夏秦　王志文　劉璐

摘要：針對局部行為特征信息偏少而使得僵尸網(wǎng)絡行為難以全面追蹤的問題，提出了一種基于域名共現(xiàn)行為的僵尸網(wǎng)絡行為追蹤方法．該方法通過域名共現(xiàn)評分算法計算待測域名與已知僵尸域名的域名共現(xiàn)行為來追蹤其他僵尸域名，進而發(fā)現(xiàn)更多的僵尸主機；為提高域名評分準確性，還提出了過濾基于網(wǎng)絡地址轉換的主機域名訪問、空間區(qū)分單個僵尸網(wǎng)絡，以及基于觀測時長共現(xiàn)行為統(tǒng)計3項改進措施．采集西安交通大學網(wǎng)絡域名服務器的域名查詢流量作為數(shù)據(jù)源進行了實驗和測試，結果表明：基于改進的域名評分措施不僅將待測域名數(shù)量降為原來的1／4，且計算出的前10名域名共現(xiàn)評分更加合理，提高了追蹤僵尸主機的準確性。