[发明专利]国际化域名欺骗攻击识别分析方法及系统

说明书

公开了一种国际化域名欺骗攻击识别分析方法及系统。该方法可以包括：将域名转化为图片，获得图片向量；针对图片向量进行格式化，获得缩放图片向量；针对缩放图片向量进行灰度化，获得一维图片向量；针对一维图片向量进行归一化，获得归一化图片向量；根据测试集计算不同阈值情况下的准确率，以准确率最大时对应的阈值为实际应用阈值；获取归一化图片向量的直方图特征向量，计算与已知域名对应图片的相似度；根据相似度与实际应用阈值，判断域名是否为仿冒域名。本发明通过将国际化域名转化为图片，通过图片识别，分析出仿冒国际化域名，方法具有普适性，且分析成本较低。

技术领域

本发明涉及仿冒域名识别领域，更具体地，涉及一种国际化域名欺骗攻击识别分析方法及系统。

背景技术

国际化域名(Internationalized Domain Names，简称IDN域名)也称特殊字符域名，是指部分或完全使用特殊的文字或字母组成的互联网域名，包括中文、法语、阿拉伯语等非英文字母，使得世界各地的用户可以直接使用各自的母语输入域名，从而方便了用户，然而也产生了安全隐患。由于Unicode字符集中存在许多字形相似的字符，因而可以构造出大量字形相似的Unicode字符串，如表1所示。IDN域名欺骗攻击是指攻击者利用Unicode字符集中的相似字符，注册与合法网站非常相似的IDN域名，伪造网站来欺骗用户的行为。例如，域名“аpple.com”(Punycode编码“xn--pple-43d.com”)使用了西里尔字母的‘а’代替英文字母‘a’，使用户误以为是苹果公司的域名“apple.com”。

表1

通过对域名数据分析，发现一些针对苹果、微软、谷歌等知名公司的IDN域名欺骗攻击，如钓鱼攻击，骗取用户用户名、口令、账号密码等，详见表2。

表2

现有的仿冒域名分析方法大致分为构造特征识别方法和访问行为识别方法。前一种方法将域名转化为直方图特征向量，通过向量相似度计算，判断域名是否属于仿冒域名，该类方法主要基于文本直方图特征向量进行分析且特征单一，针对不同类域名，需要重新设计文本特征，不具有普适性。后一种方法利用正常域名和仿冒域名的访问行为差异，进行识别，该类方法主要通过解析DNS服务器上的DNS日志，进行数据分析，在线进行识别，成本较高。同时，以上两种方法，主要对于非国际化仿冒域名进行识别，即使有针对国际化域名，也仅仅对中文国际化域名进行识别分析。因此，有必要开发一种国际化域名欺骗攻击识别分析方法及系统。

公开于本发明背景技术部分的信息仅仅旨在加深对本发明的一般背景技术的理解，而不应当被视为承认或以任何形式暗示该信息构成已为本领域技术人员所公知的现有技术。

发明内容

本发明提出了一种国际化域名欺骗攻击识别分析方法及系统，其能够通过将国际化域名转化为图片，通过图片识别，分析出仿冒国际化域名，方法具有普适性，且分析成本较低。

根据本发明的一方面，提出了一种国际化域名欺骗攻击识别分析方法。所述方法可以包括：将域名转化为图片，获得图片向量；针对所述图片向量进行格式化，获得缩放图片向量；针对所述缩放图片向量进行灰度化，获得一维图片向量；针对所述一维图片向量进行归一化，获得归一化图片向量；根据测试集计算不同阈值情况下的准确率，以所述准确率最大时对应的阈值为实际应用阈值；获取所述归一化图片向量的直方图特征向量，计算与已知域名对应图片的相似度；根据所述相似度与所述实际应用阈值，判断域名是否为仿冒域名。

优选地，通过公式(1)计算所述准确率：

其中，acc为准确率，P为精确率，R为召回率。

优选地，所述精确率为：

所述召回率为：