[发明专利]网域名称识别方法及网域名称识别装置

说明书

本发明提出一种网域名称识别方法及网域名称识别装置。网域名称识别方法包括：获得第一网域名称的第一字串及第二网域名称的第二字串；将第一字串及第二字串的多个字符分类成多个群集，并产生对应群集的多个向量，其中每个字符对应到向量的其中之一；产生对应第一字串的第一向量组及对应第二字串的第二向量组；以及利用算法来计算第一向量组及第二向量组的相似度。

技术领域

本发明涉及一种网域名称识别方法及网域名称识别装置，尤其涉及一种能识别恶意网站的网域名称识别方法及网域名称识别装置。

背景技术

许多恶意网站会将网域名称(Domain name)设计的很像使用者一般常造访的安全网站(例如，goog1e.com)。这些恶意网站会尝试诱骗使用者提供帐号和密码，以存取使用者的网上帐户。一旦成功存取帐户，便可利用使用者的个人资料窃取身份、盗用信用卡、提取银行帐户存款、查阅使用者的电邮，甚至进一步变更密码，使得使用者无法登入网上帐户。

虽然我们可以通过某些特征来检测这些恶意网站(例如，网域名称、网页内容等)，但随着每位使用者对于资安相关知识的了解程度不同，警觉程度也不相同。大部分使用者往往在不经意的情况下进入恶意网站而不自觉，当发现明显异状时(例如，密码已遭到修改)，相关数据往往已经遭到窃取。

过去防范恶意网站的方式是利用使用者反馈的数据，整理出可疑网站的清单，再请资安专家针对这些网站仔细研究，最终筛选出真正具高风险性的网站，并将其列入黑名单。但这样的流程相当旷日废时，导致当新的恶意网站出现时，无法及时更新黑名单。此外，整理的过程中需要许多资安专家参与其中，耗费大量人力资源。因此，如何能有效地识别恶意网站是本领域技术人员应致力的目标。

发明内容

本发明提供一种网域名称识别方法及网域名称识别装置，能有效地识别恶意网站。

本发明提出一种网域名称识别方法，包括：获得第一网域名称的第一字串及第二网域名称的第二字串；将第一字串及第二字串的多个字符分类成多个群集，并产生对应群集的多个向量，其中每个字符对应到向量的其中之一；产生对应第一字串的第一向量组及对应第二字串的第二向量组；以及利用算法来计算第一向量组及第二向量组的相似度。

在本发明的一实施例中，上述第一字串及第二字串的长度不必相同。

在本发明的一实施例中，上述每个向量为单位向量，且不同的群集对应到不同的向量。

在本发明的一实施例中，上述算法为动态时间归整(Dynamic Time Warping，DTW)算法。

在本发明的一实施例中，上述算法产生维度对应第一字串的长度及第二字串的长度的矩阵，建立矩阵中的最左下元素到最右上元素的最短距离路径，计算最短距离路径上的每个元素对应的第一向量组的其中之一及第二向量组的其中之一的距离，并根据最短距离路径上的每个距离的总和来计算相似度。

在本发明的一实施例中，上述矩阵的每个元素的值为每个元素的距离加上每个元素的左方元素、下方元素及左下方元素的值的最小值的总和，且最短距离路径通过从矩阵的最右上元素选出最右上元素的左方元素、下方元素及左下方元素中元素值最小的元素来产生。

本发明提出一种网域名称识别装置，包括处理器及耦接到处理器的存储器。处理器获得第一网域名称的第一字串及第二网域名称的第二字串；将第一字串及第二字串的多个字符分类成多个群集，并产生对应群集的多个向量，其中每个字符对应到向量的其中之一；产生对应第一字串的第一向量组及对应第二字串的第二向量组；以及利用算法来计算第一向量组及第二向量组的相似度。

在本发明的一实施例中，上述第一字串及第二字串的长度不必相同。

在本发明的一实施例中，上述每个向量为单位向量，且不同的群集对应到不同的向量。

在本发明的一实施例中，上述算法为动态时间归整算法。