本申請涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域，尤其涉及惡意消息識別方法、裝置、設(shè)備和計算機存儲介質(zhì)。

背景技術(shù)：

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，各種通訊系統(tǒng)的發(fā)明大大方便了用戶之間的相互交流。各用戶之間可以利用電子設(shè)備建立通信網(wǎng)絡(luò)連接，并可以傳遞包括有文字、圖像、語音或視頻等等的通訊消息。

然而，隨之而來的惡意消息也急劇泛濫，大量的惡意消息給用戶帶來了困擾。例如，惡意消息中往往攜帶不法分子的聯(lián)系信息，以誘導(dǎo)用戶訪問某個釣魚鏈接，以聯(lián)系不法分子、查詢不法信息、下載木馬或轉(zhuǎn)賬等。

目前，越來越多的服務(wù)方提供惡意消息識別服務(wù)。相關(guān)技術(shù)中的一種方案，可以將消息中的鏈接內(nèi)容發(fā)送到服務(wù)端，服務(wù)端通過訪問該鏈接或下載對應(yīng)的木馬等方式，以分析該鏈接是否惡意，進而分析該消息是否是惡意消息。

但該方案可能存在的問題有：惡意消息中的鏈接可能在傳播之后的短時間內(nèi)即失效，失效后服務(wù)端可能無法獲取相應(yīng)的信息；惡意消息中的鏈接可能根據(jù)訪問者的ip信息、訪問者使用的設(shè)備信息、訪問者訪問的時間等進行針對性的隱藏，使得服務(wù)端訪問時該鏈接正常，但用戶訪問該鏈接時中招。另外，惡意鏈接中對應(yīng)的木馬可能通過加殼、下載攻擊代碼等方式繞過現(xiàn)有的木馬檢測引擎。因此，如何快速有效識別惡意消息成為亟需解決的問題。

技術(shù)實現(xiàn)要素：

為克服相關(guān)技術(shù)中存在的問題，本申請?zhí)峁┝藧阂庀⒆R別方法、裝置、設(shè)備和計算機存儲介質(zhì)方法。

一種惡意消息識別方法，所述方法包括：

獲取待識別消息；

獲取所述待識別消息的目標(biāo)特征，所述目標(biāo)特征至少包括四類特征：消息發(fā)送方特征、消息接收方特征、消息內(nèi)容特征和消息傳播特征；

將所獲取的目標(biāo)特征輸入至預(yù)設(shè)的惡意消息識別模型，利用所述惡意消息識別模型識別出所述待識別消息是否為惡意消息。

可選的，所述消息發(fā)送方特征包括如下一種或多種特征：

消息發(fā)送方的賬號相關(guān)特征；

消息發(fā)送方的聯(lián)系方式特征；

消息發(fā)送方的注冊信息相關(guān)特征；

指示所述消息發(fā)送方是否關(guān)聯(lián)有預(yù)設(shè)標(biāo)簽的特征，所述預(yù)設(shè)標(biāo)簽包括如下一種或多種標(biāo)簽：批量注冊的垃圾賬戶、實名賬戶、被投訴過的賬戶、登記有發(fā)送過惡意消息記錄或發(fā)送過惡意行為。

可選的，所述消息接收方特征包括如下一種或多種特征：

指示所述消息接收方的位置是否與所述消息接收方關(guān)聯(lián)的其他消息接收方在同一地區(qū)的特征；

指示所述消息接收方是否與所述其他消息接收方同屬于預(yù)設(shè)組織的特征；

指示所述消息接收方是否與所述其他消息接收方具有相同行為的特征。

可選的，所述消息內(nèi)容歷史特征包括如下一種或多種特征：

指示所述消息內(nèi)容是否為歷史出現(xiàn)內(nèi)容的特征；

指示所述消息內(nèi)容是否為已被識別為惡意消息內(nèi)容的特征；

指示所述消息內(nèi)容是否為已被舉報為惡意消息內(nèi)容的特征。

可選的，所述消息傳播特征包括如下一種或多種特征：

所述待識別消息以及與所述待識別消息關(guān)聯(lián)的其他消息傳播過程的速度特征；

所述待識別消息以及與所述其他消息傳播過程的發(fā)散特征；

所述待識別消息以及與所述其他消息傳播過程的周期特征；

可選的，所述惡意消息識別模型是利用樣本數(shù)據(jù)對機器學(xué)習(xí)模型訓(xùn)練得到的。

一種惡意消息識別裝置，所述裝置包括：

消息獲取模塊，用于：獲取待識別消息；

特征獲取模塊，用于：獲取所述待識別消息的目標(biāo)特征，所述目標(biāo)特征至少包括四類特征：消息發(fā)送方特征、消息接收方特征、消息內(nèi)容特征和消息傳播特征；

識別模塊，用于：將所獲取的目標(biāo)特征輸入至預(yù)設(shè)的惡意消息識別模型，利用所述惡意消息識別模型識別出所述待識別消息是否為惡意消息。

可選的，所述消息發(fā)送方特征包括如下一種或多種特征：

消息發(fā)送方的賬號相關(guān)特征；

消息發(fā)送方的聯(lián)系方式特征；

消息發(fā)送方的注冊信息相關(guān)特征；

指示所述消息發(fā)送方是否關(guān)聯(lián)有預(yù)設(shè)標(biāo)簽的特征，所述預(yù)設(shè)標(biāo)簽包括如下一種或多種標(biāo)簽：批量注冊的垃圾賬戶、實名賬戶、被投訴過的賬戶、登記有發(fā)送過惡意消息記錄或發(fā)送過惡意行為。

可選的，所述消息接收方特征包括如下一種或多種特征：

指示所述消息接收方的位置是否與所述消息接收方關(guān)聯(lián)的其他消息接收方在同一地區(qū)的特征；

指示所述消息接收方是否與所述其他消息接收方同屬于預(yù)設(shè)組織的特征；

指示所述消息接收方是否與所述其他消息接收方具有相同行為的特征。

可選的，所述消息內(nèi)容歷史特征包括如下一種或多種特征：

指示所述消息內(nèi)容是否為歷史出現(xiàn)內(nèi)容的特征；

指示所述消息內(nèi)容是否為已被識別為惡意消息內(nèi)容的特征；

指示所述消息內(nèi)容是否為已被舉報為惡意消息內(nèi)容的特征。

可選的，所述消息傳播特征包括如下一種或多種特征：

所述待識別消息以及與所述待識別消息關(guān)聯(lián)的其他消息傳播過程的速度特征；

所述待識別消息以及與所述其他消息傳播過程的發(fā)散特征；

所述待識別消息以及與所述其他消息傳播過程的周期特征；

可選的，所述惡意消息識別模型是利用樣本數(shù)據(jù)對機器學(xué)習(xí)模型訓(xùn)練得到的。

一種計算機設(shè)備，包括：

處理器；

用于存儲處理器可執(zhí)行指令的存儲器；

其中，所述處理器被配置為：

獲取待識別消息；

獲取所述待識別消息的目標(biāo)特征，所述目標(biāo)特征至少包括四類特征：消息發(fā)送方特征、消息接收方特征、消息內(nèi)容特征和消息傳播特征；

將所獲取的目標(biāo)特征輸入至預(yù)設(shè)的惡意消息識別模型，利用所述惡意消息識別模型識別出所述待識別消息是否為惡意消息。

一種計算機存儲介質(zhì)，所述存儲介質(zhì)中存儲有程序指令，所述程序指令包括：

獲取待識別消息；

獲取所述待識別消息的目標(biāo)特征，所述目標(biāo)特征至少包括四類特征：消息發(fā)送方特征、消息接收方特征、消息內(nèi)容特征和消息傳播特征；

將所獲取的目標(biāo)特征輸入至預(yù)設(shè)的惡意消息識別模型，利用所述惡意消息識別模型識別出所述待識別消息是否為惡意消息。

本申請的實施例提供的技術(shù)方案可以包括以下有益效果：

本申請實施例中，利用預(yù)設(shè)的惡意消息識別模型，通過獲取待識別消息的至少四類特征：消息發(fā)送方特征、消息接收方特征、消息內(nèi)容特征和消息傳播特征，對待識別消息進行是否為惡意消息的識別。由于此類特征從消息本身進行獲取，通過上述至少四個維度的特征描述一條消息，相對于相關(guān)技術(shù)，這些特征不依賴于消息內(nèi)容中的鏈接是否可以訪問、是否存活，也不需要依賴木馬檢測引擎對木馬的識別結(jié)果，也不需要訪問攻擊者服務(wù)端，因此能實現(xiàn)惡意消息的快速識別，整個識別過程中攻擊者無感之，并且識別效率較高。

應(yīng)當(dāng)理解的是，以上的一般描述和后文的細節(jié)描述僅是示例性和解釋性的，并不能限制本申請。

附圖說明

此處的附圖被并入說明書中并構(gòu)成本說明書的一部分，示出了符合本申請的實施例，并與說明書一起用于解釋本申請的原理。

圖1a是本申請根據(jù)一示例性實施例示出的一種惡意消息識別方法的應(yīng)用場景圖。

圖1b是本申請根據(jù)一示例性實施例示出的一種惡意消息識別方法的流程圖。

圖2是本申請根據(jù)一示例性實施例示出的另一種惡意消息識別方法的流程圖。

圖3是本申請惡意消息識別裝置所在計算機設(shè)備的一種硬件結(jié)構(gòu)圖。

圖4是本申請根據(jù)一示例性實施例示出的一種惡意消息識別裝置的框圖。

具體實施方式

這里將詳細地對示例性實施例進行說明，其示例表示在附圖中。下面的描述涉及附圖時，除非另有表示，不同附圖中的相同數(shù)字表示相同或相似的要素。以下示例性實施例中所描述的實施方式并不代表與本申請相一致的所有實施方式。相反，它們僅是與如所附權(quán)利要求書中所詳述的、本申請的一些方面相一致的裝置和方法的例子。

在本申請使用的術(shù)語是僅僅出于描述特定實施例的目的，而非旨在限制本申請。在本申請和所附權(quán)利要求書中所使用的單數(shù)形式的“一種”、“所述”和“該”也旨在包括多數(shù)形式，除非上下文清楚地表示其他含義。還應(yīng)當(dāng)理解，本文中使用的術(shù)語“和/或”是指并包含一個或多個相關(guān)聯(lián)的列出項目的任何或所有可能組合。

應(yīng)當(dāng)理解，盡管在本申請可能采用術(shù)語第一、第二、第三等來描述各種信息，但這些信息不應(yīng)限于這些術(shù)語。這些術(shù)語僅用來將同一類型的信息彼此區(qū)分開。例如，在不脫離本申請范圍的情況下，第一信息也可以被稱為第二信息，類似地，第二信息也可以被稱為第一信息。取決于語境，如在此所使用的詞語“如果”可以被解釋成為“在……時”或“當(dāng)……時”或“響應(yīng)于確定”。

隨著電子設(shè)備技術(shù)的發(fā)展，電子設(shè)備的使用在人們?nèi)粘Ｉ钪性絹碓筋l繁。個人計算機、平板電腦及智能手機等具備網(wǎng)絡(luò)通訊功能的設(shè)備，可以安裝短信客戶端、郵箱客戶端或即時通訊客戶端等客戶端，從而為用戶提供通訊交流服務(wù)。

如圖1a所示，圖1a是本申請根據(jù)一示例性實施例示出的一種惡意消息識別方法的應(yīng)用場景圖，圖1a中包括：

一消息發(fā)送方(即發(fā)送消息的一方)，以及該消息發(fā)送方所配置的用于發(fā)送消息的設(shè)備。

一消息接收方(即接收消息的一方)，以及該消息接收方所持有的電子設(shè)備，該電子設(shè)備在圖1a中以智能手機為例進行示意；該電子設(shè)備中安裝有提供通訊交流服務(wù)的通訊客戶端。

一提供上述通訊客戶端的服務(wù)方，以及該服務(wù)方所配置的與上述客戶端對應(yīng)的服務(wù)端。

可以理解，圖1a中的所涉及的用戶、電子設(shè)備和服務(wù)端的數(shù)量僅僅是示意性的，實際應(yīng)用中可以具有任意數(shù)量的用戶、電子設(shè)備和服務(wù)端。

本申請實施例所提供的惡意消息識別方案，采用預(yù)先訓(xùn)練的模型對消息進行識別，模型的目標(biāo)特征采用消息發(fā)送方特征、消息接收方特征、消息內(nèi)容特征和消息傳播特征，由于此類特征從消息本身進行獲取，并且是從多個維度對消息進行刻畫，不需要依靠服務(wù)端對攻擊者服務(wù)端的訪問和資源讀取來進行判斷，識別的速度較快，整個識別過程中攻擊者無感之，識別準確率較高。接下來對本申請實施例進行詳細說明。

如圖1b所示，圖1b是本申請根據(jù)一示例性實施例示出的一種惡意消息識別方法的流程圖，包括如下步驟101至103：

在步驟101中，獲取待識別消息。

在步驟102中，獲取所述待識別消息的目標(biāo)特征，所述目標(biāo)特征至少包括四類特征：消息發(fā)送方特征、消息接收方特征、消息內(nèi)容特征和消息傳播特征。

在步驟103中，將所獲取的目標(biāo)特征輸入至預(yù)設(shè)的惡意消息識別模型，利用所述惡意消息識別模型識別出所述待識別消息是否為惡意消息。

本申請實施例的方法可應(yīng)用于電子設(shè)備中所安裝的客戶端，由客戶端對接收到的通訊消息進行識別；其中，對于電子設(shè)備的廠商，其提供的客戶端可能具有讀取電子設(shè)備中其他客戶端的通訊消息的權(quán)限，該客戶端也可以識別其他客戶端的通訊消息是否為惡意消息。在另一些例子中，也可以是應(yīng)用于與客戶端對應(yīng)的服務(wù)端中，客戶端可以獲取待識別消息并將待識別消息發(fā)送給服務(wù)端，由服務(wù)端對消息進行識別。另一方面，消息的識別時機可以是消息接收后實時識別，也可以是按照一定策略，在消息接收后的某段時間進行識別等等。在實際應(yīng)用中，可以結(jié)合具體需要，對本實施例方案進行靈活配置。

本申請實施例可以預(yù)先訓(xùn)練有惡意消息識別模型，該惡意消息識別模型可以設(shè)置于電子設(shè)備中，也可以設(shè)置于服務(wù)端中。在一些例子中，惡意消息模型可以由服務(wù)方預(yù)先進行訓(xùn)練，訓(xùn)練后的惡意消息模型可以存儲在電子設(shè)備中，以用于識別惡意消息。例如，在對惡意消息進行識別時，可以由服務(wù)端進行惡意消息識別后返回是否為惡意消息的結(jié)果，也可以是由電子設(shè)備利用惡意消息模型對惡意消息進行識別，直接判斷所接收的消息是否為惡意消息。

接下來對惡意消息識別模型進行說明。本實施例中，服務(wù)方可以預(yù)先準備用于訓(xùn)練的樣本數(shù)據(jù)。樣本數(shù)據(jù)可以包括正常消息樣本和惡意消息樣本。正常消息樣本的獲取可以通過收集被用戶標(biāo)記的或服務(wù)方的技術(shù)人員標(biāo)記的正常消息、或者是收集歷史正常消息、或者是從網(wǎng)絡(luò)數(shù)據(jù)庫中正常消息模板等方式得到。而惡意消息樣本的獲取則可以通過收集被用戶投訴或舉報的消息、或者是實際發(fā)生詐騙案件的惡意消息、或者是利用已有的識別方案識別出的惡意消息、或者是網(wǎng)絡(luò)數(shù)據(jù)庫中惡意消息模板等方式得到等等。實際應(yīng)用中，可以從多個關(guān)聯(lián)的電子設(shè)備獲取消息作為消息樣本，也可以從服務(wù)方所配置的服務(wù)器或數(shù)據(jù)庫中保存的消息記錄中獲取消息樣本。通常，樣本數(shù)據(jù)需要達到一定的數(shù)量以保證訓(xùn)練出的模型的精確度，而消息樣本越多，則模型的精確度可能越高。另一方面，當(dāng)惡意消息識別模型訓(xùn)練好后開始應(yīng)用，對用戶接收的待識別消息進行識別，而模型開始投入應(yīng)用后，所接收的各種消息及識別結(jié)果也可以作為樣本，從實現(xiàn)對惡意消息識別模型的持續(xù)訓(xùn)練及優(yōu)化。

在準備有上述樣本數(shù)據(jù)后，惡意消息識別模型可以利用樣本數(shù)據(jù)對機器學(xué)習(xí)模型訓(xùn)練得到。在訓(xùn)練過程中，訓(xùn)練一個準確率較高的合適的模型，需要依賴于特征選擇和模型選擇。其中，機器學(xué)習(xí)模型可以包括邏輯回歸模型、隨機森林模型、貝葉斯方法模型、支持向量機模型或神經(jīng)網(wǎng)絡(luò)模型等等，模型的選擇影響最終所訓(xùn)練得到的識別模型的精確度，因此，實際應(yīng)用中可以選擇多種模型進行訓(xùn)練，而訓(xùn)練過程較為耗時，需要復(fù)雜、迭代，經(jīng)常不斷的去試錯和重復(fù)。在一個可選的實現(xiàn)方式中，本實施例可以采用gdbt(gradientboostingdecisiontree)回歸模型。

訓(xùn)練過程的另一方面，是選取合適的特征。本實施例中所確定的特征，可以包括有消息發(fā)送方特征、消息接收方特征、消息內(nèi)容特征和消息傳播特征等等。

在消息通訊過程中，消息由消息發(fā)送方發(fā)出，發(fā)送方是正常用戶或是惡意攻擊者，消息發(fā)送方的相關(guān)信息可能不同。例如，惡意攻擊者可能采用虛擬號碼發(fā)送短信、惡意攻擊者的手機號碼歸屬地可能在偏遠位置、惡意攻擊者所采用的賬號可能注冊時間較短、惡意攻擊者的注冊賬戶的活躍度可能較低、惡意攻擊者的注冊賬戶可能不是實名賬戶等等。因此，消息發(fā)送方的相關(guān)信息可以作為一類識別因素。

相應(yīng)的，消息被發(fā)送給消息接收方，惡意攻擊者所針對的接收者可能具有某些特定的特征，因此，消息接收方的相關(guān)信息也可以作為一類識別因素。例如，實際應(yīng)用中，可能基于某些原因發(fā)生用戶的聯(lián)系方式泄露，這些泄露的用戶可能是同一個學(xué)校的學(xué)生、同一個企業(yè)的員工、或者是同一個通訊群組中的成員等等，惡意攻擊者根據(jù)這些接收方的聯(lián)系方式發(fā)出惡意消息。

另一方面，考慮到惡意消息的內(nèi)容通常包括有虛假內(nèi)容、誘騙內(nèi)容、釣魚鏈接、惡意攻擊者的聯(lián)系方式等等，因此消息內(nèi)容特征也可以作為一類識別因素。

通過分析已有的發(fā)生惡意攻擊的行為數(shù)據(jù)，通常惡意攻擊者可能會在一段時間內(nèi)集中向多個接收方發(fā)出惡意消息、也有可能是針對某些特定時期發(fā)送相關(guān)主題的惡意消息(例如新春紅包活動、雙十一購物節(jié)或跨年活動等)，因此，消息傳播特征也可以作為一類識別因素。

通過上述方式，服務(wù)方準備好樣本數(shù)據(jù)，選取好目標(biāo)特征和模型，即可預(yù)先訓(xùn)練出惡意消息識別模型，在惡意消息識別模型訓(xùn)練完成后，該惡意消息識別模型可以設(shè)置于電子設(shè)備中或者也可以設(shè)置于服務(wù)端中，在需要時，對待識別消息進行是否為惡意消息的識別。

本申請實施例中的待識別消息可以包括多種類型的通訊消息，例如基于移動通信網(wǎng)絡(luò)的短信息、郵件、即時通訊消息或第三方平臺的通訊消息(例如網(wǎng)購平臺中的用戶發(fā)布的評論消息、用戶發(fā)布的產(chǎn)品營銷消息)等等。消息的類型可以包括文字、語音、視頻或圖像等等。

具體的識別過程，可以獲取待識別消息的目標(biāo)特征，并輸入至該惡意消息識別模型中進行識別?？梢岳斫?，待識別消息的目標(biāo)特征與訓(xùn)練過程中所使用的特征類型相同，本實施例的目標(biāo)特征至少包括四類特征：消息發(fā)送方特征、消息接收方特征、消息內(nèi)容特征和消息傳播特征，接下來對該四類特征的獲取過程進行說明。

第一類、消息發(fā)送方特征。獲取該類特征的方式可以有多種形式，若待識別消息是短信息，可以提取消息發(fā)送方的通信號碼；若待識別消息是郵件，可以提取消息發(fā)送方的郵箱賬號；若待識別消息是即時通訊消息，可以提取消息發(fā)送方在該即時通訊服務(wù)方所注冊的賬號等等。

在一個可選的實現(xiàn)方式中，所述消息發(fā)送方特征包括如下一種或多種特征：

消息發(fā)送方的賬號相關(guān)特征；例如賬號本身的字符串或數(shù)字特征等等。

消息發(fā)送方的聯(lián)系方式特征；聯(lián)系方式可以包括電話號碼、家庭地址、采用電話號碼注冊的賬號，還可以包括電話號碼的歸屬地等等。

消息發(fā)送方的注冊信息相關(guān)特征；例如賬號的注冊時間或注冊地點、注冊時所提交的個人信息等等。

指示所述消息發(fā)送方是否關(guān)聯(lián)有預(yù)設(shè)標(biāo)簽的特征，所述預(yù)設(shè)標(biāo)簽包括如下一種或多種標(biāo)簽：批量注冊的垃圾賬戶、實名賬戶、被投訴過的賬戶、登記有發(fā)送過惡意消息記錄或發(fā)生過惡意行為。本實施例中，可以通過已有的歷史數(shù)據(jù)，確定批量注冊的垃圾賬戶、被投訴過的賬戶、登記有發(fā)送過惡意消息記錄或發(fā)生過惡意行為的賬戶；另一方面，可以根據(jù)注冊用戶的賬戶信息，確定已實名賬戶。針對上述需要關(guān)注的特征，可以設(shè)定相應(yīng)的標(biāo)簽。在獲取特征時，可以消息發(fā)送方的相關(guān)信息是否與上述預(yù)設(shè)標(biāo)簽相關(guān)聯(lián)。例如，獲取到消息發(fā)送方的賬號，該賬號指示對應(yīng)賬戶為被投訴過的賬戶，確定獲取到指示該消息發(fā)送方關(guān)聯(lián)有被投訴過的賬戶標(biāo)簽的特征。

第二類、消息接收方特征。實際應(yīng)用中，獲取該類特征的方式可以有多種形式，若待識別消息是短信息，可以提取消息接收方的通信號碼；若待識別消息是郵件，可以提取消息接收方的郵箱賬號；若待識別消息是即時通訊消息，可以提取消息接收方在該即時通訊服務(wù)方所注冊的賬號等等。

在一個可選的實現(xiàn)方式中，所述消息接收方特征包括如下一種或多種特征：

指示所述消息接收方的位置是否與所述消息接收者關(guān)聯(lián)的其他消息接收方在同一地區(qū)的特征。本實施例中，惡意消息有可能通過偽基站發(fā)送給同一地區(qū)的多個用戶，這些相同地區(qū)的用戶可能會接收到內(nèi)容相似的惡意消息。針對此種情況，與所述消息接收者關(guān)聯(lián)的其他消息接收方可以是指一定時間內(nèi)接收到內(nèi)容相似或相同消息的各個消息接收方，對于待識別消息，可以確定消息接收方與其他消息接收方是否在同一地區(qū)，并獲取到相應(yīng)特征。

指示所述消息接收方是否與所述其他消息接收方同屬于預(yù)設(shè)組織的特征。本實施例中，預(yù)設(shè)組織可以是相同的聊天群組等虛擬組織，也可以是指相同學(xué)校、企業(yè)等實體組織。由于考慮到可能基于某些原因發(fā)生用戶聯(lián)系方式泄露，這些泄露的用戶可能是同一個學(xué)校的學(xué)生、同一個企業(yè)的員工、或者是同一個通訊群組中的成員等等。因此，對于待識別消息，可以確定消息接收方與其他關(guān)聯(lián)的消息接收方是否在同屬于預(yù)設(shè)組織，并獲取到相應(yīng)特征。

指示所述消息接收方是否與所述其他消息接收方具有相同行為的特征。本實施例中，考慮到可能出現(xiàn)訂單詐騙，該相同行為可以包括是否購買了同一商戶的商品；考慮到可能是釣魚wifi詐騙，該相同行為可以包括是否都連接過某一可疑wifi等等。因此，對于待識別消息，可以確定消息接收方與其他消息接收方是否具有相同行為，并獲取到相應(yīng)特征。

第三類、消息內(nèi)容特征。本實施例中，可以從待識別消息中提取全部或部分消息內(nèi)容作為消息內(nèi)容特征，還可以包括消息長度、是否包括網(wǎng)址、是否包括敏感字詞、是否包括銀行卡號等等。

在一個可選的實現(xiàn)方式中，所述消息內(nèi)容歷史特征包括如下一種或多種特征：

指示所述消息內(nèi)容是否為歷史出現(xiàn)內(nèi)容的特征。例如可以利用已有的歷史消息數(shù)據(jù)，確定消息內(nèi)容是新出現(xiàn)的內(nèi)容，還是為已出現(xiàn)過的，屬于歷史出現(xiàn)內(nèi)容。

指示所述消息內(nèi)容是否為已被識別為惡意消息內(nèi)容的特征。指示所述消息內(nèi)容是否為已被舉報為惡意消息內(nèi)容的特征。本實施例中，可以利用已有的包括有惡意消息的歷史消息數(shù)據(jù)，確定消息內(nèi)容是否為已被識別為惡意消息內(nèi)容，或者是已被舉報為惡意消息內(nèi)容，并獲取到相應(yīng)特征。

第四類、消息傳播特征。本實施例中，可以獲取待識別消息的發(fā)送時間或接收方的所處位置等，獲取相關(guān)的消息傳播特征。

在一個可選的實現(xiàn)方式中，所述消息傳播特征包括如下一種或多種特征：

所述待識別消息以及與所述待識別消息關(guān)聯(lián)的其他消息傳播過程的速度特征。例如，根據(jù)與所述待識別消息關(guān)聯(lián)的其他消息的數(shù)量及發(fā)送時間，確定消息的速度是爆發(fā)性傳播，還是平緩傳播等等。

所述待識別消息以及與所述其他消息傳播過程的發(fā)散特征。例如，根據(jù)消息接收方的所處位置，以及其他消息的接收方的所處位置，確定消息傳播是點對點傳播，還是由中心節(jié)點發(fā)散傳播等等。

所述待識別消息以及與所述其他消息傳播過程的周期特征。例如，根據(jù)消息的發(fā)送時間，確定是否與某些設(shè)定周期匹配，如隨著雙十一、新春紅包活動臨近而爆發(fā)，隨著活動結(jié)束而消失等等。

由上述實施例可見，本實施例采用預(yù)先訓(xùn)練的模型對消息進行識別，模型的目標(biāo)特征采用消息發(fā)送方特征、消息接收方特征、消息內(nèi)容特征和消息傳播特征，由于此類特征從消息本身進行獲取，并且是從多個維度對消息進行刻畫，不需要依靠服務(wù)端對攻擊者服務(wù)端的訪問和資源讀取來進行判斷，因此識別的速度較快，整個識別過程中攻擊者無感之，識別準確率更高。

如圖2所示，是本申請根據(jù)一示例性實施例示出的另一種惡意消息識別方法的流程圖，圖2中的惡意消息以惡意短信為例，當(dāng)惡意鏈接服務(wù)端生成惡意鏈接，由惡意短信發(fā)送者發(fā)送一條含有惡意鏈接的短信至接收者的電子設(shè)備時，電子設(shè)備可以提取短信的詳細特征(例如短信發(fā)送者特征、短信接收者特征、短信發(fā)送時間特征、短信鏈接特征、短信中鏈接的傳播特征、短信中鏈接的歷史特征、短信內(nèi)容特征等等)，惡意短信檢測服務(wù)端可以將特征抽樣為模型指標(biāo)，并輸入至惡意消息識別模型中，由識別模型進行相關(guān)運算，服務(wù)端獲取模型識別結(jié)果，根據(jù)識別結(jié)果，服務(wù)端可以向接收者的電子設(shè)備返回該短信是否安全的消息，以指示電子設(shè)備是否對該用戶進行保護。

由上述實施例可見，惡意短信檢測服務(wù)端不再依靠對攻擊者服務(wù)端的訪問和資源讀取來判斷短信是否為惡意短信，整個過程攻擊者無感之也無法隱藏。

與前述惡意消息識別方法的實施例相對應(yīng)，本申請還提供了惡意消息識別裝置及其所應(yīng)用的計算機設(shè)備的實施例。

本申請惡意消息識別裝置的實施例可以應(yīng)用在計算機設(shè)備上，例如服務(wù)器或終端設(shè)備。裝置實施例可以通過軟件實現(xiàn)，也可以通過硬件或者軟硬件結(jié)合的方式實現(xiàn)。以軟件實現(xiàn)為例，作為一個邏輯意義上的裝置，是通過其所在惡意消息識別的處理器將非易失性存儲器中對應(yīng)的計算機程序指令讀取到內(nèi)存中運行形成的。從硬件層面而言，如圖3所示，為本申請惡意消息識別裝置所在計算機設(shè)備的一種硬件結(jié)構(gòu)圖，除了圖3所示的處理器310、內(nèi)存330、網(wǎng)絡(luò)接口320、以及非易失性存儲器340之外，實施例中裝置331所在的計算機設(shè)備，通常根據(jù)該服務(wù)器或電子設(shè)備的實際功能，還可以包括其他硬件，對此不再贅述。

如圖4所示，圖4是本申請根據(jù)一示例性實施例示出的一種惡意消息識別裝置的框圖，所述裝置包括：

消息獲取模塊41，用于：獲取待識別消息。

特征獲取模塊42，用于：獲取所述待識別消息的目標(biāo)特征，所述目標(biāo)特征至少包括四類特征：消息發(fā)送方特征、消息接收方特征、消息內(nèi)容特征和消息傳播特征。

識別模塊43，用于：將所獲取的目標(biāo)特征輸入至預(yù)設(shè)的惡意消息識別模型，利用所述惡意消息識別模型識別出所述待識別消息是否為惡意消息。

可選的，所述消息發(fā)送方特征包括如下一種或多種特征：

消息發(fā)送方的賬號相關(guān)特征。

消息發(fā)送方的聯(lián)系方式特征。

消息發(fā)送方的注冊信息相關(guān)特征。

指示所述消息發(fā)送方是否關(guān)聯(lián)有預(yù)設(shè)標(biāo)簽的特征，所述預(yù)設(shè)標(biāo)簽包括如下一種或多種標(biāo)簽：批量注冊的垃圾賬戶、實名賬戶、被投訴過的賬戶、登記有發(fā)送過惡意消息記錄或發(fā)送過惡意行為。

可選的，所述消息接收方特征包括如下一種或多種特征：

指示所述消息接收方的位置是否與所述消息接收方關(guān)聯(lián)的其他消息接收方在同一地區(qū)的特征。

指示所述消息接收方是否與所述其他消息接收方同屬于預(yù)設(shè)組織的特征。

指示所述消息接收方是否與所述其他消息接收方具有相同行為的特征。

可選的，所述消息內(nèi)容歷史特征包括如下一種或多種特征：

指示所述消息內(nèi)容是否為歷史出現(xiàn)內(nèi)容的特征。

指示所述消息內(nèi)容是否為已被識別為惡意消息內(nèi)容的特征。

指示所述消息內(nèi)容是否為已被舉報為惡意消息內(nèi)容的特征。

可選的，所述消息傳播特征包括如下一種或多種特征：

所述待識別消息以及與所述待識別消息關(guān)聯(lián)的其他消息傳播過程的速度特征。

所述待識別消息以及與所述其他消息傳播過程的發(fā)散特征。

所述待識別消息以及與所述其他消息傳播過程的周期特征。

可選的，所述惡意消息識別模型是利用樣本數(shù)據(jù)對機器學(xué)習(xí)模型訓(xùn)練得到的。

上述惡意消息識別裝置中各個模塊的功能和作用的實現(xiàn)過程具體詳見上述惡意消息識別方法中對應(yīng)步驟的實現(xiàn)過程，在此不再贅述。

對于裝置實施例而言，由于其基本對應(yīng)于方法實施例，所以相關(guān)之處參見方法實施例的部分說明即可。以上所描述的裝置實施例僅僅是示意性的，其中所述作為分離部件說明的模塊可以是或者也可以不是物理上分開的，作為模塊顯示的部件可以是或者也可以不是物理模塊，即可以位于一個地方，或者也可以分布到多個網(wǎng)絡(luò)模塊上?？梢愿鶕?jù)實際的需要選擇其中的部分或者全部模塊來實現(xiàn)本申請方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動的情況下，即可以理解并實施。

相應(yīng)的，本申請實施例還提供一種裝置，包括：處理器；用于存儲處理器可執(zhí)行指令的存儲器；其中，所述處理器被配置為：

獲取待識別消息。

獲取所述待識別消息的目標(biāo)特征，所述目標(biāo)特征至少包括四類特征：消息發(fā)送方特征、消息接收方特征、消息內(nèi)容特征和消息傳播特征。

將所獲取的目標(biāo)特征輸入至預(yù)設(shè)的惡意消息識別模型，利用所述惡意消息識別模型識別出所述待識別消息是否為惡意消息。

本申請實施例還提供一種計算機存儲介質(zhì)，所述存儲介質(zhì)中存儲有程序指令，所述程序指令包括：

獲取待識別消息。

獲取所述待識別消息的目標(biāo)特征，所述目標(biāo)特征至少包括四類特征：消息發(fā)送方特征、消息接收方特征、消息內(nèi)容特征和消息傳播特征。

將所獲取的目標(biāo)特征輸入至預(yù)設(shè)的惡意消息識別模型，利用所述惡意消息識別模型識別出所述待識別消息是否為惡意消息。

本申請實施例可采用在一個或多個其中包含有程序代碼的存儲介質(zhì)(包括但不限于磁盤存儲器、cd-rom、光學(xué)存儲器等)上實施的計算機程序產(chǎn)品的形式。計算機可用存儲介質(zhì)包括永久性和非永久性、可移動和非可移動媒體，可以由任何方法或技術(shù)來實現(xiàn)信息存儲。信息可以是計算機可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序的模塊或其他數(shù)據(jù)。計算機的存儲介質(zhì)的例子包括但不限于：相變內(nèi)存(pram)、靜態(tài)隨機存取存儲器(sram)、動態(tài)隨機存取存儲器(dram)、其他類型的隨機存取存儲器(ram)、只讀存儲器(rom)、電可擦除可編程只讀存儲器(eeprom)、快閃記憶體或其他內(nèi)存技術(shù)、只讀光盤只讀存儲器(cd-rom)、數(shù)字多功能光盤(dvd)或其他光學(xué)存儲、磁盒式磁帶，磁帶磁磁盤存儲或其他磁性存儲設(shè)備或任何其他非傳輸介質(zhì)，可用于存儲可以被計算設(shè)備訪問的信息。

本領(lǐng)域技術(shù)人員在考慮說明書及實踐這里申請的發(fā)明后，將容易想到本申請的其它實施方案。本申請旨在涵蓋本申請的任何變型、用途或者適應(yīng)性變化，這些變型、用途或者適應(yīng)性變化遵循本申請的一般性原理并包括本申請未申請的本技術(shù)領(lǐng)域中的公知常識或慣用技術(shù)手段。說明書和實施例僅被視為示例性的，本申請的真正范圍和精神由下面的權(quán)利要求指出。

應(yīng)當(dāng)理解的是，本申請并不局限于上面已經(jīng)描述并在附圖中示出的精確結(jié)構(gòu)，并且可以在不脫離其范圍進行各種修改和改變。本申請的范圍僅由所附的權(quán)利要求來限制。

以上所述僅為本申請的較佳實施例而已，并不用以限制本申請，凡在本申請的精神和原則之內(nèi)，所做的任何修改、等同替換、改進等，均應(yīng)包含在本申請保護的范圍之內(nèi)。