CN102368842A - 移动终端异常行为的检测方法和检测系统 - Google Patents
移动终端异常行为的检测方法和检测系统 Download PDFInfo
- Publication number
- CN102368842A CN102368842A CN201110308627XA CN201110308627A CN102368842A CN 102368842 A CN102368842 A CN 102368842A CN 201110308627X A CN201110308627X A CN 201110308627XA CN 201110308627 A CN201110308627 A CN 201110308627A CN 102368842 A CN102368842 A CN 102368842A
- Authority
- CN
- China
- Prior art keywords
- short message
- note
- history feature
- feature table
- current
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种移动终端异常行为的检测方法和系统,方法包括:在接收到任一移动终端发送的短信时,统计当前短信内容出现预设字符集中各类非汉字字符的次数;在当前短信内容出现的各类非汉字字符的总次数大于第一预设阈值时,更新当前短信发送号码对应的可疑短信历史特征表相应项的统计值;当当前短信发送号码对应的可疑短信历史特征表中可疑短信总数的统计值大于第二预设阈值时,计算当前短信发送号码对应的正常短信历史特征库和可疑短信历史特征库中,包括的次数统计值不为0的非汉字字符的不同类别的数量;在该数量大于第三预设阈值时,生成并向该移动终端发送预警信息。本发明实现了对移动终端异常行为进行预警检测,有利于减少用户损失。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种移动终端异常行为的检测方法和检测系统。
背景技术
随着移动通信技术的不断发展,手机成为人们工作生活中重要的通讯工具。在经济利益驱动下,不法分子常在用户不知情的情况下将移动恶意软件植入用户手机,通过控制这些移动恶意软件引发了移动终端执行大量违背合法用户真实意图的异常行为,如对外提供用户隐私信息、订购各类增值业务或发送大量垃圾短信等,从而严重危害了用户利益。
现有技术主要通过对用户发送的短信进行特征分析,根据分析结构进行短信的过滤和拦截,来保障用户利益。对用户发送的短信进行特征分析的现有技术包括:内容过滤技术、流量统计技术和话单分析技术。内容过滤技术是对短信内容进行识别,对内容包括多个预设关键字如“中奖”、“发财”等的短信进行拦截;流量统计技术是统计用户手机单位时间收发短信的流量,如果该流量超过预设阈值,则自动报警;话单分析技术是以计费服务器上的原始话单文件作为统计数据源,统计各号码在一定时间段内的发送短信的数量和发送成功率,当统计值超过预设阈值时则自动报警。
发明人在实践现有技术的过程中发现,上述短信特征分析方法虽然在垃圾短信检测方面能够取得一定效果,但不能有效检测对于被植入恶意软件引发移动终端的异常行为。例如:内容过滤技术需要不断更新规则库或训练集,对于具有新内容特征的短信通常不能识别,因此很难发现移动终端的异常行为;短信流量统计技术无法检测因恶意软件的缓慢发送等原因引发的移动终端异常行为;话单分析技术实时性很差,即便通过话单分析发现了移动终端的异常行为,但用户实际上已经蒙受了不可挽回的经济损失。
发明内容
本发明提供一种移动终端异常行为的检测方法和系统,用以实现对移动终端异常行为的预警检测。
本发明提供一种移动终端异常行为的检测方法,包括:
在接收到任一移动终端发送的短信时,统计当前短信内容出现预设字符集中各类非汉字字符的次数;
在所述当前短信内容出现的各类非汉字字符的总次数大于第一预设阈值时,根据所述当前短信内容的统计结果,更新所述当前短信发送号码对应的可疑短信历史特征表相应项的统计值;所述可疑短信历史特征表相应项包括:各类非汉字字符的次数以及可疑短信总数;
当所述当前短信发送号码对应的可疑短信历史特征表中可疑短信总数的统计值大于第二预设阈值时,计算所述当前短信发送号码对应的正常短信历史特征库和可疑短信历史特征库中,包括的次数统计值不为0的非汉字字符的不同类别的数量;
在所述不同类别的数量大于第三预设阈值时,生成并向所述任一移动终端发送预警信息,所述预警信息用于提示所述任一移动终端行为发生异常。
本发明还提供一种移动终端异常行为的检测系统,包括:存储器和检测器;
所述存储器用于存储各用户注册的每个号码分别对应的短信历史特征表,所述短信历史特征表包括:正常短信历史特征表和可疑短信历史特征表;
所述检测器包括:
当前短信内容分析模块,用于在接收到任一移动终端发送的短信时,统计当前短信内容出现预设字符集中各类非汉字字符的次数;
可疑特征表更新模块,用于在所述当前短信内容出现的各类非汉字字符的总次数大于第一预设阈值时,根据所述当前短信内容的统计结果,更新所述当前短信发送号码对应的可疑短信历史特征表相应项的统计值;所述可疑短信历史特征表相应项包括:各类非汉字字符的次数以及可疑短信总数;
类别差异确定模块,用于当所述当前短信发送号码对应的可疑短信历史特征表中可疑短信总数的统计值大于第二预设阈值时,计算所述当前短信发送号码对应的正常短信历史特征库和可疑短信历史特征库中,包括的次数统计值不为0的非汉字字符的不同类别的数量
预警模块,用于在所述不同类别的数量大于第三预设阈值时,生成并向所述任一移动终端发送预警信息,所述预警信息用于提示所述任一移动终端行为发生异常。
本发明提供的移动终端异常行为的检测方法和检测系统,通过对发送短信内容中包括预设字符集中各类非汉字字符的使用特征进行分析,实现了对移动终端异常行为进行预警检测,提高了用户发现其所使用的移动终端行为异常的及时性,从而有利于减少因移动终端异常行为引发的用户损失。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提供的移动终端异常行为的检测方法流程图;
图2为本发明实施例二提供的移动终端异常行为的检测方法流程图;
图3为本发明实施例二引用的ASCII码表示意图;
图4为本发明实施例三提供的移动终端异常行为的检测系统的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明以下实施例的序号仅仅为了描述,不代表实施例的优劣。
本发明所述的移动终端异常行为是指:移动终端当前发送的短信的通信行为以及短信的内容,是在该移动终端所使用号码的合法用户(如注册用户)不知情或不认可的方式下作出的。本发明是通过对发送短信内容中的非汉字字符使用特征分析,来进行移动终端异常行为预警检测。
图1为本发明实施例一提供的移动终端异常行为的检测方法流程图。如图1所示,本实施例提供的检测方法包括:
步骤11:在接收到任一移动终端发送的短信时,统计当前短信内容出现预设字符集中各类非汉字字符的次数。
本实施例对当前接收到的短信的具体文字内容不进行识别和分析,仅对短信内容出现的非汉字字符,按照预设字符集中的分类进行统计分析,因此不会侵犯用户隐私。
预设字符集中包括的各类非汉字字符可包括:不可见字符、标点及特殊字符;预设字符集中包括的各类非汉字字符还可包括但不限于:数字、大写字母、小写字母等。
步骤12:在所述当前短信内容出现的各类非汉字字符的总次数大于第一预设阈值时,根据所述当前短信内容的统计结果,更新所述当前短信发送号码对应的可疑短信历史特征表相应项的统计值;所述可疑短信历史特征表相应项包括:各类非汉字字符的次数以及可疑短信总数。
在统计完成当前短信内容出现预设字符集中各类非汉字字符的次数之后,计算当前短信内容出现的各类非汉字字符的总次数,并将该总次数与第一预设阈值进行比较。如果该总次数大于第一预设阈值,说明当前短信内容特征在使用非汉字字符的频率上,与在先接收到的相同发送号码的短信内容的惯常特征存在较大偏差,有可能与移动终端异常行为相关,即当前短信为可疑短信,则当前短信发送号码对应的可疑短信历史特征表中可疑短信总数的统计值执行加1操作,并根据所述当前短信内容的统计结果,对当前短信发送号码对应的可疑短信历史特征表各类非汉字字符的次数,进行相应项的累加操作。如果该总次数小于或等于第一预设阈值,说明当前短信内容特征在使用非汉字字符的频率上,与在先接收到的相同发送号码的短信内容的惯常特征偏差不大,则根据当前短信内容的统计结果,更新该当前短信发送号码对应的正常短信历史特征表相应项的统计值,正常短信历史特征表相应项的统计值可包括但不限于:各类非汉字字符的次数以及正常短信总数。
步骤13:当所述当前短信发送号码对应的可疑短信历史特征表中可疑短信总数的统计值大于第二预设阈值时,计算所述当前短信发送号码对应的正常短信历史特征库和可疑短信历史特征库中,包括的次数统计值不为0的非汉字字符的不同类别的数量。
统计当前短信发送号码对应的可疑短信历史特征表中可疑短信总数的统计值,并将可疑短信总数的统计值与预设的第二预设阈值进行比较。如果可疑短信总数的统计值小于或等于第二预设阈值,则说明出现可疑短信的总概率相对较低,当前短信与移动终端异常行为相关的概率较低,此时不生成预警信息。
如果可疑短信总数的统计值大于第二预设阈值,则说明出现可疑短信的总概率相对较高,当前短信与移动终端异常行为相关的概率也相应增加,此时进一步比较当前短信发送号码对应的正常短信历史特征表和可疑短信历史特征表中,非汉字字符的分布差异,即:计算所述当前短信发送号码对应的正常短信历史特征库和可疑短信历史特征库中,包括的次数统计值不为0的非汉字字符的不同类别的数量。
步骤14:在所述不同类别的数量大于第三预设阈值时,生成并向所述任一移动终端发送预警信息,所述预警信息用于提示所述任一移动终端行为发生异常。
如果所述不同类别的数量小于或等于第三预设阈值,说明当前短信内容特征在使用非汉字字符的种类上,与在先接收到的相同发送号码的短信内容的惯常特征存在偏差不大,因此当前短信与移动终端异常行为相关的概率较低,因此可不生成所述预警信息。
如果所述不同类别的数量大于第三预设阈值,说明当前短信内容特征在使用非汉字字符的种类上,与在先接收到的相同发送号码的短信内容的惯常特征存在较大偏差,当前短信与移动终端异常行为相关的概率更大了,因此可生成预警信息并发送给该移动终端,其中,预警信息用于提示发送当前短信的移动终端行为可能发生异常。对于用户接收到预警信息之后,如何进行处理,本发明并不限制。一种可选的实施方式例如:发送当前短信的移动终端所属用户通过移动终端接收到预警信息之后,可及时对其所用的移动终端进行检查,有利于用户及时发现问题;如果预警信息属实,用户通过检查发现移动终端存在被植入恶性软件或被恶意订购增值服务等情形,则可及时采取应对措施,从而减少了用户的损失;如果预警信息不实,当前短信确实是用户实际编辑发送的,则用户可向运营商反馈,运营商收集用户反馈信息之后,可重建或修正该用户所用号码对应的短信历史特征表。
上述技术方案中,可预先建立与每个用户对应的短信历史特征表,如预先建立与每个用户的每个号码对应的短信历史特征表;所述短信历史特征表包括:正常短信历史特征表和可疑短信历史特征表。其中,建立所述任一号码对应的正常短信历史特征表,包括:获取所述任一号码的历史短信集;所述历史短信集包括:在先接收到的发送号码为所述任一号码的预设数量的短信,或者,在预设时间段内接收到的发送号码为所述任一号码的各短信;统计所述历史短信集包括的短信总数量、以及各短信内容出现所述各类非汉字字符的次数;将各项统计值保存为所述任一号码对应的正常短信历史特征表。
本实施例提供的移动终端异常行为的检测方法,通过对移动终端所发短信内容中非汉字字符的使用特征进行分析,如果当前非汉字字符的使用特征与在先接收到的相同发送号码的短信内容的惯常特征差别较大,则向该移动终端发送预警信息,用于提示该号码所属用户其所使用的移动终端行为可能发现异常,从而提高了用户发现其所使用的移动终端出现的异常行为的及时性,从而有利于减少用户损失。
下面对本发明通过发送短信内容的非汉字字符使用特征进行分析,以实现移动终端异常行为预警检测的机理进行详细说明。
发明人基于大量实践经验发现,通信过程中移动终端行为出现异常通常包括以下几类原因:
1)用户使用的移动终端被植入了移动恶意软件(病毒、木马、流氓软件、间谍软件等),恶意软件在后台发送短信、拔打电话、下载上传数据等。
2)号码所属用户发生变更,如:用户号码转赠他人,或利用运营商定制机优惠策略将机卡拆分出售等。
3)特殊情况,如:用户转发祝福短信,用户亲属或同事借用手机发送短信等。
发明人同时还发现用户通常有较为固定的通信行为,具体可表现为:其通话时间、通话对象、通话数量、短信数量、短信内容等参数符合一定的规律。虽然用户的有些通信行为可能会随着用户的客观条件所改变,如用户的通话特征可能会随着用户使用运营商的通信套餐而变化,数据特征可能会随着用户使用的终端类型(如智能机和非智能机)而变化,但是,用户的有些通信行为,如短信的内容特征是较为长期稳定的,正如人们通常描述的“文如其人”。通常而言,即便客观条件发生较大变化,但用户的思维习惯、性格特点、行文风格较难改变;因此短信的内容特征可以用做用户的固有属性来加以利用。
发明人通过对大量短信内容进行统计分析发现,相同用户的短信内容通常都满足某一特征。同时,短信内容特征因用户而异,不同用户的短信内容特征通常存在差异。用户的短信内容特征具体表现为:
1)一些用户喜欢使用特定的符号(“#”,“*”,“~”,“^”......);
2)一些用户几乎不使用标点符号,仅使用汉字;
3)一些用户习惯使用数字、标点符号(“,”,“。”,“!”,“?”);
4)一些用户习惯使用英文(“a”~“z”);
……
对于每个用户,通过统计该用户所用号码的短信内容中各类非汉字字符的使用特征,可为各用户所用号码分别建立相应的短信历史特征表。基于各用户所用号码对应的短信历史特征表,可判断当前短信是否与发送该短信的移动终端的异常行为相关。如果当前短信使用非汉字字符的特征与在先接收到的相同发送号码的短信内容的惯常特征差别不大,则发送该短信移动终端当前行为异常的概率较小。如果使用该号码的移动终端被植入恶意软件或号码的所有者非法变更,则后续接收到的发送号码为该号码的短信的内容特征,与在先接收到的相同发送号码的短信内容的惯常特征通常会存在较大差异:如恶意软件发送的垃圾短信常含电话号码、URL链接等,为了躲避运营商的过滤机制,恶意软件发送的垃圾短信通常还会随机加入特殊字符等。如果在某段时间内接收到的相同发送号码的短信的内容特征明显偏离统计特征,则可向该号码所属的用户发出预警信息,用于提示其使用该号码的移动终端行为可能出现异常,以便相应用户及时对其所用的移动终端进行异常排查。
由此可见,本发明可通过对发送短信内容中非汉字字符的使用特征进行分析,实现了对上述前两类及其类似原因引发的移动终端异常行为进行预警检测,提高了用户发现其所使用的移动终端行为异常的及时性,从而有利于减少因移动终端异常行为引发的用户损失。
图2为本发明实施例二提供的移动终端异常行为的检测方法流程图,图3为本发明实施例二引用的ASCII码表示意图。
本实施例中预设字符集为如图3所示的ASCII码表中所示的非汉字字符。ASCII码表中,汉字和非汉字字符的编码方式不同。我国公布的《通用汉字字符集(基本集)及其交换码标准》GB2312-80共收集了7445个字符,用两个字节编码一个字符,每个字节最高位为0,GB2312-80编码简称国标码。但汉字在计算机内存储、处理和网络传输时使用内码的形式进行编码,内码与ASCII码兼容,将汉字国际码两个字节最高位置1即得到汉字内码。因此,汉字的字符特征为连续两个字节都大于0xa0。具体的,本实施例将ASCII码表包括的非汉字字符进行如下分类:
0x00-0x20及0x7f为不可见字符,共34个;34个不可见字符为一类;
0x21-0x2f,0x3a-0x40,0x5b-0x60,0x7b-0x7e,为标点及特殊符号,共32个;每个标点或特殊符号为一类,共32类;
0x30-0x39为数字0-9,共10个符号;每个数字为一类,共10类;
0x41-0x5a为大写字母A-Z,共26个字符;26个大写字母为一类;
0x61-0x7a为小写字母a-z共26个字符;26小写字母为一类。
本实施例不对短信内容中的汉字特征进行分析,而是仅对ASCII码各类非汉字字符出现次数进行统计,并将统计结果保存在短信发送号码对应的短信历史特征表中。为便于识别当前短信在不同处理阶段的状态,本实施例可在相应执行步骤中对当前短信的状态进行赋值,例如:赋值为“0”、“1”、“2”或“3”,分别表示学习阶段、短信内容正常、短信内容可疑、短信内容异常。
如图2所示,本实施例提供的检测方法包括:
步骤21:为每个用户使用的每个号码分别建立短信历史特征表,该短信历史特征表包括:正常短信历史特征表和可疑短信历史特征表。
本步骤可视为学习阶段。本实施例假设某个历史短信集内的各短信为用户通过移动终端发送的正常短信,并以历史短信集中各短信内容的特征分析为基础,建立该号码对应的正常短信历史特征表。历史短信集可包括:在先接收到的发送号码为该号码的预设数量的短信,或者,在预设时间段内(如一个月)接收到的发送号码为该号码的各短信。在历史短信集收集的短信,短信的状态设置为“0”,表示的当前为学习阶段。
正常短信历史特征表可包括但不限于以下统计项:各类非汉字字符分别使用的次数、正常短信总数量等。其中,历史短信集内各短信内容的特征统计值,记录到短信发送号码对应的正常短信历史特征表中。
在学习阶段,可疑短信历史特征表可包括但不限于以下统计项:各类非汉字字符分别使用的次数、可疑短信总数量等。可疑短信历史特征表在学习阶段各统计项的值均设置为0。
步骤22:接收任一移动终端发送的短信;统计该短信的内容出现预设各类非汉字字符的次数。
对当前接收的任一条短信,如果不在学习阶段,则假设当前短信的状态设置为“1”,表示当前短信的短信内容正常。
在每接收到一条短信时,统计当前短信内容中标点及特殊字符出现次数f1...f32,不可见字符出现次数f33,数字出现次数f34...f43,大写字母出现次数f44,小写字母出现次数f45。
步骤23:判断当前短信内容出现各类非汉字字符的总次数是否大于第一预设阈值,如果是,执行步骤25;否则,执行步骤24。
本实施例可以当前短信发送号码为索引,在检测系统的数据库中找到当前短信发送号码对应的正常短信历史特征表;统计该正常短信历史特征表中各类所述非汉字字符的总次数(F1+...+F45),并将该总次数除以该正常短信历史特征表中记录的正常短信总数N,得到当前短信发送号码对应的正常短信历史特征表中各类所述非汉字字符的平均统计次数(F1+...+F45)/N;之后,在将该平均统计次数乘以预设倍数K0,所得乘积作为第一预设阈值。
本步骤可具体为判断公式1是否满足,如果满足,执行步骤25:
(f1+...+f45)>K0((F1+...+F45)/N) (1)
上式1中,(f1+...+f45)表示当前短信内容出现的各类非汉字字符的总次数,K0((F1+...+F45)/N)为第一预设阈值,表示当前短信发送号码对应的正常短信历史特征表中各类所述非汉字字符的平均统计次数的K0倍,K0的取值为:2-5;优选的,K0=3。
为了防止非汉字字符数为0,本实施例第一预设阈值可加入平衡因子,则上式1变形为:
(f1+...+f45)>K0((1+F1+...+F45)/N) (2)
上式2中“1”表示平衡因子,用于防止短信发送号码对应的正常短信历史特征表中的各类非汉字字符的统计次数为0。
步骤24:根据当前短信内容的统计结果,更新当前短信发送号码对应的正常短信历史特征表相应项的统计值;执行步骤22,对待接收的下一条短信进行处理。
可将当前短信内容的统计结果,以累加的方式更新当前短信发送号码对应的正常短信历史特征表相应项的统计值,例如可包括但不限于将当前短信内容的统计值累加到以下统计项:各标点及特殊字符出现次数F1...F32,不可见字符出现总次数F33,各数字出现次数F34...F43,大写字母出现总次数F44,小写字母出现总次数F45,和正常短信总数量N。
步骤25:根据当前短信内容的统计结果,更新当前短信发送号码对应的可疑短信历史特征表相应项的统计值;可疑短信历史特征表相应项包括:各类非汉字字符的次数以及可疑短信总数。
如果当前短信内容出现各类非汉字字符的总次数大于第一预设阈值,将当前短信的状态改设为“2”,表示当前短信的短信内容可疑。此时,可将当前短信内容的统计结果,以累加的方式更新当前短信发送号码对应的可疑短信历史特征表相应项的统计值,例如可包括但不限于将当前短信内容的统计值累加到以下统计项:各标点及特殊字符出现次数F’1...F’32,不可见字符出现总次数F’33,各数字出现次数F’34...F’43,大写字母出现总次数F’44,和小写字母出现总次数F’45;并对当前短信发送号码对应的可疑短信历史特征表中可疑短信总数的统计值N’,执行加1操作。
步骤26:判断当前短信发送号码对应的可疑短信历史特征表中,可疑短信总数的统计值,是否大于第二预设阈值;如果是,则执行步骤27,否则执行步骤211。
可根据实际需要设置第二预设阈值K1,K1的取值为:10-30,优选的,K1=20。将当前短信发送号码对应的可疑短信历史特征表中可疑短信总数的统计值N’与K1进行比较,如果N’大于K1,则执行步骤27,否则执行步骤211。
步骤27:计算当前短信发送号码对应的正常短信历史特征库和可疑短信历史特征库中,包括的次数统计值不为0的非汉字字符的不同类别的数量。
步骤28:比较所述不同类别的数量是否大于第三预设阈值,如果是,则执行步骤29;否则执行步骤211。
上述步骤28用于比较可疑短信历史特征表与正常短信历史特征表中非汉字字符分布的差异。可将各类的非汉字字符进行分布差异比较。可选的,为了提高检测准确性,可将部分非汉字字符进行分布差异比较,例如:本实施例可统计的非汉字字符类包括:各标点及特殊字符(F1...F32)、不可见字符(F33)这些类别,可不包括各数字(F34...F43),大写字母(F44)和小写字母(F45)。具体可判断公式(3)是否满足,如果满足,则执行步骤29;否则执行步骤211。
(|F’1^0-F 1^0|+...|F’33^0-F33^0|)>K2 (3)
上式(3)中,“^”为异或操作,用于分别计算第一类别和第二类别;第一类别为当前短信发送号码对应的正常短信历史特征表中,出现次数统计值不为0的各标点及特殊字符(F1...F32)、不可见字符(F33)的类别;第二类别为:所述当前短信发送号码对应的可疑短信历史特征表中,出现各标点及特殊字符(F1...F32)、不可见字符(F33)的类别。
上式(3)的左边|F’1^0-F1^0|+...|F’33^0-F33^0|,表示第一类别和第二类别中包括的各标点及特殊字符(F1...F32)以及不可见字符(F33)的非汉字字符的不同类别的数量。K2即为本发明的第三预设阈值,K2的取值为:3-8,优选的,K2等于5。
步骤29:生成预警信息。
本步骤将当前短信的状态改设为“3”,表示当前短信的短信内容异常;并生成预警信息,该预警信息用于提示发送当前短信的移动终端行为异常。
步骤210:将生成的预警信息发送给发送当前短信的移动终端,用以通知短信发送号码所属用户其使用的移动终端行为异常;执行步骤22,对待接收的下一条短信进行处理。
步骤211:不生预警信息;执行步骤22,对待接收的下一条短信进行处理。
本实施例可通过对发送短信内容中包括ASCII码表中非汉字字符的使用特征进行分析,实现了对移动终端异常行为进行预警检测,提高了用户发现其所使用的移动终端行为异常的及时性,从而有利于减少因移动终端异常行为引发的用户损失。由于本实施例在进行短信内容分析时,不对短信内容的汉字进行识别,因此不会侵犯用户隐私。
图4为本发明实施例三提供的移动终端异常行为的检测系统的结构示意图。如图4所示的系统包括:存储器41和检测器42;检测器42可进一步包括:当前短信内容分析模块421、可疑特征表更新模块422、类别差异确定模块423和预警模块424。
存储器41可用于存储各用户注册的每个号码分别对应的短信历史特征表,所述短信历史特征表包括:正常短信历史特征表和可疑短信历史特征表。
检测器42中:
当前短信内容分析模块421可用于在接收到任一移动终端发送的短信时,统计当前短信内容出现预设字符集中各类非汉字字符的次数。
可疑特征表更新模块422可用于在所述当前短信内容出现的各类非汉字字符的总次数大于第一预设阈值时,根据所述当前短信内容的统计结果,更新所述当前短信发送号码对应的可疑短信历史特征表相应项的统计值;所述可疑短信历史特征表相应项包括:各类非汉字字符的次数以及可疑短信总数。
类别差异确定模块423可用于当所述当前短信发送号码对应的可疑短信历史特征表中可疑短信总数的统计值大于第二预设阈值时,计算所述当前短信发送号码对应的正常短信历史特征库和可疑短信历史特征库中,包括的次数统计值不为0的非汉字字符的不同类别的数量。
预警模块424可用于在所述不同类别的数量大于第三预设阈值时,生成并向所述任一移动终端发送预警信息,所述预警信息用于提示所述任一移动终端行为发生异常。预警模块424还可用于在所述当前短信发送号码对应的可疑短信历史特征表中可疑短信总数的统计值小于或等于所述第二预设阈值时,不生成所述预警信息。预警模块424进一步还可用于在所述不同类别的数量小于或等于所述第三预设阈值时,不生成所述预警信息。
可选的,检测器42还可包括:正常特征表更新模块425。
正常特征表更新模块425可用于在所述当前短信内容出现的各类非汉字字符的总次数小于或等于所述第一预设阈值时,根据所述当前短信内容的统计结果,更新所述当前短信发送号码对应的正常短信历史特征表相应项的统计值。所述正常短信历史特征表相应项包括:各类非汉字字符的次数以及正常短信总数。
可选的,检测器42还可包括:学习模块426。
学习模块426可用于预先建立各用户注册的每个号码分别对应的短信历史特征表,所述短信历史特征表包括:正常短信历史特征表和可疑短信历史特征表。在为任一号码建立其对应的正常短信历史特征表时,学习模块426具体可用于获取所述任一号码的历史短信集;所述历史短信集包括:在先接收到的发送号码为所述任一号码的预设数量的短信,或者,在预设时间段内接收到的发送号码为所述任一号码的各短信;统计所述历史短信集包括的短信总数量、以及各短信内容出现所述各类非汉字字符的次数;在所述存储器中将各项统计值保存为所述任一号码对应的正常短信历史特征表。在为任一号码建立其对应的异常短信历史特征表时,学习模块426为任一号码建立其对应的异常短信历史特征表,并将该表中各项的统计值设置为0。
本实施例提供的移动终端异常行为的检测系统,可通过对发送短信内容中包括预设字符集中各类非汉字字符的使用特征进行分析,实现了对移动终端异常行为进行预警检测,提高了用户发现其所使用的移动终端行为异常的及时性,从而有利于减少因移动终端异常行为引发的用户损失。由于本实施例检测系统在进行短信内容分析时,不对短信内容的汉字进行识别,因此不会侵犯用户隐私。本实施例检测系统中检测器的工作机理和相应技术效果,可参见图1-3对应实施例的记载,在此不再赘述。
本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域普通技术人员可以理解:实施例中的装置中的模块可以按照实施例描述分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (12)
1.一种移动终端异常行为的检测方法,其特征在于,包括:
在接收到任一移动终端发送的短信时,统计当前短信内容出现预设字符集中各类非汉字字符的次数;
在所述当前短信内容出现的各类非汉字字符的总次数大于第一预设阈值时,根据所述当前短信内容的统计结果,更新所述当前短信发送号码对应的可疑短信历史特征表相应项的统计值;所述可疑短信历史特征表相应项包括:各类非汉字字符的次数以及可疑短信总数;
当所述当前短信发送号码对应的可疑短信历史特征表中可疑短信总数的统计值大于第二预设阈值时,计算所述当前短信发送号码对应的正常短信历史特征库和可疑短信历史特征库中,包括的次数统计值不为0的非汉字字符的不同类别的数量;
在所述不同类别的数量大于第三预设阈值时,生成并向所述任一移动终端发送预警信息,所述预警信息用于提示所述任一移动终端行为发生异常。
2.根据权利要求1所述的检测方法,其特征在于,还包括:
在所述当前短信内容出现的各类非汉字字符的总次数小于或等于所述第一预设阈值时,根据所述当前短信内容的统计结果,更新所述当前短信发送号码对应的正常短信历史特征表相应项的统计值;所述正常短信历史特征表相应项包括:各类非汉字字符的次数以及正常短信总数。
3.根据权利要求1所述的检测方法,其特征在于,还包括:
在所述当前短信发送号码对应的可疑短信历史特征表中可疑短信总数的统计值小于或等于所述第二预设阈值时,不生成所述预警信息。
4.根据权利要求1所述的检测方法,其特征在于,还包括:
在所述不同类别的数量小于或等于所述第三预设阈值时,不生成所述预警信息。
5.根据权利要求1-4任一所述的检测方法,其特征在于,还包括:
预先建立各用户注册的每个号码分别对应的短信历史特征表,所述短信历史特征表包括:正常短信历史特征表和可疑短信历史特征表。
6.根据权利要求5所述的检测方法,其特征在于,建立任一所述用户注册的任一号码对应的正常短信历史特征表,包括:
获取所述任一号码的历史短信集;所述历史短信集包括:在先接收到的发送号码为所述任一号码的预设数量的短信,或者,在预设时间段内接收到的发送号码为所述任一号码的各短信;
统计所述历史短信集包括的短信总数量、以及各短信内容出现所述各类非汉字字符的次数;
将各项统计值保存为所述任一号码对应的正常短信历史特征表。
7.一种移动终端异常行为的检测系统,其特征在于,包括:存储器和检测器;
所述存储器用于存储各用户注册的每个号码分别对应的短信历史特征表,所述短信历史特征表包括:正常短信历史特征表和可疑短信历史特征表;
所述检测器包括:
当前短信内容分析模块,用于在接收到任一移动终端发送的短信时,统计当前短信内容出现预设字符集中各类非汉字字符的次数;
可疑特征表更新模块,用于在所述当前短信内容出现的各类非汉字字符的总次数大于第一预设阈值时,根据所述当前短信内容的统计结果,更新所述当前短信发送号码对应的可疑短信历史特征表相应项的统计值;所述可疑短信历史特征表相应项包括:各类非汉字字符的次数以及可疑短信总数;
类别差异确定模块,用于当所述当前短信发送号码对应的可疑短信历史特征表中可疑短信总数的统计值大于第二预设阈值时,计算所述当前短信发送号码对应的正常短信历史特征库和可疑短信历史特征库中,包括的次数统计值不为0的非汉字字符的不同类别的数量
预警模块,用于在所述不同类别的数量大于第三预设阈值时,生成并向所述任一移动终端发送预警信息,所述预警信息用于提示所述任一移动终端行为发生异常。
8.根据权利要求7所述的系统,其特征在于,还包括:
正常特征表更新模块,用于在所述当前短信内容出现的各类非汉字字符的总次数小于或等于所述第一预设阈值时,根据所述当前短信内容的统计结果,更新所述当前短信发送号码对应的正常短信历史特征表相应项的统计值;所述正常短信历史特征表相应项包括:各类非汉字字符的次数以及正常短信总数。
9.根据权利要求7所述的系统,其特征在于,
所述预警模块,还用于在所述当前短信发送号码对应的可疑短信历史特征表中可疑短信总数的统计值小于或等于所述第二预设阈值时,不生成所述预警信息。
10.根据权利要求7所述的系统,其特征在于,
所述预警模块,还用于在所述不同类别的数量小于或等于所述第三预设阈值时,不生成所述预警信息。
11.根据权利要求7-10任一所述的系统,其特征在于,还包括:
学习模块,用于预先建立各用户注册的每个号码分别对应的短信历史特征表,所述短信历史特征表包括:正常短信历史特征表和可疑短信历史特征表。
12.根据权利要求11所述的系统,其特征在于,
所述学习模块,具体用于获取所述任一号码的历史短信集;所述历史短信集包括:在先接收到的发送号码为所述任一号码的预设数量的短信,或者,在预设时间段内接收到的发送号码为所述任一号码的各短信;统计所述历史短信集包括的短信总数量、以及各短信内容出现所述各类非汉字字符的次数;在所述存储器中将各项统计值保存为所述任一号码对应的正常短信历史特征表。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201110308627 CN102368842B (zh) | 2011-10-12 | 2011-10-12 | 移动终端异常行为的检测方法和检测系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201110308627 CN102368842B (zh) | 2011-10-12 | 2011-10-12 | 移动终端异常行为的检测方法和检测系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102368842A true CN102368842A (zh) | 2012-03-07 |
| CN102368842B CN102368842B (zh) | 2013-03-20 |
Family
ID=45761391
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201110308627 Active CN102368842B (zh) | 2011-10-12 | 2011-10-12 | 移动终端异常行为的检测方法和检测系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102368842B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102761872A (zh) * | 2012-08-01 | 2012-10-31 | 成都四方信息技术有限公司 | 一种垃圾短信拦截方法 |
| CN103365969A (zh) * | 2013-06-24 | 2013-10-23 | 北京奇虎科技有限公司 | 一种异常数据检测处理的方法和系统 |
| CN103916858A (zh) * | 2012-12-31 | 2014-07-09 | 中国移动通信集团广东有限公司 | 一种移动终端健康度判定方法及装置 |
| CN104980402A (zh) * | 2014-04-09 | 2015-10-14 | 腾讯科技(北京)有限公司 | 一种识别恶意操作的方法及装置 |
| CN105719079A (zh) * | 2016-01-20 | 2016-06-29 | 北京京东尚科信息技术有限公司 | 信息生成方法和装置 |
| CN105893501A (zh) * | 2016-03-30 | 2016-08-24 | 中国联合网络通信集团有限公司 | 信息查询短信处理方法和系统 |
| CN106162580A (zh) * | 2015-04-27 | 2016-11-23 | 小米科技有限责任公司 | 彩信的同步方法和装置 |
| CN108076032A (zh) * | 2016-11-15 | 2018-05-25 | 中国移动通信集团广东有限公司 | 一种异常行为用户识别方法及装置 |
| CN109146533A (zh) * | 2017-06-28 | 2019-01-04 | 北京京东尚科信息技术有限公司 | 信息推送方法和装置 |
| CN116996840A (zh) * | 2023-09-26 | 2023-11-03 | 北京百悟科技有限公司 | 短信审核方法、装置、设备和存储介质 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114040409B (zh) * | 2021-11-11 | 2023-06-06 | 中国联合网络通信集团有限公司 | 短信识别方法、装置、设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008053426A1 (en) * | 2006-10-31 | 2008-05-08 | International Business Machines Corporation | Identifying unwanted (spam) sms messages |
| CN101389085A (zh) * | 2008-10-14 | 2009-03-18 | 中国联合通信有限公司 | 基于发送行为的垃圾短消息识别系统及方法 |
| CN101784022A (zh) * | 2009-01-16 | 2010-07-21 | 北京炎黄新星网络科技有限公司 | 短信过滤、分类方法及系统 |
| CN102045652A (zh) * | 2009-10-21 | 2011-05-04 | 深圳市彩讯科技有限公司 | 基于特征相似度的垃圾短信拦截方法 |
-
2011
- 2011-10-12 CN CN 201110308627 patent/CN102368842B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008053426A1 (en) * | 2006-10-31 | 2008-05-08 | International Business Machines Corporation | Identifying unwanted (spam) sms messages |
| CN101389085A (zh) * | 2008-10-14 | 2009-03-18 | 中国联合通信有限公司 | 基于发送行为的垃圾短消息识别系统及方法 |
| CN101784022A (zh) * | 2009-01-16 | 2010-07-21 | 北京炎黄新星网络科技有限公司 | 短信过滤、分类方法及系统 |
| CN102045652A (zh) * | 2009-10-21 | 2011-05-04 | 深圳市彩讯科技有限公司 | 基于特征相似度的垃圾短信拦截方法 |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102761872A (zh) * | 2012-08-01 | 2012-10-31 | 成都四方信息技术有限公司 | 一种垃圾短信拦截方法 |
| CN103916858B (zh) * | 2012-12-31 | 2017-08-11 | 中国移动通信集团广东有限公司 | 一种移动终端健康度判定方法及装置 |
| CN103916858A (zh) * | 2012-12-31 | 2014-07-09 | 中国移动通信集团广东有限公司 | 一种移动终端健康度判定方法及装置 |
| CN106446021B (zh) * | 2013-06-24 | 2019-08-02 | 北京奇虎科技有限公司 | 一种异常数据检测处理的方法和系统 |
| CN103365969B (zh) * | 2013-06-24 | 2016-09-28 | 北京奇创优胜科技有限公司 | 一种异常数据检测处理的方法和系统 |
| CN103365969A (zh) * | 2013-06-24 | 2013-10-23 | 北京奇虎科技有限公司 | 一种异常数据检测处理的方法和系统 |
| CN106446021A (zh) * | 2013-06-24 | 2017-02-22 | 北京奇虎科技有限公司 | 一种异常数据检测处理的方法和系统 |
| CN104980402A (zh) * | 2014-04-09 | 2015-10-14 | 腾讯科技(北京)有限公司 | 一种识别恶意操作的方法及装置 |
| CN104980402B (zh) * | 2014-04-09 | 2020-02-21 | 腾讯科技(北京)有限公司 | 一种识别恶意操作的方法及装置 |
| CN106162580A (zh) * | 2015-04-27 | 2016-11-23 | 小米科技有限责任公司 | 彩信的同步方法和装置 |
| CN105719079A (zh) * | 2016-01-20 | 2016-06-29 | 北京京东尚科信息技术有限公司 | 信息生成方法和装置 |
| CN105893501A (zh) * | 2016-03-30 | 2016-08-24 | 中国联合网络通信集团有限公司 | 信息查询短信处理方法和系统 |
| CN108076032A (zh) * | 2016-11-15 | 2018-05-25 | 中国移动通信集团广东有限公司 | 一种异常行为用户识别方法及装置 |
| CN108076032B (zh) * | 2016-11-15 | 2020-11-06 | 中国移动通信集团广东有限公司 | 一种异常行为用户识别方法及装置 |
| CN109146533A (zh) * | 2017-06-28 | 2019-01-04 | 北京京东尚科信息技术有限公司 | 信息推送方法和装置 |
| CN109146533B (zh) * | 2017-06-28 | 2021-05-25 | 北京京东尚科信息技术有限公司 | 信息推送方法和装置 |
| CN116996840A (zh) * | 2023-09-26 | 2023-11-03 | 北京百悟科技有限公司 | 短信审核方法、装置、设备和存储介质 |
| CN116996840B (zh) * | 2023-09-26 | 2023-12-29 | 北京百悟科技有限公司 | 短信审核方法、装置、设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102368842B (zh) | 2013-03-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102368842B (zh) | 移动终端异常行为的检测方法和检测系统 | |
| CN103067896B (zh) | 垃圾短信过滤方法及装置 | |
| CN110125015B (zh) | 分拣方法、装置及计算机可读存储介质 | |
| CN105516499A (zh) | 一种对短信进行分类的方法、装置、通信终端及服务器 | |
| CN106294105B (zh) | 刷量工具检测方法和装置 | |
| EP3048539A1 (en) | Method and apparatus for recognizing junk messages | |
| CN100589599C (zh) | 消息群发系统及方法 | |
| CN104915327A (zh) | 一种文本信息的处理方法及装置 | |
| CN101389085B (zh) | 基于发送行为的垃圾短消息识别系统及方法 | |
| CN110704519A (zh) | 业务单据转换方法、装置、存储介质及计算机设备 | |
| CN104717674A (zh) | 号码属性识别方法、装置、终端和服务器 | |
| CN110460583B (zh) | 一种敏感信息记录方法及装置、电子设备 | |
| CN102647414A (zh) | 协议解析方法、设备及系统 | |
| CN101345654A (zh) | 一种指标计算方法和装置 | |
| CN105589845A (zh) | 垃圾文本识别方法、装置及系统 | |
| CN105101124A (zh) | 标注短信类别的方法及装置 | |
| CN104994219A (zh) | 一种数据处理方法和系统 | |
| CN111049985A (zh) | 终端的消息显示方法、移动终端和存储介质 | |
| KR20170006158A (ko) | 문자 메시지 부정 사용 탐지 방법 및 시스템 | |
| US20150095977A1 (en) | Method and device for processing charging data | |
| CN104994220A (zh) | 一种数据处理方法和系统 | |
| CN108924840B (zh) | 黑名单管理方法、装置及终端 | |
| CN105307134A (zh) | 一种短信监控方法及装置 | |
| CN106815772A (zh) | 电力数据上报方法及装置 | |
| CN104581660A (zh) | 处理短信服务信息的方法和相关通信系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |