本發明提供一種郵件系統異常IP的檢測方法及檢測系統，該方法包括對郵件日志數據進行清洗，提取有用信息；統計預設時間窗口內各有用信息對應的IP對郵箱賬號的各操作行為數據；確定當前時間窗口內每一操作行為數據所占的權重；根據各操作行為數據及其對應的權重計算IP行為異常值z,并與預設閾值zsubgt;0/subgt;進行比較，當z＞zsubgt;0/subgt;時，判斷所述IP為異常IP；該方法綜合考慮郵件系統中IP地址操作帳號的個數、登陸失敗次數及非正常時段內操作郵箱賬號情況等因素，并對各種影響因素進行加權，用線性回歸算法學習各影響因素的權重，同時比對同一時間窗口內IDS設備告警日志中涉及到的攻擊源IP地址來綜合判斷IP地址是否是惡意IP，提高了異常IP檢測的準確性。

技術領域

本發明屬于異常檢測領域，特別涉及一種郵件系統異常IP的檢測方法及檢測系統。

背景技術

電子郵箱是日常生活、辦公不可缺少的溝通交流工具，用戶可通過電腦等方式登錄電子郵箱。然而隨著網絡的不斷發展，電子郵箱賬號安全問題顯得尤為重要。但郵件系統經常會遭受惡意IP的攻擊，例如，對系統內的郵箱帳號進行暴力破解，或對已經掌握用戶名和密碼的賬號(即被控郵箱帳號)中的郵件內容進行竊取等。因此，當可疑行為發生時需要及時發現這些異常IP進行重點監控，必要時阻斷異常IP對郵件系統內賬號的訪問及操作。

然而現有的部分文獻在判斷異常IP時，沒有考慮關聯同一時間段內安全設備告警日志中的信息，實際上惡意IP在攻擊郵件系統的同時也有可能對郵件系統網絡進行攻擊；部分文獻在判斷異常IP時，雖然考慮了異常IP的幾種不同特征，但并沒有從整體上考慮不同特征在檢測異常IP時所帶來的影響，因此，現有技術公開的方法無法準確地檢測郵件系統的異常IP。

發明內容

為了解決現有技術中存在的問題，本發明提供一種郵件系統異常IP的檢測方法及檢測系統。

本發明其中一個技術方案提供一種郵件系統異常IP的檢測方法，該方法包括如下步驟：

對郵件日志數據進行清洗，提取有用信息；

統計預設時間窗口內各有用信息對應的IP對郵箱賬號的各操作行為數據；

確定當前時間窗口內每一操作行為數據所占的權重；

根據各操作行為數據及其對應的權重計算IP行為異常值z,并與預設閾值z₀進行比較，當z＞z₀時，判斷所述IP為異常IP。

進一步改進的方案中，所述有用信息包括登錄時間、登錄IP、登錄IP歸屬地、操作的郵箱賬戶名、賬號登錄狀態及登錄IP的非正常操作時段。

進一步改進的方案中，確定當前時間窗口內每一操作行為數據所占的權重為利用線性回歸算法確定當前時間窗口內每一操作行為數據所占的權重。

進一步改進的方案中，根根據各操作行為數據及其對應的權重計算IP行為異常值z具體按照公式(一)進行計算：

z＝a₁*b₁+a₂*b₂+a₃*b₃+a₄*b₄??(一)

其中，b₁為IP地址操作帳號數；b₂為登陸失敗次數異常值；b₃為非正常時段登陸異常值；b₄為IDS告警關聯異常值；a₁-a₄為操作行為數據所占的權重。

進一步改進的方案中，所述方法還包括：當判斷出z≤z₀時，采用關聯分析算法對郵件系統IP進行檢測。

本發明另一個方案提供一種郵件系統異常IP的檢測系統，所述檢測系統包括：