一种邮件危险识别和分类方法、装置、电子设备及介质与流程

本发明属于邮箱安全，特别涉及一种邮件危险识别和分类方法、装置、电子设备及介质。

背景技术：

1、电子邮件是一种用电子手段提供信息交换的通信方式，是互联网应用最广的服务。通过网络的电子邮件系统，用户可以以非常低廉的价格、非常快速的方式，与世界上任何一个角落的网络用户联系。因此电子邮件已经成为人们日常工作交流的重要工具，然而通过危险邮件对目标用户进行攻击的情况也层出不穷。

2、现有技术中，公开了一种基于钓鱼邮件溯源apt攻击事件的方法及系统(公开号：cn105072137a)，包括：解析已知钓鱼邮件，获取邮件元数据、正文信息和附件信息；分析邮件元数据、正文信息和附件信息，并生成攻击溯源库；将未知邮件与所述攻击溯源库进行关联分析，若满足预设条件则进行深度检测；其中，所述邮件元数据包括：发件服务器ip、发件时间、发件人、收件人、主题；所述正文信息包括正文内容和正文内容中的url；所述附件信息包括附件文件及附件文件中的url。

3、现有技术至少存在如下问题：

4、1.现有技术没有对邮件的危险行为进行分类，无法精确定位未知邮件的危险类型。

5、2.现有技术中没有对攻击溯源库进行更新，在信息日益更新的当下检测判断准确度会越来越差。

技术实现思路

1、本发明提供了一种邮件危险识别和分类方法、装置、设备及介质，旨在解决上述现有技术存在的没有对邮件的危险行为进行分类，无法精确定位未知邮件的危险类型；以及没有对攻击溯源库进行更新，在信息日益更新的当下检测判断准确度会越来越差的问题。

2、本发明解决上述技术问题的技术方案如下：一种邮件危险识别和分类方法，该方法包括：

3、s1，获取已标记分类的危险邮件，并对已标记分类的危险邮件进行解析处理，得到分类好的文本数据；其中，所述危险邮件是邮件内容中含有危险信息的邮件；

4、s2，构建初始模型，将分类好的每一类文本数据分别输入所述初始模型，进行含有危险信息的告警数据提取以及危险邮件分类的模型训练，得到训练好的行为检测模型，并将告警数据存储至危险邮箱分类对应的分类数据库中；

5、s3，将所述训练好的行为检测模型持续对未知历史邮件进行数据检索，判断未知历史邮件是否含有危险信息，若含有危险信息则将未知历史邮件判定为危险邮件，并通过行为检测模型获取判定为危险邮件的未知历史邮件的告警数据以及危险邮箱分类，并将判定为危险邮件的未知历史邮件的告警数据根据危险邮箱分类存储至对应的分类数据库中。

6、本发明的有益效果是：通过行为检测模型不仅能够检测目标邮件是否含有危险信息，是危险内容则提取出告警数据，并且能够将危险邮件精准定位为哪一类危险行为，且本发明的行为检测模型在更新之后，还能够对此前已经检测过但被列为安全邮件的目标邮件继续进行检测，使危险邮件的检测更加精准和全面。

7、在上述技术方案的基础上，本发明还可以做如下改进。

8、进一步，上述s2中，训练好的行为检测模型包含依次层叠的关键词特征提取层、增强特征层、全局特征提取层、检索层和分类层，模型训练的具体过程为：

9、分别将分类好的每一类文本数据输入关键词特征提取层进行关键词特征提取，得到多个关键词特征；

10、将多个关键词特征输入增强特征层进行特征增强处理，对应得到多个增强关键词特征；

11、将多个增强关键词特征输入至全局特征提取层进行特征聚合处理，得到多个全局特征；

12、将多个全局特征输入检索层，对多个全局特征进行组合形成多条件的检索模式，所述多条件的检索模式用于对未知历史邮件进行数据检索；

13、将全局特征输入至分类层进行分类处理，得到对应文本数据的预测分类。

14、采用上述进一步方案的有益效果是：本发明基于关键词特征提取层、增强特征层、全局特征提取层、检索层和分类层构建行为检测模型，通过行为检测模型不仅能够根据已知的关键词对目标邮件进行检测分析，还能通过增强特征层的增强语义功能，对目标邮件进行更全面的检测分析。

15、进一步，上述所述关键词特征提取层通过自然语言处理方法提取邮箱中具有危险信息的关键词，得到多个关键词特征。

16、采用上述进一步方案的有益效果是：通过自然语言处理方法进行分词，并根据获取语义信息获取具有危险信息的敏感关键词，得到关键词特征。

17、进一步，上述通过对关键词特征中的关键词进行近义词获取，来实现增强特征层进行特征增强处理。

18、采用上述进一步方案的有益效果是：通过关键词获取该关键词的近义词，能够对具有相近意思的关键词也进行检测，保证了检测的全面覆盖。

19、进一步，上述将多个增强关键词特征输入至全局特征提取层进行特征聚合处理具体为：

20、将多个关键词特征和多个增强关键词特征输入至全局特征提取层进行特征聚合处理，得到多个全局特征。

21、采用上述进一步方案的有益效果是：将多个关键词特征和多个增强关键词特征进行特征聚合处理，使得到的全局特征更加精准。

22、进一步，上述模型训练过程中，根据危险邮件的标记分类和分类层得到对应文本数据的预测分类，对行为检测模型的分类层的参数进行调整。

23、采用上述进一步方案的有益效果是：将人工进行的分类标记和分类层的预测分类进行匹配并调节参数，能够使具有危险性的危险邮件的分类更加精准。

24、进一步，上述还包括：

25、s4，定期将分类数据库中的告警数据输入行为检测模型，再次进行模型训练实现行为检测模型的更新，利用更新后的行为检测模型对此前判定不为危险邮件的未知历史邮件重新进行数据检索，再次判断是否为危险邮件。

26、采用上述进一步方案的有益效果是：定期对行为检测模型进行更新，能够使行为检测模型在网络信息日益更新的当下不被淘汰，并依旧保持检测的准确度。

27、第二方面，本发明为了解决上述技术问题还提供了一种邮件危险识别和分类装置，包括：

28、解析模块：用于获取已标记分类的危险邮件，并对已标记分类的危险邮件进行解析处理，得到分类好的文本数据；其中，所述危险邮件是邮件内容中含有危险信息的邮件；

29、模型训练模块：用于构建初始模型，将分类好的每一类文本数据分别输入所述初始模型，进行含有危险信息的告警数据提取以及危险邮件分类的模型训练，得到训练好的行为检测模型，并将告警数据存储至危险邮箱分类对应的分类数据库中；

30、数据检索模块：用于将所述训练好的行为检测模型持续对未知历史邮件进行数据检索，判断未知历史邮件是否含有危险信息，若含有危险信息则将未知历史邮件判定为危险邮件，并通过行为检测模型获取判定为危险邮件的未知历史邮件的告警数据以及危险邮箱分类，并将判定为危险邮件的未知历史邮件的告警数据根据危险邮箱分类存储至对应的分类数据库中。

31、第三方面，本发明为了解决上述技术问题还提供了一种电子设备，该电子设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行该计算机程序时实现本技术的邮件危险识别和分类方法。

32、第四方面，本发明为了解决上述技术问题还提供了一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，该计算机程序被处理器执行时实现本技术的邮件危险识别和分类方法。

33、本技术附加的方面和优点将在下面的描述中部分给出，这些将从下面的描述中变得明显，或通过本技术的实践了解到。