip列表；根据符合所述暴力破解ip列表的登录ip所对应的登录记录，更新所述异常记录。
59.优选地，预设的暴力破解规则将所有登录失败的登录记录进行分类操作，共分为四种情况，第一种情况a：黑客可能用少量ip用大量的不同密码破解相同的账号，会有大量的失败记录；第二种情况b：黑可能用少量ip用同一个密码尝试破解大量的不同账号，会有大量的失败记录；第三种情况c：黑客可能会用少量ip用大量的不同密码破解大量不同的账号，会有大量的失败记录；第四种情况d：正常用户有可能在修改邮箱密码之后忘记修改自己的邮件客户端的密码，导致会出现单一ip用同样的密码尝试同一个账号，并有部分失败记录的情况。预设的暴力破解规则将a、b和c分类为暴力破解记录，d为非暴力破解记录。当暴力破解记录a、b或c超过了第二阈值，则将暴力破解记录a、b或c所对应的ip进行标记，作为暴力破解ip列表，从而根据暴力破解ip列表，来对所有的登录ip进行分析，将与暴力破解ip列表所对应ip的登录记录作为新的异常记录，来更新步骤s104中所得到的异常记录。
60.s103：根据所述登录时间，依次计算每相邻两次登录记录所对应地区的经纬度的切换速度，并根据预设的速度阈值，筛选出可疑登录记录。
61.具体地，根据所述登录时间，对所有登录记录进行排序，依次计算每相邻两次登录记录所对应地区的经纬度的切换速度，并根据预设的速度阈值，筛选出大于所述预设的速度阈值的切换速度所对应的相邻两次登录记录，作为可疑登录记录。
62.需要说明的是，预设的速度阈值为最大合理移动速度，优选地，该速度阈值为800km/h，即飞机的平均速度，若相邻两次登录记录所对应地区的经纬度的切换速度大于速度阈值，则将该两次登录记录作为可疑登录记录。相邻两次登录记录所对应地区的经纬度的切换速度通过经纬度之间地理的差值和两次登录时间差值之比求得。
63.s104：根据所述可信ip列表和所述标准用户画像，对所述可疑登录记录进行剔除操作，并将剔除操作后的可疑登录记录作为异常记录。
64.作为本实施例的优选方案，在所述将剔除操作后的可疑登录记录作为异常记录之后，还包括：响应于当前用户的邮箱登录操作，生成第一登录记录，根据所述可信ip列表和所述标准用户画像，判断所述第一登录记录是否正常；若所述第一登录记录正常，则保存该登录记录；若所述第一登录记录不正常，则触发双因子认证，以使所述当前用户确认登录。
65.需要说明的是，响应于当前用户的邮箱登录操作，所生成得第一登录记录为当前用户进行邮箱登录操作的登录记录，在登录过程中，会根据当前用户的可信ip列表和标准用户画像，来对第一登录记录进行判断是否正常；若不正常，则会触发双因子认证，双因子认证的方式包括但不限于手机验证码、电话语音验证。
66.作为本实施例的优选方案，在所述响应于当前用户的邮箱登录操作，生成第一登录记录，根据所述可信ip列表和所述标准用户画像，判断所述第一登录记录是否正常之后，还包括：记录在第一预设时间段内生成的登录记录的数量，若所述生成的登录记录的数量大于预设的第一阈值，则封禁所述当前用户的邮箱。
67.需要说明的是，在每一次进行登录操作后，会对第一预设时间段内生成的登录记录的数量进行记录与检测，第一预设时间段和预设的第一阈值均根据实际需求的情况来确定，若在第一预设时间段内生成的登录记录的数量大于预设的第一阈值，即在第一预设时间段内存在多次登录记录，则会封禁当前用户的邮箱，直到当前用户使用双因子认证的方式取回并修改密码后才被允许使用该邮箱。
68.实施本发明实施例，具备如下效果：
69.本发明实施例获取用户邮箱的所有登录记录，根据所述用户邮箱中预设的正常邮件，来建立可信ip列表和标准用户画像，并通过信誉传播图的方式，来对可信ip列表进行迭代计算，提高了可信ip列表的准确性以及可信度，并实现从用户的使用邮箱的习惯来对邮箱登录异常进行检测，提高了对登录异常检测的准确性，根据相邻两次登录记录所对应地区的经纬度的切换速度进行计算，从而筛选出可疑登录记录，对所述可疑登录记录进行剔除，提升了用户使用邮箱的体验感以及提高了对邮箱登录异常的检测准确性。
70.实施例二
71.相应地，请参阅图6，其为本发明还提供一种邮箱登录异常的检测装置，包括：列表画像模块201、地区位置模块202、可疑登录模块203和异常记录模块204。
72.所述列表画像模块201，用于获取用户邮箱的所有登录记录，并根据所述用户邮箱中预设的正常邮件，建立可信ip列表和标准用户画像。
73.作为本实施例的优选方案，所述获取用户邮箱的所有登录记录，根据所述用户邮
箱中预设的正常邮件，建立可信ip列表和标准用户画像，具体为：
74.获取用户的邮箱中所有预设的正常邮件的ip所对应的唯一发信人的数量，将所述唯一发信人的数量大于第三阈值的ip作为可信ip种子，并将所有发自所述可信ip的邮件的客户端id作为可信id列表；其中，每个登录记录还包含一个客户端id；根据所述可信ip种子和所述可信id列表，将每个所述可信ip种子作为一个顶点，每个所述顶点的权值为每个所述可信ip种子所对应的唯一发信人的数量，从而构建信誉传输图，对所述信誉传输图进行迭代生长与传播，直至迭代次数达到预设值，获得迭代后每个顶点的权值，并根据所述迭代后每个顶点的权值，获得可信ip列表；根据所述可信ip列表，计算得到标准用户画像。
75.作为本实施例的优选方案，所述根据所述可信ip，计算得到标准用户画像，具体为：
76.获取所述用户的邮箱的所有登录记录，根据所述可信ip列表，筛选出符合所述可信ip列表的登录记录；根据所述符合所述可信ip列表的登录记录，计算出所述用户的特征向量，作为标准用户画像。
77.所述地区位置模块202，用于根据登录ip的预设地理信息库，获取每个登录记录对应地区的经纬度；其中，每一个登录记录包含一个登录ip和一个登录时间。
78.作为本实施例的优选方案，在所述根据登录ip的预设地理信息库，获取每个登录记录对应地区的经纬度之后，还包括：
79.获取第二预设时间段内所有登录失败的登录记录，根据预设的暴力破解规则，对所述所有登录失败的登录记录进行分类操作，获得暴力破解记录和非暴力破解记录；若所述暴力破解记录超过预设的第二阈值，则将所述暴力破解记录中的所有登录ip进行标记，作为暴力破解ip列表；根据符合所述暴力破解ip列表的登录ip所对应的登录记录，更新所述异常记录。
80.所述可疑登录模块203，用于根据所述登录时间，依次计算每相邻两次登录记录所对应地区的经纬度的切换速度，并根据预设的速度阈值，筛选出可疑登录记录。
81.作为本实施例的优选方案，所述根据所述登录时间，依次计算每相邻两次登录记录所对应地区的经纬度的切换速度，并根据预设的速度阈值，筛选出可疑登录记录，具体为：
82.根据所述登录时间，对所有登录记录进行排序，依次计算每相邻两次登录记录所对应地区的经纬度的切换速度，并根据预设的速度阈值，筛选出大于所述预设的速度阈值的切换速度所对应的相邻两次登录记录，作为可疑登录记录。
83.所述异常记录模块204，用于根据所述可信ip列表和所述标准用户画像，对所述可疑登录记录进行剔除操作，并将剔除操作后的可疑登录记录作为异常记录。
84.作为本实施例的优选方案，在所述将剔除操作后的可疑登录记录作为异常记录之后，还包括：
85.响应于当前用户的邮箱登录操作，生成第一登录记录，根据所述可信ip列表和所述标准用户画像，判断所述第一登录记录是否正常；若所述第一登录记录正常，则保存该登录记录；若所述第一登录记录不正常，则触发双因子认证，以使所述当前用户确认登录。
86.作为本实施例的优选方案，在所述响应于当前用户的邮箱登录操作，生成第一登录记录，根据所述可信ip列表和所述标准用户画像，判断所述第一登录记录是否正常之后，
还包括：
87.记录在第一预设时间段内生成的登录记录的数量，若所述生成的登录记录的数量大于预设的第一阈值，则封禁所述当前用户的邮箱。
88.所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的装置的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
89.实施以上实施例，具有如下效果：
90.本发明实施例获取用户邮箱的所有登录记录，根据所述用户邮箱中预设的正常邮件，来建立可信ip列表和标准用户画像，并通过信誉传播图的方式，来对可信ip列表进行迭代计算，提高了可信ip列表的准确性以及可信度，并实现从用户的使用邮箱的习惯来对邮箱登录异常进行检测，提高了对登录异常检测的准确性，根据相邻两次登录记录所对应地区的经纬度的切换速度进行计算，从而筛选出可疑登录记录，对所述可疑登录记录进行剔除，对当前用户的登录操作进行检测，只在出现可疑登录记录的情况下才会触发双因子认证，避免了现有技术中每次登录都需进行双因子认证，从而降低用户使用体验的情况。
91.实施例三
92.本发明实施例还提供了一种终端设备，所述终端设备包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序，所述处理器在执行所述计算机程序时实现上述任一实施例所述的邮箱登录异常的检测方法。
93.优选地，所述计算机程序可以被分割成一个或多个模块/单元(如计算机程序、计算机程序)，所述一个或者多个模块/单元被存储在所述存储器中，并由所述处理器执行，以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述所述计算机程序在所述终端设备中的执行过程。
94.所述处理器可以是中央处理单元(central processing unit，cpu)，还可以是其他通用处理器、数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现成可编程门阵列(field－programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等，通用处理器可以是微处理器，或者所述处理器也可以是任何常规的处理器，所述处理器是所述终端设备的控制中心，利用各种接口和线路连接所述终端设备的各个部分。
95.所述存储器主要包括程序存储区和数据存储区，其中，程序存储区可存储操作系统、至少一个功能所需的应用程序等，数据存储区可存储相关数据等。此外，所述存储器可以是高速随机存取存储器，还可以是非易失性存储器，例如插接式硬盘，智能存储卡(smart media card，smc)、安全数字(secure digital，sd)卡和闪存卡(flash card)等，或所述存储器也可以是其他易失性固态存储器件。
96.需要说明的是，上述终端设备可包括，但不仅限于，处理器、存储器，本领域技术人员可以理解，上述终端设备仅仅是示例，并不构成对终端设备的限定，可以包括更多或更少的部件，或者组合某些部件，或者不同的部件。
97.实施例四
98.本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质包括存储的计算机程序；其中，所述计算机程序在运行时控制所述计算机可读存储介质所在的
设备执行上述任一实施例所述的邮箱登录异常的监测方法。
99.以上所述的具体实施例，对本发明的目的、技术方案和有益效果进行了进一步的详细说明，应当理解，以上所述仅为本发明的具体实施例而已，并不用于限定本发明的保护范围。特别指出，对于本领域技术人员来说，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。