邮件外发行为检测方法、确定方法、装置、设备及介质制造方法及图纸

本发明专利技术提供一种邮件外发行为检测方法、确定方法、装置、设备及介质，所述方法包括：获取当前用户邮件外发行为数据，预设半径内的邻域内点数阈值，用户正常行为基准数据集合；确定所述用户正常行为基准数据集合中每个数据块距离所述当前用户邮件外发行为数据的最小欧氏距离，得到对应的最小欧氏距离集合；选取最小欧氏距离集合中最小的欧氏距离，作为对应的用户正常行为基准数据；基于选取的所述用户正常行为基准数据，确定所述当前用户邮件外发行为数据在所述预设半径内的邻域点数量；在所述邻域点数量小于所述邻域内点数阈值时，确定当前用户邮件外发数据的检测结果为异常行为。采用本发明专利技术，提高了邮件外发异常行为检测的准确性和检测效率。性和检测效率。性和检测效率。

【技术实现步骤摘要】
邮件外发行为检测方法、确定方法、装置、设备及介质


[0001]本专利技术涉及计算机网络
，尤其涉及一种邮件外发行为检测方法、邮件外发行为基准数据确定方法、装置、电子设备及计算机可读存储介质。

技术介绍

[0002]随着网络软件应用的蓬勃发展，为在线教育、市场电商、视频娱乐、国际交流等带来了巨大的便利。邮件作为一种常用的沟通交流方式，在工作中发挥着重要的作用。然而，邮件也成为企业机密信息泄露的重要途径。如何防止企业机密信息以邮件的形式外发泄露，已成为当前安全防护的关注点。
[0003]相关技术中，传统的邮件外发行为安全防护的检测方法大多通过限制邮件外发的次数、限制邮件大小、人工审核等方式来实现，这将消耗大量的人力和时间来处理，不但限制了邮件外发的使用习惯，而且也不利于信息的快速交流和企业的良性发展，造成了大量的人力和财力的消耗，降低了邮件外发行为检测的准确性和检测效率。

技术实现思路

[0004]本专利技术提供一种邮件外发行为检测方法、邮件外发行为基准数据确定方法、装置、电子设备及计算机可读存储介质，以至少解决相关技术中由于邮件外发行为检测需要消耗大量的人力和时间，导致邮件外发行为检测的准确性和检测效率降低的技术问题。本专利技术的技术方案如下：
[0005]根据本专利技术实施例的第一方面，提供一种邮件外发行为检测方法，包括：
[0006]获取当前用户邮件外发行为数据，预设半径内的邻域内点数阈值，用户正常行为基准数据集合，其中，所述用户正常行为基准数据集合是基于用户历史邮件外发行为数据集进行训练得到的；
[0007]确定所述用户正常行为基准数据集合中每个数据块距离所述当前用户邮件外发行为数据的最小欧氏距离，得到对应的最小欧氏距离集合；
[0008]选取所述最小欧氏距离集合中最小的欧氏距离，作为对应的用户正常行为基准数据；
[0009]基于选取的所述用户正常行为基准数据，确定所述当前用户邮件外发行为数据在所述预设半径内的邻域点数量；
[0010]在所述邻域点数量小于所述邻域内点数阈值时，确定当前用户邮件外发数据的检测结果为异常行为。
[0011]可选的，所述确定所述用户正常行为基准数据集合中每个数据块距离所述当前用户邮件外发行为数据的最小欧氏距离，得到对应的最小欧氏距离集合，包括：
[0012]提取所述用户正常行为基准数据集合中的所有数组；
[0013]计算每个数组中所有数据块的边界点和核心点距离所述当前用户邮件外发行为数据的欧氏距离；
[0014]选取所述每个所述数组中数据块的最小欧氏距离，组合得到最小欧氏距离集合。
[0015]可选的，基于选取的所述用户正常行为基准数据，计算所述当前用户邮件外发行为数据在所述预设半径内的邻域点数量，包括：
[0016]以选取的所述用户正常行为基准数据为基础数据，利用聚类算法计算所述当前用户邮件外发行为数据在所述预设半径内的邻域点数量。
[0017]可选的，所述方法还包括：
[0018]在所述邻域点数量大于且等于所述邻域内点数阈值时，确定当前用户邮件外发数据的检测结果为正常行为。
[0019]可选的，所述方法还包括：按照下述方式确定所述用户正常行为基准数据集合：
[0020]获取用户历史邮件外发行为数据集，以及预设半径内的邻域内点数阈值；
[0021]基于所述用户历史邮件外发行为数据集确定所述用户外发邮件行为主题库；
[0022]基于所述用户的基本信息与所述外发邮件行为主题库，构建所述用户邮件外发行为画像；
[0023]基于所述用户的外发邮件行为主题库，所述预设半径内的邻域内点数阈值，确定所述用户历史邮件外发行为数据集中每个数据簇的核心点和边界点，作为用户正常行为基准数据集合；
[0024]获取所述用户外发邮件行为主题库，用户邮件外发行为画像和用户正常行为基准数据集合。
[0025]可选的，所述基于所述用户的外发邮件行为主题库，所述预设半径内的邻域内点数阈值，确定所述用户历史邮件外发行为数据集中每个数据簇的核心点和边界点，作为用户正常行为基准数据集合，包括：
[0026]基于所述用户的外发邮件行为主题库，对所述用户历史邮件外发行为数据集进行特征转换；
[0027]基于所述预设半径内的邻域内点数阈值，将所述用户历史邮件外发行为数据集的数据分割为N块，N为正整数；
[0028]确定所述N块中的每个数据簇的核心点和边界点，作为用户正常行为基准数据集合。
[0029]根据本专利技术实施例第二方面，提供一种邮件外发行为基准数据确定方法，包括：
[0030]获取用户历史邮件外发行为数据集，以及预设半径内的邻域内点数阈值；
[0031]基于所述用户历史邮件外发行为数据集确定所述用户外发邮件行为主题库；
[0032]基于所述用户的基本信息与所述外发邮件行为主题库，构建所述用户邮件外发行为画像；
[0033]基于所述用户的外发邮件行为主题库，所述预设半径内的邻域内点数阈值，确定所述用户历史邮件外发行为数据集中每个数据簇的核心点和边界点，作为用户正常行为基准数据集合；
[0034]输出所述用户外发邮件行为主题库，用户邮件外发行为画像和用户正常行为基准数据集合。
[0035]可选的，所述基于所述用户的外发邮件行为主题库，所述预设半径内的邻域内点数阈值，确定所述用户历史邮件外发行为数据集中每个数据簇的核心点和边界点，作为用
户正常行为基准数据集合，包括：
[0036]基于所述用户的外发邮件行为主题库，对所述用户历史邮件外发行为数据集进行特征转换；
[0037]基于所述预设半径内的邻域内点数阈值，将所述用户历史邮件外发行为数据集的数据分割为N块，N为正整数；
[0038]确定所述N块中的每个数据簇的核心点和边界点，作为用户正常行为基准数据集合。
[0039]可选的，所述基于所述用户历史邮件外发行为数据集确定所述用户外发邮件行为主题库，包括：
[0040]确定所述用户历史邮件外发行为数据集中每个用户历史邮件外发行为数据的离散型特征的频率信息和连续型特征的常用区间信息；
[0041]基于所述频率信息和常用区间信息构建所述用户的外发邮件行为主题库。
[0042]根据本专利技术实施例第三方面，提供一种邮件外发行为检测装置，包括：
[0043]第一获取模块，用于获取当前用户邮件外发行为数据，预设半径内的邻域内点数阈值，用户正常行为基准数据集合；
[0044]距离确定模块，用于确定所述用户正常行为基准数据集合中每个数据块距离所述当前用户邮件外发行为数据的最小欧氏距离，得到对应的最小欧氏距离集合；
[0045]第一选取模块，用于选取所述最小欧氏距离集合中最小的欧氏距离，作为对应的用户正常行为基准数据；
[0046]领域点确定模块，用于基于选取的所述用户正常行为基准数据，确定所述当前用户邮件外发行为数据在所述预设半径本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种邮件外发行为检测方法，其特征在于，包括：获取当前用户邮件外发行为数据，预设半径内的邻域内点数阈值，用户正常行为基准数据集合；确定所述用户正常行为基准数据集合中每个数据块距离所述当前用户邮件外发行为数据的最小欧氏距离，得到对应的最小欧氏距离集合；选取所述最小欧氏距离集合中最小的欧氏距离，作为对应的用户正常行为基准数据；基于选取的所述用户正常行为基准数据，确定所述当前用户邮件外发行为数据在所述预设半径内的邻域点数量；在所述邻域点数量小于所述邻域内点数阈值时，确定当前用户邮件外发数据的检测结果为异常行为。2.根据权利要求1所述的邮件外发行为检测方法，其特征在于，所述确定所述用户正常行为基准数据集合中每个数据块距离所述当前用户邮件外发行为数据的最小欧氏距离，得到对应的最小欧氏距离集合，包括：提取所述用户正常行为基准数据集合中的所有数组；计算每个数组中所有数据块的边界点和核心点距离所述当前用户邮件外发行为数据的欧氏距离；选取所述每个所述数组中数据块的最小欧氏距离，组合得到最小欧氏距离集合。3.根据权利要求1所述的邮件外发行为检测方法，其特征在于，基于选取的所述用户正常行为基准数据，计算所述当前用户邮件外发行为数据在所述预设半径内的邻域点数量，包括：以选取的所述用户正常行为基准数据为基础数据，利用聚类算法计算所述当前用户邮件外发行为数据在所述预设半径内的邻域点数量。4.根据权利要求1至3任一项所述的邮件外发行为检测方法，其特征在于，所述方法还包括：在所述邻域点数量大于且等于所述邻域内点数阈值时，确定当前用户邮件外发数据的检测结果为正常行为。5.根据权利要求1至3任一项所述的邮件外发行为检测方法，其特征在于，所述方法还包括：按照下述方式确定所述用户正常行为基准数据集合：获取用户历史邮件外发行为数据集，以及预设半径内的邻域内点数阈值；基于所述用户历史邮件外发行为数据集确定所述用户外发邮件行为主题库；基于所述用户的基本信息与所述外发邮件行为主题库，构建所述用户邮件外发行为画像；基于所述用户的外发邮件行为主题库，所述预设半径内的邻域内点数阈值，确定所述用户历史邮件外发行为数据集中每个数据簇的核心点和边界点，作为用户正常行为基准数据集合；获取所述用户外发邮件行为主题库，用户邮件外发行为画像和用户正常行为基准数据集合。6.根据权利要求5所述的邮件外发行为检测方法，其特征在于，所述基于所述用户的外发邮件行为主题库，所述预设半径内的邻域内点数阈值，确定所述用户历史邮件外发行为
数据集中每个数据簇的核心点和边界点，作为用户正常行为基准数据集合，包括：基于所述用户的外发邮件行为主题库，对所述用户历史邮件外发行为数据集进行特征转换；基于所述预设半径内的邻域内点数阈值，将所述用户历史邮件外发行为数据集的数据分割为N块，N为正整数；确定所述N块中的每个数据簇的核心点和边界点，作为用户正常行为基准数据集合。7.一种邮件外发行为基准数据确定方法，其特征在于，包括：获取用户历史邮件外发行为数据集，以及预设半径内的邻域内点数阈值；基于所述用户历史邮件外发行为数据集确定所述用户外发邮件行为主题库；基于所述用户的基本信息与所述外发邮件行为主题库，构建所述用户邮件外发行为画像；基于所述用户的外...

【专利技术属性】
技术研发人员：刘继通，谢福进，王志海，喻波，
申请(专利权)人：北京明朝万达科技股份有限公司，
类型：发明
国别省市：