CN107181745A - 恶意消息识别方法、装置、设备和计算机存储介质 - Google Patents
恶意消息识别方法、装置、设备和计算机存储介质 Download PDFInfo
- Publication number
- CN107181745A CN107181745A CN201710344549.6A CN201710344549A CN107181745A CN 107181745 A CN107181745 A CN 107181745A CN 201710344549 A CN201710344549 A CN 201710344549A CN 107181745 A CN107181745 A CN 107181745A
- Authority
- CN
- China
- Prior art keywords
- message
- feature
- identified
- malicious messages
- content
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/128—Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请提供一种恶意消息识别方法、装置、设备及计算机存储介质,所述方法包括:获取待识别消息;获取所述待识别消息的目标特征,所述目标特征至少包括四类特征:消息发送方特征、消息接收方特征、消息内容特征和消息传播特征;将所获取的目标特征输入至预设的恶意消息识别模型,利用所述恶意消息识别模型识别出所述待识别消息是否为恶意消息。本申请实施例不依赖于消息内容中的链接是否可以访问、是否存活,也不需要依赖木马检测引擎对木马的识别结果,也不需要访问攻击者服务端,因此能实现恶意消息的快速识别,并且识别效率较高。
Description
技术领域
本申请涉及互联网技术领域,尤其涉及恶意消息识别方法、装置、设备和计算机存储介质。
背景技术
随着互联网技术的快速发展,各种通讯系统的发明大大方便了用户之间的相互交流。各用户之间可以利用电子设备建立通信网络连接,并可以传递包括有文字、图像、语音或视频等等的通讯消息。
然而,随之而来的恶意消息也急剧泛滥,大量的恶意消息给用户带来了困扰。例如,恶意消息中往往携带不法分子的联系信息,以诱导用户访问某个钓鱼链接,以联系不法分子、查询不法信息、下载木马或转账等。
目前,越来越多的服务方提供恶意消息识别服务。相关技术中的一种方案,可以将消息中的链接内容发送到服务端,服务端通过访问该链接或下载对应的木马等方式,以分析该链接是否恶意,进而分析该消息是否是恶意消息。
但该方案可能存在的问题有:恶意消息中的链接可能在传播之后的短时间内即失效,失效后服务端可能无法获取相应的信息;恶意消息中的链接可能根据访问者的IP信息、访问者使用的设备信息、访问者访问的时间等进行针对性的隐藏,使得服务端访问时该链接正常,但用户访问该链接时中招。另外,恶意链接中对应的木马可能通过加壳、下载攻击代码等方式绕过现有的木马检测引擎。因此,如何快速有效识别恶意消息成为亟需解决的问题。
发明内容
为克服相关技术中存在的问题,本申请提供了恶意消息识别方法、装置、设备和计算机存储介质方法。
一种恶意消息识别方法,所述方法包括:
获取待识别消息;
获取所述待识别消息的目标特征,所述目标特征至少包括四类特征:消息发送方特征、消息接收方特征、消息内容特征和消息传播特征;
将所获取的目标特征输入至预设的恶意消息识别模型,利用所述恶意消息识别模型识别出所述待识别消息是否为恶意消息。
可选的,所述消息发送方特征包括如下一种或多种特征:
消息发送方的账号相关特征;
消息发送方的联系方式特征;
消息发送方的注册信息相关特征;
指示所述消息发送方是否关联有预设标签的特征,所述预设标签包括如下一种或多种标签:批量注册的垃圾账户、实名账户、被投诉过的账户、登记有发送过恶意消息记录或发送过恶意行为。
可选的,所述消息接收方特征包括如下一种或多种特征:
指示所述消息接收方的位置是否与所述消息接收方关联的其他消息接收方在同一地区的特征;
指示所述消息接收方是否与所述其他消息接收方同属于预设组织的特征;
指示所述消息接收方是否与所述其他消息接收方具有相同行为的特征。
可选的,所述消息内容历史特征包括如下一种或多种特征:
指示所述消息内容是否为历史出现内容的特征;
指示所述消息内容是否为已被识别为恶意消息内容的特征;
指示所述消息内容是否为已被举报为恶意消息内容的特征。
可选的,所述消息传播特征包括如下一种或多种特征:
所述待识别消息以及与所述待识别消息关联的其他消息传播过程的速度特征;
所述待识别消息以及与所述其他消息传播过程的发散特征;
所述待识别消息以及与所述其他消息传播过程的周期特征;
可选的,所述恶意消息识别模型是利用样本数据对机器学习模型训练得到的。
一种恶意消息识别装置,所述装置包括:
消息获取模块,用于:获取待识别消息;
特征获取模块,用于:获取所述待识别消息的目标特征,所述目标特征至少包括四类特征:消息发送方特征、消息接收方特征、消息内容特征和消息传播特征;
识别模块,用于:将所获取的目标特征输入至预设的恶意消息识别模型,利用所述恶意消息识别模型识别出所述待识别消息是否为恶意消息。
可选的,所述消息发送方特征包括如下一种或多种特征:
消息发送方的账号相关特征;
消息发送方的联系方式特征;
消息发送方的注册信息相关特征;
指示所述消息发送方是否关联有预设标签的特征,所述预设标签包括如下一种或多种标签:批量注册的垃圾账户、实名账户、被投诉过的账户、登记有发送过恶意消息记录或发送过恶意行为。
可选的,所述消息接收方特征包括如下一种或多种特征:
指示所述消息接收方的位置是否与所述消息接收方关联的其他消息接收方在同一地区的特征;
指示所述消息接收方是否与所述其他消息接收方同属于预设组织的特征;
指示所述消息接收方是否与所述其他消息接收方具有相同行为的特征。
可选的,所述消息内容历史特征包括如下一种或多种特征:
指示所述消息内容是否为历史出现内容的特征;
指示所述消息内容是否为已被识别为恶意消息内容的特征;
指示所述消息内容是否为已被举报为恶意消息内容的特征。
可选的,所述消息传播特征包括如下一种或多种特征:
所述待识别消息以及与所述待识别消息关联的其他消息传播过程的速度特征;
所述待识别消息以及与所述其他消息传播过程的发散特征;
所述待识别消息以及与所述其他消息传播过程的周期特征;
可选的,所述恶意消息识别模型是利用样本数据对机器学习模型训练得到的。
一种计算机设备,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为:
获取待识别消息;
获取所述待识别消息的目标特征,所述目标特征至少包括四类特征:消息发送方特征、消息接收方特征、消息内容特征和消息传播特征;
将所获取的目标特征输入至预设的恶意消息识别模型,利用所述恶意消息识别模型识别出所述待识别消息是否为恶意消息。
一种计算机存储介质,所述存储介质中存储有程序指令,所述程序指令包括:
获取待识别消息;
获取所述待识别消息的目标特征,所述目标特征至少包括四类特征:消息发送方特征、消息接收方特征、消息内容特征和消息传播特征;
将所获取的目标特征输入至预设的恶意消息识别模型,利用所述恶意消息识别模型识别出所述待识别消息是否为恶意消息。
本申请的实施例提供的技术方案可以包括以下有益效果:
本申请实施例中,利用预设的恶意消息识别模型,通过获取待识别消息的至少四类特征:消息发送方特征、消息接收方特征、消息内容特征和消息传播特征,对待识别消息进行是否为恶意消息的识别。由于此类特征从消息本身进行获取,通过上述至少四个维度的特征描述一条消息,相对于相关技术,这些特征不依赖于消息内容中的链接是否可以访问、是否存活,也不需要依赖木马检测引擎对木马的识别结果,也不需要访问攻击者服务端,因此能实现恶意消息的快速识别,整个识别过程中攻击者无感之,并且识别效率较高。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1A是本申请根据一示例性实施例示出的一种恶意消息识别方法的应用场景图。
图1B是本申请根据一示例性实施例示出的一种恶意消息识别方法的流程图。
图2是本申请根据一示例性实施例示出的另一种恶意消息识别方法的流程图。
图3是本申请恶意消息识别装置所在计算机设备的一种硬件结构图。
图4是本申请根据一示例性实施例示出的一种恶意消息识别装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
随着电子设备技术的发展,电子设备的使用在人们日常生活中越来越频繁。个人计算机、平板电脑及智能手机等具备网络通讯功能的设备,可以安装短信客户端、邮箱客户端或即时通讯客户端等客户端,从而为用户提供通讯交流服务。
如图1A所示,图1A是本申请根据一示例性实施例示出的一种恶意消息识别方法的应用场景图,图1A中包括:
一消息发送方(即发送消息的一方),以及该消息发送方所配置的用于发送消息的设备。
一消息接收方(即接收消息的一方),以及该消息接收方所持有的电子设备,该电子设备在图1A中以智能手机为例进行示意;该电子设备中安装有提供通讯交流服务的通讯客户端。
一提供上述通讯客户端的服务方,以及该服务方所配置的与上述客户端对应的服务端。
可以理解,图1A中的所涉及的用户、电子设备和服务端的数量仅仅是示意性的,实际应用中可以具有任意数量的用户、电子设备和服务端。
本申请实施例所提供的恶意消息识别方案,采用预先训练的模型对消息进行识别,模型的目标特征采用消息发送方特征、消息接收方特征、消息内容特征和消息传播特征,由于此类特征从消息本身进行获取,并且是从多个维度对消息进行刻画,不需要依靠服务端对攻击者服务端的访问和资源读取来进行判断,识别的速度较快,整个识别过程中攻击者无感之,识别准确率较高。接下来对本申请实施例进行详细说明。
如图1B所示,图1B是本申请根据一示例性实施例示出的一种恶意消息识别方法的流程图,包括如下步骤101至103:
在步骤101中,获取待识别消息。
在步骤102中,获取所述待识别消息的目标特征,所述目标特征至少包括四类特征:消息发送方特征、消息接收方特征、消息内容特征和消息传播特征。
在步骤103中,将所获取的目标特征输入至预设的恶意消息识别模型,利用所述恶意消息识别模型识别出所述待识别消息是否为恶意消息。
本申请实施例的方法可应用于电子设备中所安装的客户端,由客户端对接收到的通讯消息进行识别;其中,对于电子设备的厂商,其提供的客户端可能具有读取电子设备中其他客户端的通讯消息的权限,该客户端也可以识别其他客户端的通讯消息是否为恶意消息。在另一些例子中,也可以是应用于与客户端对应的服务端中,客户端可以获取待识别消息并将待识别消息发送给服务端,由服务端对消息进行识别。另一方面,消息的识别时机可以是消息接收后实时识别,也可以是按照一定策略,在消息接收后的某段时间进行识别等等。在实际应用中,可以结合具体需要,对本实施例方案进行灵活配置。
本申请实施例可以预先训练有恶意消息识别模型,该恶意消息识别模型可以设置于电子设备中,也可以设置于服务端中。在一些例子中,恶意消息模型可以由服务方预先进行训练,训练后的恶意消息模型可以存储在电子设备中,以用于识别恶意消息。例如,在对恶意消息进行识别时,可以由服务端进行恶意消息识别后返回是否为恶意消息的结果,也可以是由电子设备利用恶意消息模型对恶意消息进行识别,直接判断所接收的消息是否为恶意消息。
接下来对恶意消息识别模型进行说明。本实施例中,服务方可以预先准备用于训练的样本数据。样本数据可以包括正常消息样本和恶意消息样本。正常消息样本的获取可以通过收集被用户标记的或服务方的技术人员标记的正常消息、或者是收集历史正常消息、或者是从网络数据库中正常消息模板等方式得到。而恶意消息样本的获取则可以通过收集被用户投诉或举报的消息、或者是实际发生诈骗案件的恶意消息、或者是利用已有的识别方案识别出的恶意消息、或者是网络数据库中恶意消息模板等方式得到等等。实际应用中,可以从多个关联的电子设备获取消息作为消息样本,也可以从服务方所配置的服务器或数据库中保存的消息记录中获取消息样本。通常,样本数据需要达到一定的数量以保证训练出的模型的精确度,而消息样本越多,则模型的精确度可能越高。另一方面,当恶意消息识别模型训练好后开始应用,对用户接收的待识别消息进行识别,而模型开始投入应用后,所接收的各种消息及识别结果也可以作为样本,从实现对恶意消息识别模型的持续训练及优化。
在准备有上述样本数据后,恶意消息识别模型可以利用样本数据对机器学习模型训练得到。在训练过程中,训练一个准确率较高的合适的模型,需要依赖于特征选择和模型选择。其中,机器学习模型可以包括逻辑回归模型、随机森林模型、贝叶斯方法模型、支持向量机模型或神经网络模型等等,模型的选择影响最终所训练得到的识别模型的精确度,因此,实际应用中可以选择多种模型进行训练,而训练过程较为耗时,需要复杂、迭代,经常不断的去试错和重复。在一个可选的实现方式中,本实施例可以采用GDBT(GradientBoosting Decision Tree)回归模型。
训练过程的另一方面,是选取合适的特征。本实施例中所确定的特征,可以包括有消息发送方特征、消息接收方特征、消息内容特征和消息传播特征等等。
在消息通讯过程中,消息由消息发送方发出,发送方是正常用户或是恶意攻击者,消息发送方的相关信息可能不同。例如,恶意攻击者可能采用虚拟号码发送短信、恶意攻击者的手机号码归属地可能在偏远位置、恶意攻击者所采用的账号可能注册时间较短、恶意攻击者的注册账户的活跃度可能较低、恶意攻击者的注册账户可能不是实名账户等等。因此,消息发送方的相关信息可以作为一类识别因素。
相应的,消息被发送给消息接收方,恶意攻击者所针对的接收者可能具有某些特定的特征,因此,消息接收方的相关信息也可以作为一类识别因素。例如,实际应用中,可能基于某些原因发生用户的联系方式泄露,这些泄露的用户可能是同一个学校的学生、同一个企业的员工、或者是同一个通讯群组中的成员等等,恶意攻击者根据这些接收方的联系方式发出恶意消息。
另一方面,考虑到恶意消息的内容通常包括有虚假内容、诱骗内容、钓鱼链接、恶意攻击者的联系方式等等,因此消息内容特征也可以作为一类识别因素。
通过分析已有的发生恶意攻击的行为数据,通常恶意攻击者可能会在一段时间内集中向多个接收方发出恶意消息、也有可能是针对某些特定时期发送相关主题的恶意消息(例如新春红包活动、双十一购物节或跨年活动等),因此,消息传播特征也可以作为一类识别因素。
通过上述方式,服务方准备好样本数据,选取好目标特征和模型,即可预先训练出恶意消息识别模型,在恶意消息识别模型训练完成后,该恶意消息识别模型可以设置于电子设备中或者也可以设置于服务端中,在需要时,对待识别消息进行是否为恶意消息的识别。
本申请实施例中的待识别消息可以包括多种类型的通讯消息,例如基于移动通信网络的短信息、邮件、即时通讯消息或第三方平台的通讯消息(例如网购平台中的用户发布的评论消息、用户发布的产品营销消息)等等。消息的类型可以包括文字、语音、视频或图像等等。
具体的识别过程,可以获取待识别消息的目标特征,并输入至该恶意消息识别模型中进行识别。可以理解,待识别消息的目标特征与训练过程中所使用的特征类型相同,本实施例的目标特征至少包括四类特征:消息发送方特征、消息接收方特征、消息内容特征和消息传播特征,接下来对该四类特征的获取过程进行说明。
第一类、消息发送方特征。获取该类特征的方式可以有多种形式,若待识别消息是短信息,可以提取消息发送方的通信号码;若待识别消息是邮件,可以提取消息发送方的邮箱账号;若待识别消息是即时通讯消息,可以提取消息发送方在该即时通讯服务方所注册的账号等等。
在一个可选的实现方式中,所述消息发送方特征包括如下一种或多种特征:
消息发送方的账号相关特征;例如账号本身的字符串或数字特征等等。
消息发送方的联系方式特征;联系方式可以包括电话号码、家庭地址、采用电话号码注册的账号,还可以包括电话号码的归属地等等。
消息发送方的注册信息相关特征;例如账号的注册时间或注册地点、注册时所提交的个人信息等等。
指示所述消息发送方是否关联有预设标签的特征,所述预设标签包括如下一种或多种标签:批量注册的垃圾账户、实名账户、被投诉过的账户、登记有发送过恶意消息记录或发生过恶意行为。本实施例中,可以通过已有的历史数据,确定批量注册的垃圾账户、被投诉过的账户、登记有发送过恶意消息记录或发生过恶意行为的账户;另一方面,可以根据注册用户的账户信息,确定已实名账户。针对上述需要关注的特征,可以设定相应的标签。在获取特征时,可以消息发送方的相关信息是否与上述预设标签相关联。例如,获取到消息发送方的账号,该账号指示对应账户为被投诉过的账户,确定获取到指示该消息发送方关联有被投诉过的账户标签的特征。
第二类、消息接收方特征。实际应用中,获取该类特征的方式可以有多种形式,若待识别消息是短信息,可以提取消息接收方的通信号码;若待识别消息是邮件,可以提取消息接收方的邮箱账号;若待识别消息是即时通讯消息,可以提取消息接收方在该即时通讯服务方所注册的账号等等。
在一个可选的实现方式中,所述消息接收方特征包括如下一种或多种特征:
指示所述消息接收方的位置是否与所述消息接收者关联的其他消息接收方在同一地区的特征。本实施例中,恶意消息有可能通过伪基站发送给同一地区的多个用户,这些相同地区的用户可能会接收到内容相似的恶意消息。针对此种情况,与所述消息接收者关联的其他消息接收方可以是指一定时间内接收到内容相似或相同消息的各个消息接收方,对于待识别消息,可以确定消息接收方与其他消息接收方是否在同一地区,并获取到相应特征。
指示所述消息接收方是否与所述其他消息接收方同属于预设组织的特征。本实施例中,预设组织可以是相同的聊天群组等虚拟组织,也可以是指相同学校、企业等实体组织。由于考虑到可能基于某些原因发生用户联系方式泄露,这些泄露的用户可能是同一个学校的学生、同一个企业的员工、或者是同一个通讯群组中的成员等等。因此,对于待识别消息,可以确定消息接收方与其他关联的消息接收方是否在同属于预设组织,并获取到相应特征。
指示所述消息接收方是否与所述其他消息接收方具有相同行为的特征。本实施例中,考虑到可能出现订单诈骗,该相同行为可以包括是否购买了同一商户的商品;考虑到可能是钓鱼wifi诈骗,该相同行为可以包括是否都连接过某一可疑wifi等等。因此,对于待识别消息,可以确定消息接收方与其他消息接收方是否具有相同行为,并获取到相应特征。
第三类、消息内容特征。本实施例中,可以从待识别消息中提取全部或部分消息内容作为消息内容特征,还可以包括消息长度、是否包括网址、是否包括敏感字词、是否包括银行卡号等等。
在一个可选的实现方式中,所述消息内容历史特征包括如下一种或多种特征:
指示所述消息内容是否为历史出现内容的特征。例如可以利用已有的历史消息数据,确定消息内容是新出现的内容,还是为已出现过的,属于历史出现内容。
指示所述消息内容是否为已被识别为恶意消息内容的特征。指示所述消息内容是否为已被举报为恶意消息内容的特征。本实施例中,可以利用已有的包括有恶意消息的历史消息数据,确定消息内容是否为已被识别为恶意消息内容,或者是已被举报为恶意消息内容,并获取到相应特征。
第四类、消息传播特征。本实施例中,可以获取待识别消息的发送时间或接收方的所处位置等,获取相关的消息传播特征。
在一个可选的实现方式中,所述消息传播特征包括如下一种或多种特征:
所述待识别消息以及与所述待识别消息关联的其他消息传播过程的速度特征。例如,根据与所述待识别消息关联的其他消息的数量及发送时间,确定消息的速度是爆发性传播,还是平缓传播等等。
所述待识别消息以及与所述其他消息传播过程的发散特征。例如,根据消息接收方的所处位置,以及其他消息的接收方的所处位置,确定消息传播是点对点传播,还是由中心节点发散传播等等。
所述待识别消息以及与所述其他消息传播过程的周期特征。例如,根据消息的发送时间,确定是否与某些设定周期匹配,如随着双十一、新春红包活动临近而爆发,随着活动结束而消失等等。
由上述实施例可见,本实施例采用预先训练的模型对消息进行识别,模型的目标特征采用消息发送方特征、消息接收方特征、消息内容特征和消息传播特征,由于此类特征从消息本身进行获取,并且是从多个维度对消息进行刻画,不需要依靠服务端对攻击者服务端的访问和资源读取来进行判断,因此识别的速度较快,整个识别过程中攻击者无感之,识别准确率更高。
如图2所示,是本申请根据一示例性实施例示出的另一种恶意消息识别方法的流程图,图2中的恶意消息以恶意短信为例,当恶意链接服务端生成恶意链接,由恶意短信发送者发送一条含有恶意链接的短信至接收者的电子设备时,电子设备可以提取短信的详细特征(例如短信发送者特征、短信接收者特征、短信发送时间特征、短信链接特征、短信中链接的传播特征、短信中链接的历史特征、短信内容特征等等),恶意短信检测服务端可以将特征抽样为模型指标,并输入至恶意消息识别模型中,由识别模型进行相关运算,服务端获取模型识别结果,根据识别结果,服务端可以向接收者的电子设备返回该短信是否安全的消息,以指示电子设备是否对该用户进行保护。
由上述实施例可见,恶意短信检测服务端不再依靠对攻击者服务端的访问和资源读取来判断短信是否为恶意短信,整个过程攻击者无感之也无法隐藏。
与前述恶意消息识别方法的实施例相对应,本申请还提供了恶意消息识别装置及其所应用的计算机设备的实施例。
本申请恶意消息识别装置的实施例可以应用在计算机设备上,例如服务器或终端设备。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在恶意消息识别的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图3所示,为本申请恶意消息识别装置所在计算机设备的一种硬件结构图,除了图3所示的处理器310、内存330、网络接口320、以及非易失性存储器340之外,实施例中装置331所在的计算机设备,通常根据该服务器或电子设备的实际功能,还可以包括其他硬件,对此不再赘述。
如图4所示,图4是本申请根据一示例性实施例示出的一种恶意消息识别装置的框图,所述装置包括:
消息获取模块41,用于:获取待识别消息。
特征获取模块42,用于:获取所述待识别消息的目标特征,所述目标特征至少包括四类特征:消息发送方特征、消息接收方特征、消息内容特征和消息传播特征。
识别模块43,用于:将所获取的目标特征输入至预设的恶意消息识别模型,利用所述恶意消息识别模型识别出所述待识别消息是否为恶意消息。
可选的,所述消息发送方特征包括如下一种或多种特征:
消息发送方的账号相关特征。
消息发送方的联系方式特征。
消息发送方的注册信息相关特征。
指示所述消息发送方是否关联有预设标签的特征,所述预设标签包括如下一种或多种标签:批量注册的垃圾账户、实名账户、被投诉过的账户、登记有发送过恶意消息记录或发送过恶意行为。
可选的,所述消息接收方特征包括如下一种或多种特征:
指示所述消息接收方的位置是否与所述消息接收方关联的其他消息接收方在同一地区的特征。
指示所述消息接收方是否与所述其他消息接收方同属于预设组织的特征。
指示所述消息接收方是否与所述其他消息接收方具有相同行为的特征。
可选的,所述消息内容历史特征包括如下一种或多种特征:
指示所述消息内容是否为历史出现内容的特征。
指示所述消息内容是否为已被识别为恶意消息内容的特征。
指示所述消息内容是否为已被举报为恶意消息内容的特征。
可选的,所述消息传播特征包括如下一种或多种特征:
所述待识别消息以及与所述待识别消息关联的其他消息传播过程的速度特征。
所述待识别消息以及与所述其他消息传播过程的发散特征。
所述待识别消息以及与所述其他消息传播过程的周期特征。
可选的,所述恶意消息识别模型是利用样本数据对机器学习模型训练得到的。
上述恶意消息识别装置中各个模块的功能和作用的实现过程具体详见上述恶意消息识别方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
相应的,本申请实施例还提供一种装置,包括:处理器;用于存储处理器可执行指令的存储器;其中,所述处理器被配置为:
获取待识别消息。
获取所述待识别消息的目标特征,所述目标特征至少包括四类特征:消息发送方特征、消息接收方特征、消息内容特征和消息传播特征。
将所获取的目标特征输入至预设的恶意消息识别模型,利用所述恶意消息识别模型识别出所述待识别消息是否为恶意消息。
本申请实施例还提供一种计算机存储介质,所述存储介质中存储有程序指令,所述程序指令包括:
获取待识别消息。
获取所述待识别消息的目标特征,所述目标特征至少包括四类特征:消息发送方特征、消息接收方特征、消息内容特征和消息传播特征。
将所获取的目标特征输入至预设的恶意消息识别模型,利用所述恶意消息识别模型识别出所述待识别消息是否为恶意消息。
本申请实施例可采用在一个或多个其中包含有程序代码的存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。计算机可用存储介质包括永久性和非永久性、可移动和非可移动媒体,可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括但不限于:相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
本领域技术人员在考虑说明书及实践这里申请的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未申请的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (14)
1.一种恶意消息识别方法,所述方法包括:
获取待识别消息;
获取所述待识别消息的目标特征,所述目标特征至少包括四类特征:消息发送方特征、消息接收方特征、消息内容特征和消息传播特征;
将所获取的目标特征输入至预设的恶意消息识别模型,利用所述恶意消息识别模型识别出所述待识别消息是否为恶意消息。
2.根据权利要求1所述的方法,所述消息发送方特征包括如下一种或多种特征:
消息发送方的账号相关特征;
消息发送方的联系方式特征;
消息发送方的注册信息相关特征;
指示所述消息发送方是否关联有预设标签的特征,所述预设标签包括如下一种或多种标签:批量注册的垃圾账户、实名账户、被投诉过的账户、登记有发送过恶意消息记录或发送过恶意行为。
3.根据权利要求1所述的方法,所述消息接收方特征包括如下一种或多种特征:
指示所述消息接收方的位置是否与所述消息接收方关联的其他消息接收方在同一地区的特征;
指示所述消息接收方是否与所述其他消息接收方同属于预设组织的特征;
指示所述消息接收方是否与所述其他消息接收方具有相同行为的特征。
4.根据权利要求1所述的方法,所述消息内容历史特征包括如下一种或多种特征:
指示所述消息内容是否为历史出现内容的特征;
指示所述消息内容是否为已被识别为恶意消息内容的特征;
指示所述消息内容是否为已被举报为恶意消息内容的特征。
5.根据权利要求1所述的方法,所述消息传播特征包括如下一种或多种特征:
所述待识别消息以及与所述待识别消息关联的其他消息传播过程的速度特征;
所述待识别消息以及与所述其他消息传播过程的发散特征;
所述待识别消息以及与所述其他消息传播过程的周期特征。
6.根据权利要求1所述的方法,所述恶意消息识别模型是利用样本数据对机器学习模型训练得到的。
7.一种恶意消息识别装置,所述装置包括:
消息获取模块,用于:获取待识别消息;
特征获取模块,用于:获取所述待识别消息的目标特征,所述目标特征至少包括四类特征:消息发送方特征、消息接收方特征、消息内容特征和消息传播特征;
识别模块,用于:将所获取的目标特征输入至预设的恶意消息识别模型,利用所述恶意消息识别模型识别出所述待识别消息是否为恶意消息。
8.根据权利要求7所述的装置,所述消息发送方特征包括如下一种或多种特征:
消息发送方的账号相关特征;
消息发送方的联系方式特征;
消息发送方的注册信息相关特征;
指示所述消息发送方是否关联有预设标签的特征,所述预设标签包括如下一种或多种标签:批量注册的垃圾账户、实名账户、被投诉过的账户、登记有发送过恶意消息记录或发送过恶意行为。
9.根据权利要求7所述的装置,所述消息接收方特征包括如下一种或多种特征:
指示所述消息接收方的位置是否与所述消息接收方关联的其他消息接收方在同一地区的特征;
指示所述消息接收方是否与所述其他消息接收方同属于预设组织的特征;
指示所述消息接收方是否与所述其他消息接收方具有相同行为的特征。
10.根据权利要求7所述的装置,所述消息内容历史特征包括如下一种或多种特征:
指示所述消息内容是否为历史出现内容的特征;
指示所述消息内容是否为已被识别为恶意消息内容的特征;
指示所述消息内容是否为已被举报为恶意消息内容的特征。
11.根据权利要求7所述的装置,所述消息传播特征包括如下一种或多种特征:
所述待识别消息以及与所述待识别消息关联的其他消息传播过程的速度特征;
所述待识别消息以及与所述其他消息传播过程的发散特征;
所述待识别消息以及与所述其他消息传播过程的周期特征。
12.根据权利要求7所述的装置,所述恶意消息识别模型是利用样本数据对机器学习模型训练得到的。
13.一种计算机设备,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为:
获取待识别消息;
获取所述待识别消息的目标特征,所述目标特征至少包括四类特征:消息发送方特征、消息接收方特征、消息内容特征和消息传播特征;
将所获取的目标特征输入至预设的恶意消息识别模型,利用所述恶意消息识别模型识别出所述待识别消息是否为恶意消息。
14.一种计算机存储介质,所述存储介质中存储有程序指令,所述程序指令包括:
获取待识别消息;
获取所述待识别消息的目标特征,所述目标特征至少包括四类特征:消息发送方特征、消息接收方特征、消息内容特征和消息传播特征;
将所获取的目标特征输入至预设的恶意消息识别模型,利用所述恶意消息识别模型识别出所述待识别消息是否为恶意消息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710344549.6A CN107181745A (zh) | 2017-05-16 | 2017-05-16 | 恶意消息识别方法、装置、设备和计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710344549.6A CN107181745A (zh) | 2017-05-16 | 2017-05-16 | 恶意消息识别方法、装置、设备和计算机存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107181745A true CN107181745A (zh) | 2017-09-19 |
Family
ID=59832127
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710344549.6A Pending CN107181745A (zh) | 2017-05-16 | 2017-05-16 | 恶意消息识别方法、装置、设备和计算机存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107181745A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108228704A (zh) * | 2017-11-03 | 2018-06-29 | 阿里巴巴集团控股有限公司 | 识别风险内容的方法及装置、设备 |
| CN108418825A (zh) * | 2018-03-16 | 2018-08-17 | 阿里巴巴集团控股有限公司 | 风险模型训练、垃圾账号检测方法、装置以及设备 |
| CN109525595A (zh) * | 2018-12-25 | 2019-03-26 | 广州华多网络科技有限公司 | 一种基于时间流特征的黑产账号识别方法及设备 |
| CN109525950A (zh) * | 2018-11-01 | 2019-03-26 | 北京小米移动软件有限公司 | 伪基站短信息处理方法、设备及存储介质 |
| CN109992179A (zh) * | 2018-12-25 | 2019-07-09 | 阿里巴巴集团控股有限公司 | 会话记录查找方法以及装置 |
| CN110875875A (zh) * | 2018-09-03 | 2020-03-10 | Oppo广东移动通信有限公司 | 电子红包消息检测方法、检测装置及终端设备 |
| CN110917626A (zh) * | 2019-11-29 | 2020-03-27 | 武汉极意网络科技有限公司 | 基于机器学习的游戏盗量监督方法和装置 |
| CN111385655A (zh) * | 2018-12-29 | 2020-07-07 | 武汉斗鱼网络科技有限公司 | 一种广告弹幕检测方法、装置、服务器及存储介质 |
| CN111385247A (zh) * | 2018-12-28 | 2020-07-07 | 广州市百果园信息技术有限公司 | 用户行为分类方法、装置、存储介质及服务器 |
| CN111786937A (zh) * | 2020-01-16 | 2020-10-16 | 北京沃东天骏信息技术有限公司 | 用于识别恶意请求的方法和装置 |
| EP3918500B1 (en) * | 2019-03-05 | 2024-04-24 | Siemens Industry Software Inc. | Machine learning-based anomaly detections for embedded software applications |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011079530A1 (zh) * | 2010-01-04 | 2011-07-07 | 阿尔卡特朗讯 | 一种用于筛选信息的方法及装置 |
| CN102790752A (zh) * | 2011-05-20 | 2012-11-21 | 盛乐信息技术(上海)有限公司 | 一种基于特征识别的欺诈信息过滤系统及方法 |
| CN103678331A (zh) * | 2012-09-05 | 2014-03-26 | 阿里巴巴集团控股有限公司 | 举报信息处理的方法与举报信息处理装置 |
| CN106559761A (zh) * | 2015-09-28 | 2017-04-05 | 中国移动通信集团公司 | 一种信息处理方法及终端、服务器 |
-
2017
- 2017-05-16 CN CN201710344549.6A patent/CN107181745A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011079530A1 (zh) * | 2010-01-04 | 2011-07-07 | 阿尔卡特朗讯 | 一种用于筛选信息的方法及装置 |
| CN102790752A (zh) * | 2011-05-20 | 2012-11-21 | 盛乐信息技术(上海)有限公司 | 一种基于特征识别的欺诈信息过滤系统及方法 |
| CN103678331A (zh) * | 2012-09-05 | 2014-03-26 | 阿里巴巴集团控股有限公司 | 举报信息处理的方法与举报信息处理装置 |
| CN106559761A (zh) * | 2015-09-28 | 2017-04-05 | 中国移动通信集团公司 | 一种信息处理方法及终端、服务器 |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108228704A (zh) * | 2017-11-03 | 2018-06-29 | 阿里巴巴集团控股有限公司 | 识别风险内容的方法及装置、设备 |
| CN108228704B (zh) * | 2017-11-03 | 2021-07-13 | 创新先进技术有限公司 | 识别风险内容的方法及装置、设备 |
| CN108418825A (zh) * | 2018-03-16 | 2018-08-17 | 阿里巴巴集团控股有限公司 | 风险模型训练、垃圾账号检测方法、装置以及设备 |
| CN108418825B (zh) * | 2018-03-16 | 2021-03-19 | 创新先进技术有限公司 | 风险模型训练、垃圾账号检测方法、装置以及设备 |
| CN110875875B (zh) * | 2018-09-03 | 2022-04-22 | Oppo广东移动通信有限公司 | 电子红包消息检测方法、检测装置及终端设备 |
| CN110875875A (zh) * | 2018-09-03 | 2020-03-10 | Oppo广东移动通信有限公司 | 电子红包消息检测方法、检测装置及终端设备 |
| CN109525950A (zh) * | 2018-11-01 | 2019-03-26 | 北京小米移动软件有限公司 | 伪基站短信息处理方法、设备及存储介质 |
| CN109992179A (zh) * | 2018-12-25 | 2019-07-09 | 阿里巴巴集团控股有限公司 | 会话记录查找方法以及装置 |
| CN109525595A (zh) * | 2018-12-25 | 2019-03-26 | 广州华多网络科技有限公司 | 一种基于时间流特征的黑产账号识别方法及设备 |
| CN111385247A (zh) * | 2018-12-28 | 2020-07-07 | 广州市百果园信息技术有限公司 | 用户行为分类方法、装置、存储介质及服务器 |
| CN111385247B (zh) * | 2018-12-28 | 2022-07-08 | 广州市百果园信息技术有限公司 | 用户行为分类方法、装置、存储介质及服务器 |
| CN111385655A (zh) * | 2018-12-29 | 2020-07-07 | 武汉斗鱼网络科技有限公司 | 一种广告弹幕检测方法、装置、服务器及存储介质 |
| EP3918500B1 (en) * | 2019-03-05 | 2024-04-24 | Siemens Industry Software Inc. | Machine learning-based anomaly detections for embedded software applications |
| CN110917626A (zh) * | 2019-11-29 | 2020-03-27 | 武汉极意网络科技有限公司 | 基于机器学习的游戏盗量监督方法和装置 |
| CN111786937A (zh) * | 2020-01-16 | 2020-10-16 | 北京沃东天骏信息技术有限公司 | 用于识别恶意请求的方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107181745A (zh) | 恶意消息识别方法、装置、设备和计算机存储介质 | |
| Bartoletti et al. | Cryptocurrency scams: analysis and perspectives | |
| CN106453061B (zh) | 一种识别网络诈骗行为的方法及系统 | |
| Behdad et al. | Nature-inspired techniques in the context of fraud detection | |
| CN105187394B (zh) | 具有移动终端恶意软件行为检测能力的代理服务器及方法 | |
| CN106549974A (zh) | 预测社交网络账户是否恶意的设备、方法及系统 | |
| US8997229B1 (en) | Anomaly detection for online endorsement event | |
| Vines et al. | Exploring ADINT: using ad targeting for surveillance on a budget-or-how alice can buy ads to track bob | |
| Stringhini et al. | The harvester, the botmaster, and the spammer: On the relations between the different actors in the spam landscape | |
| CN107704497A (zh) | 网页数据爬取方法、装置、网页数据爬取平台及存储介质 | |
| CN109523289A (zh) | 一种提升拓客销售效率的ai智能名片系统及管理方法 | |
| CN104866296B (zh) | 数据处理方法和装置 | |
| US11620663B2 (en) | Network profile generation | |
| US20230179628A1 (en) | Conversation-depth social engineering attack detection using attributes from automated dialog engagement | |
| Liccardi et al. | Improving mobile app selection through transparency and better permission analysis | |
| US20090209275A1 (en) | Message robot | |
| Abulaish et al. | Socialbots: Impacts, threat-dimensions, and defense challenges | |
| CN111712817B (zh) | 用于基于系统调用的进程监视的空间和时间卷积网络 | |
| Dhanapal et al. | Credit card fraud detection using decision tree for tracing Email and IP | |
| CN110245059A (zh) | 一种数据处理方法、设备及存储介质 | |
| CN108428027A (zh) | 事件处理方法及装置 | |
| Wang et al. | Toad in the hole or mapo tofu? comparative analysis of english and chinese darknet markets | |
| Yue et al. | Social media users send promotional links to strangers: legitimate promotion or security vulnerability? | |
| CN106878249B (zh) | 非法用途资源的识别方法和装置 | |
| CN107332856A (zh) | 地址信息的检测方法、装置、存储介质和电子装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1244364 Country of ref document: HK |
|
| TA01 | Transfer of patent application right |
Effective date of registration: 20200922 Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands Applicant after: Innovative advanced technology Co.,Ltd. Address before: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands Applicant before: Advanced innovation technology Co.,Ltd. Effective date of registration: 20200922 Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands Applicant after: Advanced innovation technology Co.,Ltd. Address before: A four-storey 847 mailbox in Grand Cayman Capital Building, British Cayman Islands Applicant before: Alibaba Group Holding Ltd. |
|
| TA01 | Transfer of patent application right | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170919 |
|
| RJ01 | Rejection of invention patent application after publication |