在网络技术繁荣发展的今天，通过电子邮件进行通信的方式由于具备便捷、高效、经济等特点，已成为各单位、组织以及个人重要的通信手段，起着不可替代的作用。与此同时，由于邮件系统中承载着大量重要信息，使得邮件和邮件系统的安全成为一个不容忽视的问题，该问题近年来引发了越来越多学者的关注。　　经研究，造成电子邮件信息泄露的方式主要有两大类，一是利用病毒或木马等方式从外界对邮件或邮件系统发起攻击，窃取邮件内容;另一类重要途径是从邮件系统内部发起攻击而产生的泄密行为。经统计，第二种攻击方式对邮件信息的保密性造成的危害更大、涉及范围更广、且更难以防范。由于该种方式的攻击往往由具有合法身份的内部人员引发、或由攻击者非法取得内部人员的身份发起，且在安全边界以内，传统的防护设施如防火墙、入侵检测等设备的防护效果十分有限。因此如何有效地对这些内部威胁攻击进行分析、判断，从而对邮件信息进行保护，保障邮件系统及各单位的信息安全，是亟需解决的重要问题。　　要想捕获具有合法用户身份的非法用户行为，目前较为有效的方式是对其行为进行监控，并根据行为记录进行用户行为分析(UBA，User Behavior Analysis)，从行为模式上分析用户邮件行为的异常模式，从而判断被检测的行为是否存在潜在风险和异常。　　由于邮件中的泄密行为往往发生在一些关键性的时间节点前后，比如员工离职前或更换部门之前，往往在时间轴上与过往行为存在差异，因此本文以基于时间序列的邮件用户行为模型建立及分析为题目，完成主要工作如下:　　1、本文调研了大量关于时间序列异常检测的算法，如:基于窗口的方法、基于邻近相似性的方法、基于模型预测的方法、基于分割的方法，并对以上方法的原理和性能进行了分析与比较，重点研究了基于窗口的异常检测方法，并结合其他算法的优点对基于窗口的异常检测算法进行改进。　　2、为了对邮件行为分析进行研究，本文选取了CERT数据集作为实验对象，并对原始邮件行为日志数据集进行了预处理，主要包括:获取可用于邮件泄密检测的原始数据，提取用于检测的邮件特征，对特征进行筛选，将多特征的时间序列进行降维，以及建立时间序列等。　　3、针对邮件泄密中的异常行为问题，本文设计了一种基于窗口和模型预测相结合的异常检测算法。该算法能够挖掘先后发生的行为之间的关联性，并通过对比判别一段时间内的行为是否存在异常。经过实验对比，判断异常的准确性较高，可用于分析发掘合法用户身份的非法行为，及时预警。　　4、根据以上研究成果，设计并实现了相关系统，将邮件行为异常检测方法的检测效果同处理数据进行展示，实现了检测结果的可视化。　　本论文成果的主要应用在于，从信息泄密角度对用户的邮件行为进行分析及评判，从而为企业或组织中的安全管理人员提供内部用户行为异常的提示，对敏感信息进行保护。预期与其他类型的异常行为分析相结合，为用户多域行为分析提供多方位的线索，以便实现用户在系统内的所有行为进行全面分析，进行多方位的行为异常检测。