11、电子邮件行为分析与欺骗检测技术探索

电子邮件行为分析与欺骗检测技术探索

一、电子邮件行为分析

1.1 EMT系统检测原理

EMT系统能够通过分析用户的独特行为特征,检测账户中的恶意或异常活动。这与信用卡欺诈检测类似,当当前行为违反过去的行为模式时,系统就能识别出异常。例如,在电子邮件使用中,如果某个账户突然向大量陌生地址发送邮件,就可能被系统视为异常。

1.2 账户活动快照

在EMT系统中,图5的“Profile”标签提供了账户活动在收件人频率方面的快照。它包含三个图表和一个表格。分析师可以通过选择各种配置文件统计数据,指定一个经验分布,然后将其与一组内置指标(如卡方检验和Hellinger距离)进行比较。通过这种方式,能够辨别账户间电子邮件发送的快速变化,这些变化可能具有特定的情报价值。

1.3 群组通信模型:派系(Cliques)

1.3.1 派系的定义与作用

为了研究用户群体之间的电子邮件流动,EMT系统提供了计算电子邮件存档中派系集合的功能。我们的目标是识别经常相互通信的相关电子邮件账户集群或群组,然后利用这些信息识别违反典型群体行为的异常电子邮件行为,或者根据群体通信活动识别不同用户账户之间的相似行为。

例如,公司法律部门的成员可能会频繁交换包含专利申请的Word附件。如果营销部门和人力资源服务部门的成员也收到这些附件,就可能违反了内部电子邮件安全政策。EMT系统可以通过分析正常的电子邮件流和计算派系,推断相关群体的组成,并在电子邮件违反派系行为时发出警报。

1.3.2 派系计算算法

EMT系统使用分支限界算法来查找派系。将电子邮件账户视为节点,如

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值