[发明专利]基于DOM树的标签及属性相似性的恶意域名检测方法

说明书

本发明提供一种基于DOM树的标签及属性相似性的恶意域名检测方法，其解决了现有恶意域名检测方法检测率低、准确性差的技术问题。该方法包括：采集恶意类型域名集，将恶意域名集转化成二进制串存入数据库；将未知类型的域名转化为二进制串；将未知类型域名对应的二进制串与数据库中恶意类型域名集的二进制串对比，通过二者相似度来判断该未知类型域名的恶意性。本发明可广泛应用于网络安全系统中。

技术领域

本发明涉及一种恶意域名检测方法，特别是涉及一种基于DOM树的标签及属性相似性的恶意域名检测方法。

背景技术

近年来，各类恶意域名数量的持续增长对广大用户的个人隐私、财产安全甚至身心健康造成的巨大威胁，恶意域名的存在严重阻碍着互联网的健康发展。虽然恶意域名数量庞大，但是在实际情况中恶意域名注册者为了达到低成本、快速、大量生成恶意域名的目的，会注册大量不同的域名，但这些域名的网页结构相同或相似。

目前从恶意域名对应的网页研究角度出发的恶意域名检测方法主要依赖于网页内容，但是网页内容的不断变化使得从恶意域名的网页内容相似性这一角度出发进行恶意域名的检测率较低，极大地影响了恶意域名网页的识别率，准确性差。

发明内容

本发明针对现有恶意域名检测方法检测率低、准确性差的技术问题，提供一种准确性高、效率高的基于DOM树的标签及属性相似性的恶意域名检测方法。

为此，本发明的技术方案是，一种基于DOM树的标签及属性相似性的恶意域名检测方法，包括：

采集恶意类型域名集，将恶意域名集转化成二进制串存入数据库；

将未知类型的域名转化为二进制串；

将未知类型域名对应的二进制串与数据库中恶意类型域名集的二进制串对比，通过二者相似度来判断该未知类型域名的恶意性。

优选的，将恶意域名集转化成二进制串的步骤为：

(1)获取恶意域名集中每个域名对应的网页加载过程完成后的HTML文档；

(2)构造HTML文档对应的DOM树；

(3)从每棵DOM树中提取一定层数内的节点标签名及对应的全部属性名，将提取到的标签名及属性名的文本序列转化为二进制串。

优选的，构造HTML文档对应的DOM树具体方法为：利用Python第三方解析库将HTML文档解析成DOM树。

优选的，提取DOM树的标签名和属性名构造文本序列的方法为：对于域名中每个域名的DOM树按照一定的搜索遍历方法遍历一定层数内的每个节点，提取相应节点的标签名和属性名将DOM树结构转为文本序列。

优选的，DOM树的搜索遍历方法采用广度搜索遍历的方法。

优选的，DOM树为包含节点间层次化关系的DOM树。

优选的，标签名及属性名的文本序列利用Simhash算法转化为二进制串。

优选的，将未知类型的域名转化为二进制串的过程与恶意域名集转化成二进制串的过程相同。

优选的，未知类型域名采用二进制串判断恶意性的过程为：将未知类型域名对应的二进制串与恶意类型域名集对应的二进制串比较，当相似性超过阈值时不能判断该域名的类型；当相似性在阈值内时，则认定两者相似，从而检测出该未知类型域名为恶意性。

优选的，进行二进制串相似性比较时，将未知类型域名对应的二进制串与数据库中的每个二进制串逐一进行两两比较，计算得到二者间的海明距离，采用海明距离来衡量二者的相似性。

本发明有益效果如下：