电子邮件行为分析与欺骗检测技术探索
一、电子邮件行为分析
1.1 EMT系统检测原理
EMT系统能够通过分析用户的独特行为特征,检测账户中的恶意或异常活动。这与信用卡欺诈检测类似,当当前行为违反过去的行为模式时,系统就能识别出异常。例如,在电子邮件使用中,如果某个账户突然向大量陌生地址发送邮件,就可能被系统视为异常。
1.2 账户活动快照
在EMT系统中,图5的“Profile”标签提供了账户活动在收件人频率方面的快照。它包含三个图表和一个表格。分析师可以通过选择各种配置文件统计数据,指定一个经验分布,然后将其与一组内置指标(如卡方检验和Hellinger距离)进行比较。通过这种方式,能够辨别账户间电子邮件发送的快速变化,这些变化可能具有特定的情报价值。
1.3 群组通信模型:派系(Cliques)
1.3.1 派系的定义与作用
为了研究用户群体之间的电子邮件流动,EMT系统提供了计算电子邮件存档中派系集合的功能。我们的目标是识别经常相互通信的相关电子邮件账户集群或群组,然后利用这些信息识别违反典型群体行为的异常电子邮件行为,或者根据群体通信活动识别不同用户账户之间的相似行为。
例如,公司法律部门的成员可能会频繁交换包含专利申请的Word附件。如果营销部门和人力资源服务部门的成员也收到这些附件,就可能违反了内部电子邮件安全政策。EMT系统可以通过分析正常的电子邮件流和计算派系,推断相关群体的组成,并在电子邮件违反派系行为时发出警报。
1.3.2 派系计算算法
EMT系统使用分支限界算法来查找派系。将电子邮件账户视为节点,如