CN108322912B - 一种短信辨别的方法及装置 - Google Patents

一种短信辨别的方法及装置 Download PDF

Info

Publication number
CN108322912B
CN108322912B CN201710033151.0A CN201710033151A CN108322912B CN 108322912 B CN108322912 B CN 108322912B CN 201710033151 A CN201710033151 A CN 201710033151A CN 108322912 B CN108322912 B CN 108322912B
Authority
CN
China
Prior art keywords
short message
malicious
suspected malicious
suspected
matching
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710033151.0A
Other languages
English (en)
Other versions
CN108322912A (zh
Inventor
冉鹏
粟栗
张峰
李元锋
刘文龙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Communications Ltd Research Institute
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Communications Ltd Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Communications Ltd Research Institute filed Critical China Mobile Communications Group Co Ltd
Priority to CN201710033151.0A priority Critical patent/CN108322912B/zh
Publication of CN108322912A publication Critical patent/CN108322912A/zh
Application granted granted Critical
Publication of CN108322912B publication Critical patent/CN108322912B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/903Querying
    • G06F16/90335Query processing
    • G06F16/90344Query processing by using string matching techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/955Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/12Messaging; Mailboxes; Announcements
    • H04W4/14Short messaging services, e.g. short message services [SMS] or unstructured supplementary service data [USSD]

Landscapes

  • Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Computational Linguistics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种短信辨别的方法及装置,该方法为:获取接收的短信;判定短信符合预设条件时,确定短信为疑似恶意短信;将疑似恶意短信与预设的恶意软件数据集合中的数据进行匹配,获得第一匹配结果;判定第一匹配结果是否表征匹配成功,若是,则确定疑似恶意短信为恶意短信,否则,将疑似恶意短信上报至监控系统,并基于监控系统返回的判定结果,确定疑似恶意短信是否为恶意短信。这样,终端就可以不需要人工进行短信分析,主动对短信进行辨别,并采用监控系统对未知的恶意短信进行辨别,节约了时间,提高了效率和准确率,扩大了检测覆盖范围,为用户提供了便利。

Description

一种短信辨别的方法及装置
技术领域
本发明涉及智能技术领域,尤其涉及一种短信辨别的方法及装置。
背景技术
随着智能技术的发展,应用程序的不断开发,恶意应用程序的种类和数量也不断地增加。恶意应用程序在用户不知情的情况下,通过自动定制各种服务产生恶意扣费,群发垃圾短信、恶意推送广告、恶意安装应用程序、以及窃取并售卖用户隐私等方式为非法人员牟利。
恶意应用程序通常通过论坛、软件捆绑、彩信以及短信等方式进行传播。其中,短信传播已成为恶意应用程序进行传播的主要途径之一,恶意应用程序在用户不知情的情况下,先盗用用户的信息,然后冒充熟人向用户的通讯录中的联系人发送恶意短信,并准确称呼联系人的姓名和职务,以提供重要资料为由,诱使联系人点击恶意统一资源定位符(Uniform Resource Locator,URL),从而进行恶意应用程序的传播。
可见,恶意短信主要具有以下特征:首先,恶意URL多采用短域名,普通用户难以分辨,并且变化快;其次,在后台自动向通讯录中的所有联系人发送短信,传播迅速,并且受害人之间呈链状式;进一步地,准确称呼联系人姓名以及职务,并以提供重要资料等为由,诱使用户点击恶意URL。
现有技术下,对恶意短信进行辨别,主要采用以下两种方式:
第一种方式为:根据恶意短信的特征,人工分析用户举报的垃圾短信,先确定疑似恶意短信,然后将疑似恶意短信中的URL上报至恶意软件监控系统进行辨别,确定是否为恶意短信。
但是,采用第一种方式,分析数据覆盖的范围小,耗费大量的人力,判定的效率低,并且无法自动发现恶意短信。
第二种方式为:通过安装在用户终端中的指定客户端,将所有短信中的URL与恶意链接库中的URL进行匹配,确定是否存在恶意短信。
但是,采用第二种方式,需要将所有短信中的URL与恶意链接库中的已知URL进行匹配,效率也较低,并且对于未知的恶意URL无法进行辨别。
发明内容
本发明实施例提供一种短信辨别的方法及装置,用于在辨别用户接收的短信是否为恶意短信时,可以自动辨别接收短信是否包含已知的和未知的恶意URL,节约了时间,提高了效率和准确率,增大了检测覆盖范围。
本发明实施例提供的具体技术方案如下:
一种短信辨别的方法,包括:
获取接收的短信;
判定短信符合预设条件时,确定短信为疑似恶意短信;
将疑似恶意短信与预设的恶意软件数据集合中的数据进行匹配,获得第一匹配结果;
判定第一匹配结果是否表征匹配成功,若是,则确定疑似恶意短信为恶意短信,否则,将疑似恶意短信上报至监控系统,并基于监控系统返回的判定结果,确定疑似恶意短信是否为恶意短信。
较佳的,判定短信符合预设条件时,确定短信为疑似恶意短信,具体包括:
确定短信包含URL时,提取短信的文字部分或/和URL中的各个关键字,并分别将每一个关键字与预设的恶意关键字集合中的各个关键字进行匹配,确定存在至少一个关键字匹配成功时,判定短信为疑似恶意短信;或者,
确定短信包含URL时,获取预设时间内发送的各个发送短信,并分别将每一个发送短信与短信进行相似度匹配,确定匹配成功的发送短信的数量达到预设门限值时,判定短信为疑似恶意短信。
较佳的,在确定短信为疑似恶意短信之后,并在将疑似恶意短信与预设的恶意软件数据集合中的数据进行匹配之前,进一步包括:
获取本地存储的上网日志库,其中,上网日志库中至少记载有用于实现软件下载的下载类URL,其中,上网日志库为用户在本地的访问网址信息的集合;
获取疑似恶意短信中包含的URL,并将URL与上网日志库中包含的各个下载类URL进行匹配,获得第二匹配结果;
判定第二匹配结果是否表征匹配成功,若是,则确定疑似恶意短信为一级疑似恶意短信,否则,确定疑似恶意短信为二级疑似恶意短信,其中,一级疑似恶意短信表征用户在本地通过一级恶意短信包含的URL下载过相应的应用程序,并且二级疑似恶意短信表征用户在本地未通过二级恶意短信包含的URL下载过相应的应用程序。
较佳的,将疑似恶意短信与预设的恶意软件数据集合中的数据进行匹配,具体包括:
确定疑似恶意短信为一级疑似恶意短信时,直接将一级恶意短信中包含的URL,与恶意软件数据集合中包含的下载类URL进行匹配;或者,
确定疑似恶意短信为二级疑似恶意短信时,在确定所有一级恶意短信均与恶意软件数据集合匹配完成后,将二级恶意短信中包含的URL,与恶意软件数据集合中包含的下载类URL进行匹配。
较佳的,将疑似恶意短信上报至监控系统,并基于监控系统返回的判定结果,确定疑似恶意短信是否为恶意短信,具体包括:
确定疑似恶意短信为一级疑似恶意短信时,将一级疑似恶意短信上传至监控系统;
基于监控系统返回的判定结果,判定判定结果是否表征一级疑似恶意短信中包含的URL对应的应用程序是恶意应用程序,若是,则确定一级疑似恶意短信为恶意短信,否则,确定一级疑似恶意短信为非恶意短信。
一种短信辨别的装置,包括:
获取单元,用于获取接收的短信;
确定单元,用于判定短信符合预设条件时,确定短信为疑似恶意短信;
匹配单元,用于将疑似恶意短信与预设的恶意软件数据集合中的数据进行匹配,获得第一匹配结果;
判定单元,用于判定第一匹配结果是否表征匹配成功,若是,则确定疑似恶意短信为恶意短信,否则,将疑似恶意短信上报至监控系统,并基于监控系统返回的判定结果,确定疑似恶意短信是否为恶意短信。
较佳的,在判定短信符合预设条件,确定短信为疑似恶意短信时,确定单元具体用于:
确定短信包含统一资源定位符URL时,提取短信的文字部分或/和URL中的各个关键字,并分别将每一个关键字与预设的恶意关键字集合中的各个关键字进行匹配,确定存在至少一个关键字匹配成功时,判定短信为疑似恶意短信;或者,
确定短信包含URL时,获取预设时间内发送的各个发送短信,并分别将每一个发送短信与短信进行相似度匹配,确定匹配成功的发送短信的数量达到预设门限值时,判定短信为疑似恶意短信。
较佳的,在确定短信为疑似恶意短信之后,并在将疑似恶意短信与预设的恶意软件数据集合中的数据进行匹配之前,确定单元还用于:
获取本地存储的上网日志库,其中,上网日志库中至少记载有用于实现软件下载的下载类URL,其中,上网日志库为用户在本地的访问网址信息的集合;
获取疑似恶意短信中包含的URL,并将URL与上网日志库中包含的各个下载类URL进行匹配,获得第二匹配结果;
判定第二匹配结果是否表征匹配成功,若是,则确定疑似恶意短信为一级疑似恶意短信,否则,确定疑似恶意短信为二级疑似恶意短信,其中,一级疑似恶意短信表征用户在本地通过一级恶意短信包含的URL下载过相应的应用程序,并且二级疑似恶意短信表征用户在本地未通过二级恶意短信包含的URL下载过相应的应用程序。
较佳的,在将疑似恶意短信与预设的恶意软件数据集合中的数据进行匹配时,匹配单元具体用于:
确定疑似恶意短信为一级疑似恶意短信时,直接将一级恶意短信中包含的URL,与恶意软件数据集合中包含的下载类URL进行匹配;或者,
确定疑似恶意短信为二级疑似恶意短信时,在确定所有一级恶意短信均与恶意软件数据集合匹配完成后,将二级恶意短信中包含的URL,与恶意软件数据集合中包含的下载类URL进行匹配。
较佳的,在将疑似恶意短信上报至监控系统,并基于监控系统返回的判定结果,确定疑似恶意短信是否为恶意短信时,判定单元具体用于:
确定疑似恶意短信为一级疑似恶意短信时,将一级疑似恶意短信上传至监控系统;
基于监控系统返回的判定结果,判定判定结果是否表征一级疑似恶意短信中包含的URL对应的应用程序是恶意应用程序,若是,则确定一级疑似恶意短信为恶意短信,否则,确定一级疑似恶意短信为非恶意短信。
本发明实施例中,获取接收的短信;判定短信符合预设条件时,确定短信为疑似恶意短信;将疑似恶意短信与预设的恶意软件数据集合中的数据进行匹配,获得第一匹配结果;判定第一匹配结果是否表征匹配成功,若是,则确定疑似恶意短信为恶意短信,否则,将疑似恶意短信上报至监控系统,并基于监控系统返回的判定结果,确定疑似恶意短信是否为恶意短信。这样,终端就可以主动对接收的短信进行筛选,并将筛选后的短信与恶意软件数据集合中的数据进行匹配,以及根据匹配结果,确定恶意短信,这不需要人工进行分析,通过终端主动对短信进行辨别,进一步地,采用监控系统对未知的恶意URL进行辨别,节约了时间,提高了效率,扩大了检测覆盖范围,为用户提供了便利。
附图说明
图1为本发明实施例中短信辨别的方法的流程图;
图2为本发明实施例中短信辨别的装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,并不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了在辨别用户接收的短信是否为恶意短信时,可以自动辨别接收短信是否包含已知的和未知的恶意URL,节约检测时间,提高效率,增大检测覆盖范围,本发明实施例中,设计了一种短信辨别的方法,该方法为,终端通过预设条件先对接收的短信进行初步筛选,并将筛选后的短信与恶意软件数据集合中的数据进行匹配,以及根据匹配结果,确定恶意短信。
下面结合附图对本申请优选的实施方式进行详细说明。
参阅图1所示,本发明实施例中,对短信辨别的具体流程如下:
步骤100:终端获取接收的短信。
步骤110:终端判定短信符合预设条件时,确定短信为疑似恶意短信。
实际应用中,终端确定短信为疑似恶意短信可以采用但不限于以下几种方式:
第一种方式为:当确定短信中包含URL时,提取短信的文字部分或/和URL中的各个关键字,并分别将每一个关键字与预设的恶意关键字集合中的各个关键字进行匹配,确定存在至少一个关键字匹配成功时,判定短信为疑似恶意短信。
非法用户通常会采用包含恶意关键字集合中的关键字的短信,诱导用户通过短信中包含的URL下载相应的恶意应用程序,从而通过恶意应用程序进行牟利,损害用户的利益。可选的,预设的恶意关键字集合中可以包含相册,成绩单,违章罚单,视频,在校表现,政策,以及apk等关键字。
例如,终端获取短信中包含的关键字为“视频”,并将“视频”与预设的恶意关键字集合中的各个关键字进行匹配,确定匹配成功,从而判定短信为疑似恶意短信。
这样,就可以通过短信中包含的各个关键字,对短信进行初步筛选,获得疑似恶意短信。
第二种方式为:当确定短信中包含URL时,获取预设时间内发送的各个发送短信,并分别将每一个发送短信与短信进行相似度匹配,确定匹配成功的发送短信的数量达到预设门限值时,判定短信为疑似恶意短信。
由于恶意短信的一个特征为终端在接收到恶意短信后,会自动向通信录中的联系人群发与接收短信相似的发送短信,因此,终端可以将短时间内发送的短信,与该接收的短信进行相似度匹配,若存在大量的与该接收的短信相似的发送短信,则可以判定短信为疑似恶意短信。
这样,就可以通过与接收的短信相似的短信的数量,对短信进行筛选,获得疑似恶意短信。
进一步地,由于只有短信中包含URL时,用户才有可能通过短信中包含的URL下载恶意应用程序,因此,当确定短信中不包含URL时,终端直接判定短信为非恶意短信。
步骤120:终端基于本地存储的上网日志库,确定疑似恶意短信的等级。
实际应用中,终端先获取本地存储的上网日志库,其中,上网日志库中至少记载有用于实现软件下载的下载类URL,并且,上网日志库为用户在本地的访问网址信息的集合。
可选的,上网日志库中还可以包含应用程序标识信息,访问时间等信息。
然后,终端获取疑似恶意短信中包含的URL,并将URL与上网日志库中包含的各个下载类URL进行匹配,获得第二匹配结果。
进一步地,终端判定第二匹配结果是否表征匹配成功,若是,则确定疑似恶意短信为一级疑似恶意短信,否则,确定疑似恶意短信为二级疑似恶意短信,其中,一级疑似恶意短信表征用户在本地通过一级恶意短信包含的URL下载过相应的应用程序,并且二级疑似恶意短信表征用户在本地未通过二级恶意短信包含的URL下载过相应的应用程序。
例如,终端判定疑似恶意短信中包含的URL与上网日志库中包含的一个下载类URL匹配成功,则确定该疑似恶意短信为一级疑似恶意短信,其中,该下载类URL为一个视频应用程序的下载网址,即用户在本地访问过该下载类URL,并下载了相应的视频应用程序。
步骤130:终端将疑似恶意短信与预设的恶意软件数据集合中的数据进行匹配,获得匹配结果。
实际应用中,由于一级疑似恶意短信表征终端已经下载了相应的软件,因此,终端对一级疑似恶意短信进行优先处理,即当确定疑似恶意短信为一级疑似恶意短信时,终端直接将一级恶意短信中包含的URL,与恶意软件数据集合中包含的下载类URL进行匹配,获得匹配结果。
而由于二级疑似恶意短信表征终端未下载相应的软件,因此,当确定疑似恶意短信为二级疑似恶意短信时,终端在确定所有一级恶意短信均与恶意软件数据集合匹配完成后,再将二级恶意短信中包含的URL,与恶意软件数据集合中包含的下载类URL进行匹配,获得匹配结果。
这样,终端就可以根据疑似恶意短信的等级,对一级疑似恶意短信进行优先匹配处理,并在确定一级疑似恶意短信都匹配完成后,再对二级疑似恶意短信进行匹配。
步骤140:终端判定第一匹配结果是否表征匹配成功。
实际应用中,终端判定第一匹配结果是否表征匹配成功,若是,则执行步骤150,否则,执行步骤160。
步骤150:终端确定疑似恶意短信为恶意短信。
步骤160:终端将疑似恶意短信上报至监控系统,并基于监控系统返回的判定结果,确定疑似恶意短信是否为恶意短信。
实际应用中,终端确定疑似恶意短信为一级疑似恶意短信时,将一级疑似恶意短信上传至监控系统,然后,监控系统对一级疑似恶意短信进行判定,并将获得的判定结果返回至终端,接着,终端基于监控系统返回的判定结果,判定判定结果是否表征一级疑似恶意短信中包含的URL对应的应用程序是恶意应用程序,若是,则确定一级疑似恶意短信为恶意短信,否则,确定一级疑似恶意短信为非恶意短信。
进一步地,终端确定疑似恶意短信为二级疑似恶意短信时,由于二级疑似恶意短信表征用户在本地未采用二级疑似恶意短信中包含的URL下载过应用程序,因此,直接判定二级疑似恶意短信为非恶意短信。
最后,终端将恶意短信进行标记,或向用户进行提示,从而提醒用户恶意短信中包含的URL对应的应用程序是恶意应用程序,谨慎下载。
下面采用一个具体的应用场景对上述实施例进行进一步详细说明。
终端获取接收的5条短信,即短信11,短信12,短信13,短信14以及短信15,并确定短信11,短信12,短信13以及短信14中均包含URL,短信15中不包含URL,判定短信15为非恶意短信。
然后,终端将在短信11,短信12,短信13以及短信14中提取的关键字,与预设的恶意关键字集合中的各个关键字进行匹配,其中,预设的恶意关键字集合中包含相册,成绩单,违章罚单,视频,在校表现,政策,以及apk等关键字,由于短信11中包含关键字“相册”,短信12中的URL中包含关键字“apk”,因此,确定短信11和短信12中均存在关键字与恶意关键字集合中的各个关键字匹配成功,判定短信11和短信12为疑似恶意短信,而短信13和短信14中包含的关键字与恶意关键字集合中的各个关键字匹配失败,但是在预设时间1min内,与短信13相似的发送短信的数量达到预设门限值15,因此,确定短信13也为疑似恶意短信,而与短信14相似的发送短信的数量未达到预设门限值15,则确定短信14为非恶意短信。
接着,终端获取本地存储的上网日志库,并将短信11,短信12以及短信13中包含的URL,与上网日志库中包含的下载类URL进行匹配。其中,上网日志库中记载有用于实现软件下载的下载类URL,包括视频应用程序1URL,音乐应用程序2URL以及通讯应用程序3URL,并且,上网日志库为用户在本地的访问网址信息的集合。
由于短信11中的URL为音乐应用程序2URL,短信12中的URL为通讯应用程序3URL,因此,终端确定短信11和短信12与上网日志库中的各个下载类URL匹配成功,判定短信11和短信12为一级疑似恶意短信,即用户在本地已经通过短信11和短信12中的URL下载过相应的应用程序,并确定短信13与上网日志库中的各个下载类URL匹配失败,判定短信13为二级疑似恶意短信,即用户在本地未通过短信13中的URL下载过相应的应用程序。
进一步地,终端优先将短信11和短信12与恶意软件数据集合中的URL进行匹配,匹配完成后,再将短信13与恶意软件数据集合中的URL进行匹配。其中,恶意软件数据集合包含音乐应用程序2URL。
由于短信11包含的URL与恶意软件数据集合中的URL匹配成功,而短信12和短信13中包含的URL与恶意软件数据集合中的URL匹配失败,因此,终端判定短信11为恶意短信,短信13为非恶意短信,并将短信12上报至监控系统。
最后,终端获取监控系统返回的判定结果,基于判定结果,确定判定结果为表征短信12中包含的URL对应的应用程序是恶意应用程序,判定短信12为恶意短信。
进一步地,终端将恶意短信,即短信11和短信12进行标记,并向用户进行提示。
基于上述实施例,参阅图2所示,短信辨别的装置的结构示意图,本发明实施例中,短信辨别的装置具体包括:
获取单元20,用于获取接收的短信;
确定单元21,用于判定短信符合预设条件时,确定短信为疑似恶意短信;
匹配单元22,用于将疑似恶意短信与预设的恶意软件数据集合中的数据进行匹配,获得第一匹配结果;
判定单元23,用于判定第一匹配结果是否表征匹配成功,若是,则确定疑似恶意短信为恶意短信,否则,将疑似恶意短信上报至监控系统,并基于监控系统返回的判定结果,确定疑似恶意短信是否为恶意短信。
较佳的,在判定短信符合预设条件,确定短信为疑似恶意短信时,确定单元21具体用于:
确定短信包含统一资源定位符URL时,提取短信的文字部分或/和URL中的各个关键字,并分别将每一个关键字与预设的恶意关键字集合中的各个关键字进行匹配,确定存在至少一个关键字匹配成功时,判定短信为疑似恶意短信;或者,
确定短信包含URL时,获取预设时间内发送的各个发送短信,并分别将每一个发送短信与短信进行相似度匹配,确定匹配成功的发送短信的数量达到预设门限值时,判定短信为疑似恶意短信。
较佳的,在确定短信为疑似恶意短信之后,并在将疑似恶意短信与预设的恶意软件数据集合中的数据进行匹配之前,确定单元21还用于:
获取本地存储的上网日志库,其中,上网日志库中至少记载有用于实现软件下载的下载类URL,其中,上网日志库为用户在本地的访问网址信息的集合;
获取疑似恶意短信中包含的URL,并将URL与上网日志库中包含的各个下载类URL进行匹配,获得第二匹配结果;
判定第二匹配结果是否表征匹配成功,若是,则确定疑似恶意短信为一级疑似恶意短信,否则,确定疑似恶意短信为二级疑似恶意短信,其中,一级疑似恶意短信表征用户在本地通过一级恶意短信包含的URL下载过相应的应用程序,并且二级疑似恶意短信表征用户在本地未通过二级恶意短信包含的URL下载过相应的应用程序。
较佳的,在将疑似恶意短信与预设的恶意软件数据集合中的数据进行匹配时,匹配单元22具体用于:
确定疑似恶意短信为一级疑似恶意短信时,直接将一级恶意短信中包含的URL,与恶意软件数据集合中包含的下载类URL进行匹配;或者,
确定疑似恶意短信为二级疑似恶意短信时,在确定所有一级恶意短信均与恶意软件数据集合匹配完成后,将二级恶意短信中包含的URL,与恶意软件数据集合中包含的下载类URL进行匹配。
较佳的,在将疑似恶意短信上报至监控系统,并基于监控系统返回的判定结果,确定疑似恶意短信是否为恶意短信时,判定单元23具体用于:
确定疑似恶意短信为一级疑似恶意短信时,将一级疑似恶意短信上传至监控系统;
基于监控系统返回的判定结果,判定判定结果是否表征一级疑似恶意短信中包含的URL对应的应用程序是恶意应用程序,若是,则确定一级疑似恶意短信为恶意短信,否则,确定一级疑似恶意短信为非恶意短信。
本发明实施例中,获取接收的短信;判定短信符合预设条件时,确定短信为疑似恶意短信;将疑似恶意短信与预设的恶意软件数据集合中的数据进行匹配,获得第一匹配结果;判定第一匹配结果是否表征匹配成功,若是,则确定疑似恶意短信为恶意短信,否则,将疑似恶意短信上报至监控系统,并基于监控系统返回的判定结果,确定疑似恶意短信是否为恶意短信。这样,终端就可以主动对接收的短信进行筛选,并将筛选后的短信与恶意软件数据集合中的数据进行匹配,以及根据匹配结果,确定恶意短信,这不需要人工进行分析,通过终端主动对短信进行辨别,进一步地,采用监控系统对未知的恶意URL进行辨别,节约了时间,提高了效率,扩大了检测覆盖范围,为用户提供了便利。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (8)

1.一种短信辨别的方法,其特征在于,包括:
获取接收的短信;
判定所述短信符合预设条件时,确定所述短信为疑似恶意短信;
将所述疑似恶意短信与预设的恶意软件数据集合中的数据进行匹配,获得第一匹配结果;
判定所述第一匹配结果是否表征匹配成功,若是,则确定所述疑似恶意短信为恶意短信,否则,将所述疑似恶意短信上报至监控系统,并基于所述监控系统返回的判定结果,确定所述疑似恶意短信是否为恶意短信;
在确定所述短信为疑似恶意短信之后,并在将所述疑似恶意短信与预设的恶意软件数据集合中的数据进行匹配之前,进一步包括:
获取本地存储的上网日志库,其中,所述上网日志库中至少记载有用于实现软件下载的下载类URL,其中,所述上网日志库为用户在本地的访问网址信息的集合;获取所述疑似恶意短信中包含的URL,并将所述URL与所述上网日志库中包含的各个下载类URL进行匹配,获得第二匹配结果;判定所述第二匹配结果是否表征匹配成功,若是,则确定所述疑似恶意短信为一级疑似恶意短信,否则,确定所述疑似恶意短信为二级疑似恶意短信,其中,所述一级疑似恶意短信表征用户在本地通过所述一级疑似恶意短信包含的URL下载过相应的应用程序,并且所述二级疑似恶意短信表征用户在本地未通过所述二级疑似恶意短信包含的URL下载过相应的应用程序,所述一级疑似恶意短信和所述二级疑似恶意短信的匹配优先级不同。
2.如权利要求1所述的方法,其特征在于,判定所述短信符合预设条件时,确定所述短信为疑似恶意短信,具体包括:
确定所述短信包含统一资源定位符URL时,提取所述短信的文字部分或/和URL中的各个关键字,并分别将每一个关键字与预设的恶意关键字集合中的各个关键字进行匹配,确定存在至少一个关键字匹配成功时,判定所述短信为疑似恶意短信;或者,
确定所述短信包含URL时,获取预设时间内发送的各个发送短信,并分别将每一个发送短信与所述短信进行相似度匹配,确定匹配成功的发送短信的数量达到预设门限值时,判定所述短信为疑似恶意短信。
3.如权利要求1所述的方法,其特征在于,将所述疑似恶意短信与预设的恶意软件数据集合中的数据进行匹配,具体包括:
确定所述疑似恶意短信为一级疑似恶意短信时,直接将所述一级疑似恶意短信中包含的URL,与所述恶意软件数据集合中包含的下载类URL进行匹配;或者,
确定所述疑似恶意短信为二级疑似恶意短信时,在确定所有一级疑似恶意短信均与所述恶意软件数据集合匹配完成后,将所述二级疑似恶意短信中包含的URL,与所述恶意软件数据集合中包含的下载类URL进行匹配。
4.如权利要求1或3所述的方法,其特征在于,将所述疑似恶意短信上报至监控系统,并基于所述监控系统返回的判定结果,确定所述疑似恶意短信是否为恶意短信,具体包括:
确定所述疑似恶意短信为一级疑似恶意短信时,将所述一级疑似恶意短信上传至所述监控系统;
基于所述监控系统返回的判定结果,判定所述判定结果是否表征所述一级疑似恶意短信中包含的URL对应的应用程序是恶意应用程序,若是,则确定所述一级疑似恶意短信为恶意短信,否则,确定所述一级疑似恶意短信为非恶意短信。
5.一种短信辨别的装置,其特征在于,包括:
获取单元,用于获取接收的短信;
确定单元,用于判定所述短信符合预设条件时,确定所述短信为疑似恶意短信;
匹配单元,用于将所述疑似恶意短信与预设的恶意软件数据集合中的数据进行匹配,获得第一匹配结果;
判定单元,用于判定所述第一匹配结果是否表征匹配成功,若是,则确定所述疑似恶意短信为恶意短信,否则,将所述疑似恶意短信上报至监控系统,并基于所述监控系统返回的判定结果,确定所述疑似恶意短信是否为恶意短信;
所述确定单元还用于:获取本地存储的上网日志库,其中,所述上网日志库中至少记载有用于实现软件下载的下载类URL,其中,所述上网日志库为用户在本地的访问网址信息的集合;获取所述疑似恶意短信中包含的URL,并将所述URL与所述上网日志库中包含的各个下载类URL进行匹配,获得第二匹配结果;判定所述第二匹配结果是否表征匹配成功,若是,则确定所述疑似恶意短信为一级疑似恶意短信,否则,确定所述疑似恶意短信为二级疑似恶意短信,其中,所述一级疑似恶意短信表征用户在本地通过所述一级疑似恶意短信包含的URL下载过相应的应用程序,并且所述二级疑似恶意短信表征用户在本地未通过所述二级疑似恶意短信包含的URL下载过相应的应用程序,所述一级疑似恶意短信和所述二级疑似恶意短信的匹配优先级不同。
6.如权利要求5所述的装置,其特征在于,在判定所述短信符合预设条件,确定所述短信为疑似恶意短信时,所述确定单元具体用于:
确定所述短信包含统一资源定位符URL时,提取所述短信的文字部分或/和URL中的各个关键字,并分别将每一个关键字与预设的恶意关键字集合中的各个关键字进行匹配,确定存在至少一个关键字匹配成功时,判定所述短信为疑似恶意短信;或者,
确定所述短信包含URL时,获取预设时间内发送的各个发送短信,并分别将每一个发送短信与所述短信进行相似度匹配,确定匹配成功的发送短信的数量达到预设门限值时,判定所述短信为疑似恶意短信。
7.如权利要求5所述的装置,其特征在于,在将所述疑似恶意短信与预设的恶意软件数据集合中的数据进行匹配时,所述匹配单元具体用于:
确定所述疑似恶意短信为一级疑似恶意短信时,直接将所述一级疑似恶意短信中包含的URL,与所述恶意软件数据集合中包含的下载类URL进行匹配;或者,
确定所述疑似恶意短信为二级疑似恶意短信时,在确定所有一级疑似恶意短信均与所述恶意软件数据集合匹配完成后,将所述二级疑似恶意短信中包含的URL,与所述恶意软件数据集合中包含的下载类URL进行匹配。
8.如权利要求5或7所述的装置,其特征在于,在将所述疑似恶意短信上报至监控系统,并基于所述监控系统返回的判定结果,确定所述疑似恶意短信是否为恶意短信时,所述判定单元具体用于:
确定所述疑似恶意短信为一级疑似恶意短信时,将所述一级疑似恶意短信上传至所述监控系统;
基于所述监控系统返回的判定结果,判定所述判定结果是否表征所述一级疑似恶意短信中包含的URL对应的应用程序是恶意应用程序,若是,则确定所述一级疑似恶意短信为恶意短信,否则,确定所述一级疑似恶意短信为非恶意短信。
CN201710033151.0A 2017-01-16 2017-01-16 一种短信辨别的方法及装置 Active CN108322912B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710033151.0A CN108322912B (zh) 2017-01-16 2017-01-16 一种短信辨别的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710033151.0A CN108322912B (zh) 2017-01-16 2017-01-16 一种短信辨别的方法及装置

Publications (2)

Publication Number Publication Date
CN108322912A CN108322912A (zh) 2018-07-24
CN108322912B true CN108322912B (zh) 2021-01-15

Family

ID=62891317

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710033151.0A Active CN108322912B (zh) 2017-01-16 2017-01-16 一种短信辨别的方法及装置

Country Status (1)

Country Link
CN (1) CN108322912B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109219001B (zh) * 2018-08-01 2021-11-23 中国联合网络通信集团有限公司 短信拦截方法、装置、拦截平台及存储介质
CN109104429B (zh) * 2018-09-05 2021-09-28 广东石油化工学院 一种针对网络诈骗信息的检测方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101472245B (zh) * 2007-12-27 2011-08-24 中国移动通信集团公司 垃圾短信拦截方法和装置
CN103391520B (zh) * 2012-05-08 2016-01-20 腾讯科技(深圳)有限公司 一种拦截恶意短信的方法、终端、服务器及系统
WO2014168453A1 (ko) * 2013-04-12 2014-10-16 에스케이텔레콤 주식회사 메시지 검사장치, 사용자 단말 및 방법
CN104794125B (zh) * 2014-01-20 2018-09-11 中国科学院深圳先进技术研究院 一种垃圾短信的识别方法及装置
KR102150624B1 (ko) * 2014-07-01 2020-09-01 삼성전자 주식회사 스미싱 알림 방법 및 장치
CN106303992A (zh) * 2016-08-22 2017-01-04 安徽拓通信科技集团股份有限公司 一种垃圾短信的自动清理系统和方法

Also Published As

Publication number Publication date
CN108322912A (zh) 2018-07-24

Similar Documents

Publication Publication Date Title
CN108366045B (zh) 一种风控评分卡的设置方法和装置
CN108092962B (zh) 一种恶意url检测方法及装置
US8806644B1 (en) Using expectation measures to identify relevant application analysis results
US20140245438A1 (en) Download resource providing method and device
CN108776616B (zh) 一种确定区块链节点可信状态的方法、区块链节点及系统
CN108183900B (zh) 一种挖矿脚本检测的方法、服务器、系统、终端设备及存储介质
US11537751B2 (en) Using machine learning algorithm to ascertain network devices used with anonymous identifiers
CN108023868B (zh) 恶意资源地址检测方法和装置
CN110516173B (zh) 一种非法网站识别方法、装置、设备及介质
WO2014015753A1 (en) Method and apparatus for intercepting or cleaning-up plugins
CN111104579A (zh) 一种公网资产的识别方法、装置及存储介质
CN106569860A (zh) 一种应用管理方法及终端
CN109327451A (zh) 一种防御文件上传验证绕过的方法、系统、装置及介质
Wu et al. Detect repackaged android application based on http traffic similarity
CN112131507A (zh) 网站内容处理方法、装置、服务器和计算机可读存储介质
CN108322912B (zh) 一种短信辨别的方法及装置
CN108804501B (zh) 一种检测有效信息的方法及装置
CN111131236A (zh) 一种web指纹检测装置、方法、设备及介质
CN107172622A (zh) 伪基站短信的识别和分析方法、装置及系统
Fu et al. Flowintent: Detecting privacy leakage from user intention to network traffic mapping
CN107704494B (zh) 一种基于应用软件的用户信息收集方法和系统
US20210406916A1 (en) Method and system for user protection in ride-hailing platforms based on semi-supervised learning
KR101605783B1 (ko) 악성 애플리케이션 탐지 방법 및 이 방법을 실행시키는 컴퓨터프로그램
CN111027065B (zh) 一种勒索病毒识别方法、装置、电子设备及存储介质
CN116738369A (zh) 一种流量数据的分类方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant