风险邮件检测方法、装置、计算机设备及存储介质与流程

本申请实施例涉及大数据，特别是涉及一种风险邮件检测方法、装置、计算机设备及存储介质。

背景技术：

1、随着科技的不断发展，电子邮件成为了企业员工与内、外部人开展业务沟通的重要工具。自电子邮件诞生以来，围绕邮件的钓鱼活动就一直存在。攻击者通过在邮件中安插恶意链接并诱导、欺骗用户点击，或者在邮件中携带病毒附件并诱导、欺骗用户点击的方式侵占、盗取或控制被害收件人的个人电脑。

2、目前，针对于电子邮件的钓鱼活动检测方法，大多是依靠经验规则来判断的，即事先了解钓鱼邮件的特点再设计相应的判断规则，但这种方法仅能应对已知的钓鱼方法，随着攻防手段的升级、攻击手段层出不穷，使得经验规则跟不上攻击手段而导致规则失效。

3、因此，现有的钓鱼活动检测方法存在着无法应对钓鱼技术日益更新变化，而导致风险邮件检测准确率不高的技术问题。

技术实现思路

1、本申请的目的在于提供一种风险邮件检测方法、装置、计算机设备及存储介质，用以提升风险邮件的检测准确率。

2、第一方面，本申请提供一种风险邮件检测方法，包括：

3、当检测出目标集群所含的收件账号在当前时刻接收到电子邮件时，解析电子邮件，得到发送电子邮件的发件账号；

4、获取发件账号与收件账号之间的事件发生概率；

5、若事件发生概率满足于预设的概率告警阈值，则确定电子邮件为待测邮件，并确定发送待测邮件的发件账号为目标发件账号；

6、若目标发件账号与目标集群之间的往来关系数值满足于预设的关系分位阈值，则判定待测邮件为风险邮件。

7、在本申请一些实施例中，在检测出目标集群所含的收件账号在当前时刻接收到电子邮件，并解析电子邮件之前，还包括：获取目标集群中各历史收件账号在历史时段内接收到的历史电子邮件；确定发送各历史电子邮件的历史发件账号，以分析各历史发件账号与各历史收件账号之间的历史事件发生概率，并形成历史邮件记录；确定各历史事件发生概率中的最小值，作为概率告警阈值。

8、在本申请一些实施例中，获取发件账号与收件账号之间的事件发生概率，包括：获取在历史电子邮件之中发件人为发件账号的第一概率；获取在历史电子邮件之中发件人为发件账号，且收件人为收件账号的第二概率；获取在历史电子邮件之中发件人为发件账号，且收件人为收件账号，且电子邮件的发件时区与对应历史邮件记录中的历史发件时区相匹配的第三概率；获取第一概率、第二概率以及第三概率之积，得到事件发生概率。

9、在本申请一些实施例中，若事件发生概率满足于预设的概率告警阈值，则确定电子邮件为待测邮件，并确定发送待测邮件的发件账号为目标发件账号，包括：确定发件账号与收件账号之间的往来事件；若往来事件存在于历史邮件记录之中，且事件发生概率小于或等于预设的概率告警阈值，则确定电子邮件为待测邮件；确定发送待测邮件的发件账号，作为目标发件账号。

10、在本申请一些实施例中，风险邮件检测方法还包括：若往来事件不存在于历史邮件记录之中，则确定电子邮件为待测邮件。

11、在本申请一些实施例中，若目标发件账号与目标集群之间的往来关系数值满足于预设的关系分位阈值，则判定待测邮件为风险邮件，包括：获取目标发件账号与目标集群之间的往来关系数值；其中，往来关系数值包括第一关系数值和第二关系数值；关系分位阈值包括第一分位阈值和第二分位阈值；若第一关系数值小于或等于第一分位阈值，且第二关系数值小于或等于第二分位阈值，则判定待测邮件为风险邮件；其中，第一关系数值由目标发件账号对应的第一概率确定，第二关系数值由目标发件账号和目标收件账号对应的第二概率确定，目标收件账号为接收待测邮件的收件账号。

12、在本申请一些实施例中，在获取目标发件账号与目标集群之间的往来关系数值之前，还包括：确定历史电子邮件中的各个历史发件人和各个历史收件人；计算各历史发件人对应的第一发件概率，并计算各历史收件人相对于各历史发件人的第二发件概率；确定各第一发件概率中的预设分位数，作为第一分位阈值；确定各第二发件概率中的预设分位数，作为第二分位阈值。

13、在本申请一些实施例中，若第一关系数值小于或等于第一分位阈值，且第二关系数值小于或等于第二分位阈值，则判定待测邮件为风险邮件，包括：若第一关系数值小于或等于第一分位阈值，且第二关系数值小于或等于第二分位阈值，则确定接收待测邮件的目标收件账号所属的集群数量；若集群数量大于或等于预设的集群数量阈值，则判定待测邮件为风险邮件。

14、在本申请一些实施例中，在判定待测邮件为风险邮件之后，还包括：基于风险邮件，生成告警提示信息；将告警提示信息发送至终端，供终端展示告警提示信息。

15、第二方面，本申请提供一种风险邮件检测装置，包括：

16、邮件解析模块，用于当检测出目标集群所含的收件账号在当前时刻接收到电子邮件时，解析电子邮件，得到发送电子邮件的发件账号；

17、概率获取模块，用于获取发件账号与收件账号之间的事件发生概率；

18、邮件筛选模块，用于响应于事件发生概率满足于预设的概率告警阈值，确定电子邮件为待测邮件，并确定发送待测邮件的发件账号为目标发件账号；

19、风险判定模块，用于响应于目标发件账号与目标集群之间的往来关系数值满足于预设的关系分位阈值，判定待测邮件为风险邮件。

20、第三方面，本申请还提供一种计算机设备，包括：

21、一个或多个处理器；

22、存储器；以及一个或多个应用程序，其中的一个或多个应用程序被存储于存储器中，并配置为由处理器执行以实现上述风险邮件检测方法。

23、第四方面，本申请还提供一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器进行加载，以执行风险邮件检测方法中的步骤。

24、第五方面，本申请实施例提供一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述第一方面提供的方法。

25、上述风险邮件检测方法、装置、计算机设备及存储介质，服务器通过在检测出目标集群所含的收件账号在当前时刻接收到电子邮件时，解析电子邮件，即可得到发送电子邮件的发件账号，进而获取到发件账号与收件账号之间的事件发生概率，以响应于事件发生概率满足于预设的概率告警阈值，确定电子邮件为待测邮件，并确定发送待测邮件的发件账号为目标发件账号，最终响应于目标发件账号与目标集群之间的往来关系数值满足于预设的关系分位阈值，判定待测邮件为风险邮件。由此，本申请提出了三项层层递进的筛选机制对电子邮件进行风险监测，不仅可有效提升风险邮件的检测准确率，还节省了人力物力，提高了目标集群的邮件防御力。

技术特征：

1.一种风险邮件检测方法，其特征在于，包括：

2.如权利要求1所述的方法，其特征在于，在检测出目标集群所含的收件账号在当前时刻接收到电子邮件，并解析所述电子邮件之前，还包括：

3.如权利要求2所述的方法，其特征在于，所述获取所述发件账号与所述收件账号之间的事件发生概率，包括：

4.如权利要求2所述的方法，其特征在于，所述若所述事件发生概率满足于预设的概率告警阈值，则确定所述电子邮件为待测邮件，并确定发送所述待测邮件的发件账号为目标发件账号，包括：

5.如权利要求4所述的方法，其特征在于，还包括：

6.如权利要求3所述的方法，其特征在于，所述若所述目标发件账号与所述目标集群之间的往来关系数值满足于预设的关系分位阈值，则判定所述待测邮件为风险邮件，包括：

7.如权利要求6所述的方法，其特征在于，在所述获取所述目标发件账号与所述目标集群之间的往来关系数值之前，还包括：

8.如权利要求6所述的方法，其特征在于，所述若所述第一关系数值小于或等于所述第一分位阈值，且所述第二关系数值小于或等于所述第二分位阈值，则判定所述待测邮件为风险邮件，包括：

9.如权利要求1所述的方法，其特征在于，在所述判定所述待测邮件为风险邮件之后，还包括：

10.一种风险邮件检测装置，其特征在于，包括：

11.一种计算机设备，其特征在于，所述计算机设备包括：

12.一种计算机可读存储介质，其特征在于，其上存储有计算机程序，所述计算机程序被处理器进行加载，以执行权利要求1至9中任一项所述的风险邮件检测方法的步骤。

技术总结
本申请提供一种风险邮件检测方法、装置、计算机设备及存储介质，方法包括：当检测出目标集群所含的收件账号在当前时刻接收到电子邮件时，解析电子邮件，得到发送电子邮件的发件账号；获取发件账号与收件账号之间的事件发生概率；若事件发生概率满足于预设的概率告警阈值，则确定电子邮件为待测邮件，并确定发送待测邮件的发件账号为目标发件账号；若目标发件账号与目标集群之间的往来关系数值满足于预设的关系分位阈值，则判定待测邮件为风险邮件。采用本方法，能够有效提升风险邮件的检测准确率。

技术研发人员：钟海,刘晓松,陈秀劲,谭林,韩健,张振海,齐煌,张露明
受保护的技术使用者：顺丰科技有限公司
技术研发日：
技术公布日：2024/1/15