1. 某些IP/账号发送的大部分是正常邮件，偶然一两封来自这些IP/账号的发送垃圾邮件的日志，可以认为可能是机器误判导致的，不少队伍能分析出这一点并通过一个阈值把大部分可能的误判都剔除掉了。

2. 有选手发现一些[IP,email]登录非常频繁，一秒甚至几秒就成功登录了多次，而且持续时间较长而认为这个行为比较可疑。这些登录行为很多是因为很多IMAP客户端都是同时创建多个IMAP连接，监控多个邮箱目录是否有新邮件到达导致的。

3. 如果单纯考虑登录地名称而不考虑经纬度的，有可能出现一些误判的情况：

比如用户的上班地点和居住地刚好在两个行政区，或者刚好在两个行政区之间用手机上网，就可能会导致较多的异常登录误判报警，本次比赛有队伍利用上了经纬度计算地理位置切换速度的方式来寻找可疑的登录了（虽然用了欧氏几何来计算地理位置的距离，但是这个不是大的问题，经纬度算地理位置距离的公式网上很容易找到）

4. 不少用户会有使用VPN的习惯，这个习惯可能会导致IP地理位置快速的切换，但是这类登录同样应该被认为是正常登录

5. 公司的出口IP往往会有大量的不同账号的成功登录记录，但是同时也会有不少账号的失败登录记录（比如已离职员工的电脑仍然开机，一些OA类的定时发信软件使用的发信账号密码已经修改等）。所以会出现同一个IP不断的使用同一个错误的密码尝试同一个账号的情况，这种情况不应该被判定为攻击行为。这种噪音北大的参赛队敏锐的发现了。

6. 很多邮件服务提供商（比如网易，qq, 微软等）都会提供邮件代收服务，所以有不少请求是来自这些服务供应商的，他们的特征一般都是短时间成功登录较大量的邮箱账号，而且都是特定的同一个协议(主要是POP)。这类登录由于是用户授权的，应该认为是正常登录，这种噪音北大的参赛队同样敏锐地发现了。

从竞赛结果看来，最终各参赛队伍本题的成绩相差不太大，这可能是数据里面的噪音影响过大导致的。一些对数据的分析比较精细和产生原因回溯比较好的参赛队伍，分数反而不是更高，这也提醒了专家组在往后出题时需要注意这一问题。

• 网罗典型威胁邮件案例
• 侦测本域异常行为用户
• 实时推送紧急安全情报