恶意消息识别方法、装置、设备和计算机存储介质制造方法及图纸

本申请提供一种恶意消息识别方法、装置、设备及计算机存储介质，所述方法包括：获取待识别消息；获取所述待识别消息的目标特征，所述目标特征至少包括四类特征：消息发送方特征、消息接收方特征、消息内容特征和消息传播特征；将所获取的目标特征输入至预设的恶意消息识别模型，利用所述恶意消息识别模型识别出所述待识别消息是否为恶意消息。本申请实施例不依赖于消息内容中的链接是否可以访问、是否存活，也不需要依赖木马检测引擎对木马的识别结果，也不需要访问攻击者服务端，因此能实现恶意消息的快速识别，并且识别效率较高。

Malicious message recognition method, device, device and computer storage medium

This application provides a malicious message recognition method, apparatus, equipment and computer storage medium, the method comprises: obtaining identifying information; acquiring the target feature to identify the message, the target feature includes at least four kinds of features: the message sender characteristics, message receiver characteristics, message content and message propagation characteristics; the target feature will have access to malicious input message recognition model of default, the message is to be identified as malicious messages by identifying the malicious message identification model. Is the embodiment of the application does not depend on the link in the message content can be accessed, whether the survival, depends on the Trojan detection engine to Trojan identification results do not need to, also do not need access to the attacker server, so to achieve the rapid identification of malicious messages, and high efficiency of identification.

【技术实现步骤摘要】
恶意消息识别方法、装置、设备和计算机存储介质
本申请涉及互联网
，尤其涉及恶意消息识别方法、装置、设备和计算机存储介质。
技术介绍
随着互联网技术的快速发展，各种通讯系统的专利技术大大方便了用户之间的相互交流。各用户之间可以利用电子设备建立通信网络连接，并可以传递包括有文字、图像、语音或视频等等的通讯消息。然而，随之而来的恶意消息也急剧泛滥，大量的恶意消息给用户带来了困扰。例如，恶意消息中往往携带不法分子的联系信息，以诱导用户访问某个钓鱼链接，以联系不法分子、查询不法信息、下载木马或转账等。目前，越来越多的服务方提供恶意消息识别服务。相关技术中的一种方案，可以将消息中的链接内容发送到服务端，服务端通过访问该链接或下载对应的木马等方式，以分析该链接是否恶意，进而分析该消息是否是恶意消息。但该方案可能存在的问题有：恶意消息中的链接可能在传播之后的短时间内即失效，失效后服务端可能无法获取相应的信息；恶意消息中的链接可能根据访问者的IP信息、访问者使用的设备信息、访问者访问的时间等进行针对性的隐藏，使得服务端访问时该链接正常，但用户访问该链接时中招。另外，恶意链接中对应的木马可能通过加壳、下载攻击代码等方式绕过现有的木马检测引擎。因此，如何快速有效识别恶意消息成为亟需解决的问题。
技术实现思路
为克服相关技术中存在的问题，本申请提供了恶意消息识别方法、装置、设备和计算机存储介质方法。一种恶意消息识别方法，所述方法包括：获取待识别消息；获取所述待识别消息的目标特征，所述目标特征至少包括四类特征：消息发送方特征、消息接收方特征、消息内容特征和消息传播特征；将所获取的目标特征输入至预设的恶意消息识别模型，利用所述恶意消息识别模型识别出所述待识别消息是否为恶意消息。可选的，所述消息发送方特征包括如下一种或多种特征：消息发送方的账号相关特征；消息发送方的联系方式特征；消息发送方的注册信息相关特征；指示所述消息发送方是否关联有预设标签的特征，所述预设标签包括如下一种或多种标签：批量注册的垃圾账户、实名账户、被投诉过的账户、登记有发送过恶意消息记录或发送过恶意行为。可选的，所述消息接收方特征包括如下一种或多种特征：指示所述消息接收方的位置是否与所述消息接收方关联的其他消息接收方在同一地区的特征；指示所述消息接收方是否与所述其他消息接收方同属于预设组织的特征；指示所述消息接收方是否与所述其他消息接收方具有相同行为的特征。可选的，所述消息内容历史特征包括如下一种或多种特征：指示所述消息内容是否为历史出现内容的特征；指示所述消息内容是否为已被识别为恶意消息内容的特征；指示所述消息内容是否为已被举报为恶意消息内容的特征。可选的，所述消息传播特征包括如下一种或多种特征：所述待识别消息以及与所述待识别消息关联的其他消息传播过程的速度特征；所述待识别消息以及与所述其他消息传播过程的发散特征；所述待识别消息以及与所述其他消息传播过程的周期特征；可选的，所述恶意消息识别模型是利用样本数据对机器学习模型训练得到的。一种恶意消息识别装置，所述装置包括：消息获取模块，用于：获取待识别消息；特征获取模块，用于：获取所述待识别消息的目标特征，所述目标特征至少包括四类特征：消息发送方特征、消息接收方特征、消息内容特征和消息传播特征；识别模块，用于：将所获取的目标特征输入至预设的恶意消息识别模型，利用所述恶意消息识别模型识别出所述待识别消息是否为恶意消息。可选的，所述消息发送方特征包括如下一种或多种特征：消息发送方的账号相关特征；消息发送方的联系方式特征；消息发送方的注册信息相关特征；指示所述消息发送方是否关联有预设标签的特征，所述预设标签包括如下一种或多种标签：批量注册的垃圾账户、实名账户、被投诉过的账户、登记有发送过恶意消息记录或发送过恶意行为。可选的，所述消息接收方特征包括如下一种或多种特征：指示所述消息接收方的位置是否与所述消息接收方关联的其他消息接收方在同一地区的特征；指示所述消息接收方是否与所述其他消息接收方同属于预设组织的特征；指示所述消息接收方是否与所述其他消息接收方具有相同行为的特征。可选的，所述消息内容历史特征包括如下一种或多种特征：指示所述消息内容是否为历史出现内容的特征；指示所述消息内容是否为已被识别为恶意消息内容的特征；指示所述消息内容是否为已被举报为恶意消息内容的特征。可选的，所述消息传播特征包括如下一种或多种特征：所述待识别消息以及与所述待识别消息关联的其他消息传播过程的速度特征；所述待识别消息以及与所述其他消息传播过程的发散特征；所述待识别消息以及与所述其他消息传播过程的周期特征；可选的，所述恶意消息识别模型是利用样本数据对机器学习模型训练得到的。一种计算机设备，包括：处理器；用于存储处理器可执行指令的存储器；其中，所述处理器被配置为：获取待识别消息；获取所述待识别消息的目标特征，所述目标特征至少包括四类特征：消息发送方特征、消息接收方特征、消息内容特征和消息传播特征；将所获取的目标特征输入至预设的恶意消息识别模型，利用所述恶意消息识别模型识别出所述待识别消息是否为恶意消息。一种计算机存储介质，所述存储介质中存储有程序指令，所述程序指令包括：获取待识别消息；获取所述待识别消息的目标特征，所述目标特征至少包括四类特征：消息发送方特征、消息接收方特征、消息内容特征和消息传播特征；将所获取的目标特征输入至预设的恶意消息识别模型，利用所述恶意消息识别模型识别出所述待识别消息是否为恶意消息。本申请的实施例提供的技术方案可以包括以下有益效果：本申请实施例中，利用预设的恶意消息识别模型，通过获取待识别消息的至少四类特征：消息发送方特征、消息接收方特征、消息内容特征和消息传播特征，对待识别消息进行是否为恶意消息的识别。由于此类特征从消息本身进行获取，通过上述至少四个维度的特征描述一条消息，相对于相关技术，这些特征不依赖于消息内容中的链接是否可以访问、是否存活，也不需要依赖木马检测引擎对木马的识别结果，也不需要访问攻击者服务端，因此能实现恶意消息的快速识别，整个识别过程中攻击者无感之，并且识别效率较高。应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本申请。附图说明此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。图1A是本申请根据一示例性实施例示出的一种恶意消息识别方法的应用场景图。图1B是本申请根据一示例性实施例示出的一种恶意消息识别方法的流程图。图2是本申请根据一示例性实施例示出的另一种恶意消息识别方法的流程图。图3是本申请恶意消息识别装置所在计算机设备的一种硬件结构图。图4是本申请根据一示例性实施例示出的一种恶意消息识别装置的框图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单本文档来自技高网...

【技术保护点】
一种恶意消息识别方法，所述方法包括：获取待识别消息；获取所述待识别消息的目标特征，所述目标特征至少包括四类特征：消息发送方特征、消息接收方特征、消息内容特征和消息传播特征；将所获取的目标特征输入至预设的恶意消息识别模型，利用所述恶意消息识别模型识别出所述待识别消息是否为恶意消息。

【技术特征摘要】
1.一种恶意消息识别方法，所述方法包括：获取待识别消息；获取所述待识别消息的目标特征，所述目标特征至少包括四类特征：消息发送方特征、消息接收方特征、消息内容特征和消息传播特征；将所获取的目标特征输入至预设的恶意消息识别模型，利用所述恶意消息识别模型识别出所述待识别消息是否为恶意消息。2.根据权利要求1所述的方法，所述消息发送方特征包括如下一种或多种特征：消息发送方的账号相关特征；消息发送方的联系方式特征；消息发送方的注册信息相关特征；指示所述消息发送方是否关联有预设标签的特征，所述预设标签包括如下一种或多种标签：批量注册的垃圾账户、实名账户、被投诉过的账户、登记有发送过恶意消息记录或发送过恶意行为。3.根据权利要求1所述的方法，所述消息接收方特征包括如下一种或多种特征：指示所述消息接收方的位置是否与所述消息接收方关联的其他消息接收方在同一地区的特征；指示所述消息接收方是否与所述其他消息接收方同属于预设组织的特征；指示所述消息接收方是否与所述其他消息接收方具有相同行为的特征。4.根据权利要求1所述的方法，所述消息内容历史特征包括如下一种或多种特征：指示所述消息内容是否为历史出现内容的特征；指示所述消息内容是否为已被识别为恶意消息内容的特征；指示所述消息内容是否为已被举报为恶意消息内容的特征。5.根据权利要求1所述的方法，所述消息传播特征包括如下一种或多种特征：所述待识别消息以及与所述待识别消息关联的其他消息传播过程的速度特征；所述待识别消息以及与所述其他消息传播过程的发散特征；所述待识别消息以及与所述其他消息传播过程的周期特征。6.根据权利要求1所述的方法，所述恶意消息识别模型是利用样本数据对机器学习模型训练得到的。7.一种恶意消息识别装置，所述装置包括：消息获取模块，用于：获取待识别消息；特征获取模块，用于：获取所述待识别消息的目标特征，所述目标特征至少包括四类特征：消息发送方特征、消息接收方特征、消息内容特征和消息传播特征；识别模块，用于：将所获取的目标特征输入至预设的恶意消息识别模型，利用所述恶意消息识别模型识别出所述待识别消息是否为恶意消息。8.根据权利要求7所...

【专利技术属性】
技术研发人员：赵豪，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY