[发明专利]基于DOM树的标签及属性相似性的恶意域名检测方法

权利要求书

1.一种基于DOM树的标签及属性相似性的恶意域名检测方法，其特征在于，所述方法包括：

采集恶意类型域名集，将恶意域名集转化成二进制串存入数据库；

将未知类型的域名转化为二进制串；

将未知类型域名对应的二进制串与数据库中恶意类型域名集的二进制串对比，通过二者相似度来判断该未知类型域名的恶意性。

2.根据权利要求1所述的基于DOM树的标签及属性相似性的恶意域名检测方法，其特征在于，将恶意域名集转化成二进制串的步骤为：

(1)获取恶意域名集中每个域名对应的网页加载过程完成后的HTML文档；

(2)构造HTML文档对应的DOM树；

(3)从每棵DOM树中提取一定层数内的节点标签名及对应的全部属性名，将提取到的标签名及属性名的文本序列转化为二进制串。

3.根据权利要求2所述的基于DOM树的标签及属性相似性的恶意域名检测方法，其特征在于，构造HTML文档对应的DOM树具体方法为：利用Python第三方解析库将HTML文档解析成DOM树。

4.根据权利要求2所述的基于DOM树的标签及属性相似性的恶意域名检测方法，其特征在于，提取DOM树的标签名和属性名构造文本序列的方法为：对于域名中每个域名的DOM树按照一定的搜索遍历方法遍历一定层数内的每个节点，提取相应节点的标签名和属性名将DOM树结构转为文本序列。

5.根据权利要求4所述的基于DOM树的标签及属性相似性的恶意域名检测方法，其特征在于，所述DOM树的搜索遍历方法采用广度搜索遍历的方法。

6.根据权利要求2所述的基于DOM树的标签及属性相似性的恶意域名检测方法，其特征在于，所述DOM树为包含节点间层次化关系的DOM树。

7.根据权利要求6所述的基于DOM树的标签及属性相似性的恶意域名检测方法，其特征在于，所述标签名及属性名的文本序列利用Simhash算法转化为二进制串。

8.根据权利要求7所述的基于DOM树的标签及属性相似性的恶意域名检测方法，其特征在于，将未知类型的域名转化为二进制串的过程与恶意域名集转化成二进制串的过程相同。

9.根据权利要求8所述的基于DOM树的标签及属性相似性的恶意域名检测方法，其特征在于，未知类型域名采用二进制串判断恶意性的过程为：将未知类型域名对应的二进制串与恶意类型域名集对应的二进制串比较，当相似性超过阈值时不能判断该域名的类型；当相似性在阈值内时，则认定两者相似，从而检测出该未知类型域名为恶意性。

10.根据权利要求9所述的基于DOM树的标签及属性相似性的恶意域名检测方法，其特征在于，进行二进制串相似性比较时，将未知类型域名对应的二进制串与数据库中的每个二进制串逐一进行两两比较，计算得到二者间的海明距离，采用海明距离来衡量二者的相似性。