(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211006975.6 (22)申请日 2022.08.22 (71)申请人 北京国信冠群技 术有限公司 地址 100010 北京市石景山区实兴大街3 0 号院7号楼7层5号 (72)发明人 陈运祥　刘贵平　郭子华　陈轶欧　 (74)专利代理 机构 重庆百润洪知识产权代理有 限公司 5 0219 专利代理师 刘泽正 (51)Int.Cl. H04L 9/40(2022.01) H04L 51/42(2022.01) G06F 21/31(2013.01) G06N 3/04(2006.01) G06N 3/08(2006.01) (54)发明名称 一种电子邮件非常规操作的识别系统及方 法 (57)摘要 本发明涉及数据挖掘技术领域， 公开了一种 电子邮件非常规操作的识别系统及方法， 在用户 操作邮件系统时， 用户登录邮箱， 获取至少一个 月的用户的登录操作信息， 生 成用户当前特征信 息； 用一个月的用户登录操作信息的数据集， 训 练集用来训练生成识别模型， 对训练集的数据进 行训练生 成识别模型； 将用户当前特征信息输入 至常规操作识别模型， 进行识别， 根据识别结果， 判断用户操作是否符合常规操作。 本发明通过可 以在用户邮箱账号信息泄漏的情况下， 识别出对 邮箱系统的操作是否非常规操作， 防止被别人恶 意操作邮箱系统， 提高邮件系统使用的安全性。 权利要求书1页 说明书7页 附图1页 CN 115426144 A 2022.12.02 CN 115426144 A 1.一种电子邮件非常规操作的识别系统及方法， 其特 征在于： 具体按以下步骤执 行： S1： 在用户操作邮件系统时， 用户登录邮箱， 获取至少一个月的用户的登录操作信息， 生 成用户当前 特征信息； S2： 用一个月的用户登录操作信息的数据集， 分为训练集和测试集两部分， 训练集用来 训练生成识别模型， 测试集用来测试识别模型的准确率； S3： 对训练集的数据进行训练生成识别模型， 并通过测试集的数据进行测试识别模型的 准确率， 并通过训练集的数据不断的优化学习， 不断提高模型的准确率； S4： 将用户当前特征信息输入至常规操作识别模型， 进行识别， 根据识别结果， 判断用户 操作是否符合常规操作； S5： 对于被判定非常规操作的邮箱账号， 禁止用户操作并推送 到管理员或者通知用户本 人， 由管理员进行审核排查， 确认该账号是否存在密码泄露的问题， 如果存在， 立即禁用该 账号。 2.根据权利要求1所述的一种电子邮件非常规操作的识别系统及方法， 其特征在于， 在 步骤S1中， 其中用户常规操作的信息包括常用ip、 常用浏览器、 登录时间段、 日常往来邮箱 账号、 往来邮件的数据量和往来次数信息 。 3.根据权利要求1所述的一种电子邮件非常规操作的识别系统及方法， 其特征在于， 在 步骤S2中， 具体按以下步骤执 行； S2.1： 训练生成识别模型， 首先对原始数据进行数据预处理， 具体包括对用户账号， 登陆 操作时间， 操作类型， 操作频率数据进行抽样和过滤， 其中操作类型包括登录邮件系统， 发 送邮件， 查看邮件， 附件下载， 删除邮件， 退出邮件系统数据， 将这些处理后的数据， 分类进 行数据建模； S2.2： 将分类建模的数据采用AI 算法， 进行机器学习， 最终生成用户常规操作模型； S2.3： 将运行数据带入常规操作模型库， 进行判定， 根据设定好的用户特有的模型分值， 进行计算， 超过相应分数的操作， 判定为非常规操作， 进行制止 。 4.根据权利要求3所述的一种电子邮件非常规操作的识别系统及方法， 其特征在于， 在 步骤S2.3中， 汇总各个特征项的分值， 分数在60到70 之间的， 判定非常规操作为初 级， 短信提 醒用户进行确认， 分数在70到80之间， 判定非常规操作为中级， 短信提醒用户的同时， 通知 管理员， 分数在80分以上， 判定非常规操作高级， 提醒用户， 通知管理员。 5.根据权利要求4所述的一种电子邮件非常规操作的识别系统及方法， 其特征在于， 为 防止误报影响用户正常使用， 在判定异常行为时， 通过包括但不限于手机 短信验证的方式， 让用户进行手工确认。权　利　要　求　书 1/1 页 2 CN 115426144 A 2一种电子邮件非常规操作的识别系统及方 法 技术领域 [0001]本发明涉及数据挖掘技术领域， 具体为一种电子邮件 非常规操作的识别系统及方 法。 背景技术 [0002]为防止邮件账号被窃取导致个人隐私泄露， 现阶段很多邮件系统做了一些技术防 范措施， 例如如果在异 地登录邮件系统时， 用户会收到 短信提醒， 告知用户， 但仅此判断， 如 果他人在同一属地登录， 就没有办法提醒用户。 一旦密码泄露， 被别人恶意使用企业邮箱账 号， 给企业内其他同事群发垃圾邮件， 删除邮件等非常规操作， 严重影响用户的日常办公使 用。 所以就需要一种电子邮件非常规操作的识别系统及方法。 发明内容 [0003]本发明的目的在于提供一种电子邮件非常规操作的识别系统及方法， 本发明通过 可以在用户邮箱账号信息泄漏的情况下， 识别出对邮箱系统的操作是否非常规操作， 防止 被别人恶意操作邮箱系统， 提高邮件系统使用的安全性。 [0004]本发明是这样实现的： [0005]一种电子邮件非常规操作的识别系统及方法， 具体按以下步骤执 行： [0006]S1： 在用户操作邮件系统时， 用户登录邮箱， 获取至少一个月的用户的登录操作信 息， 生成用户当前特征信息； 其中用户常规操作的信息包括常用ip、 常用浏览器、 登录时间 段、 日常往来邮箱账号、 往来邮件的数据量和往来次数信息 。 [0007]S2： 用一个月的用户登录操作信息的数据集， 分为训练集和测试集两部分， 训练集 用来训练生成识别模型， 测试集用来测试识别模型的准确率； [0008]S3： 对训练集的数据进行训练生成识别模型， 并通过测试集的数据进行测试识别 模型的准确率， 并通过训练集的数据不断的优化学习， 不断提高模型的准确率； [0009]S4： 将用户当前特征信息输入至常规操作识别模型， 进行识别， 根据识别结果， 判 断用户操作是否符合常规操作； [0010]S5： 对于被判定非常规操作的邮箱账号， 禁止用户操作并推送到管理员或者通知 用户本人， 由管理员进行审核排查， 确认该账号是否存在密码泄露的问题， 如果存在， 立即 禁用该账号。 [0011]进一步， 在步骤S2中， 具体按以下步骤执 行； [0012]S2.1： 训练生成识别模型， 首先对原始 数据进行数据预处理， 具体包括对用户账号， 登陆操作时间， 操作类型， 操作频率数据进行抽样和过滤， 其中操作类型包括登录邮件系 统， 发送邮件， 查看邮件， 附件 下载， 删除邮件， 退出邮件系统等数据， 将这些 处理后的数据， 分类进行 数据建模； [0013]S2.2： 将分类建模的数据采用AI 算法， 进行机器学习， 最终生成用户常规操作模型； [0014]S2.3： 将运行数据带入常规操作模型库， 进行判定， 根据设定好 的用户特有的模型说　明　书 1/7 页 3 CN 115426144 A 3