基于詞法特征的惡意域名快速檢測算法

趙宏 常兆斌 王樂

摘 要：針對互聯(lián)網(wǎng)中惡意域名攻擊事件頻發(fā)，現(xiàn)有域名檢測方法實時性不強的問題，提出一種基于詞法特征的惡意域名快速檢測算法。該算法根據(jù)惡意域名的特點，首先將所有待測域名按照長度進行正則化處理后賦予權值;然后利用聚類算法將待測域名劃分成多個小組，并利用改進的堆排序算法按照組內權值總和計算各域名小組優(yōu)先級，根據(jù)優(yōu)先級降序依次計算各域名小組中每一域名與黑名單上域名之間的編輯距離;最后依據(jù)編輯距離值快速判定惡意域名。算法運行結果表明，基于詞法特征的惡意域名快速檢測算法與單一使用域名語義和單一使用域名詞法的惡意域名檢測算法相比，準確率分別提高1.7%與2.5%，檢測速率分別提高12.2%13.9%與6.4%6.8%這2個值對嗎？是怎么計算出來的？請核實?；貜停含F(xiàn)正確計算如下：平均檢測速率分別提高（1.56-1.37）/1.37=13.9%，（1.56-1.46）/1.46=6.8%。，具有更高的準確率和實時性。

基于詞法特征的惡意域名快速檢測算法與其他的惡意域名檢測算法相比，在保持檢測速率較高的優(yōu)勢下，檢測準確率達到88.7%，具有更高的準確性和實時性。

基于詞法特征的惡意域名快速檢測算法與單一使用域名語義與詞法的惡意域名檢測算法根據(jù)準確率提供的數(shù)值，此處應該是與兩種算法比較吧，但是此處表達不準確，無法區(qū)分出這兩種算法，請重新表述。另，英文摘要中也要體現(xiàn)出來，原英文摘要里表述的是一個算法。相比，準確率分別提高1.7%與2.5%，檢測速率分別提高12.2%與6.4%，具有更高的準確率和實時性。

關鍵詞：惡意域名;詞法特征;檢測算法;編輯距離;實時性

中圖分類號： TP391; TP393.08

文獻標志碼：A

Abstract： Aiming at the problem that malicious domain name attacks frequently occur on the Internet and existing detection methods are not effective enough in performance of real time， a fast malicious domain name detection algorithm based on lexical features was proposed. According to characteristics of malicious domain name， all domain names to be tested were firstly normalized according to their lengths and the weights were given to them in the algorithm. Then a clustering algorithm was used to divide domain names to be tested into several groups， and the priority of each domain group was calculated by the improved heap sorting algorithm according to the sum of weights in group， the editing distance between each domain name in each domain name group and the domain name on blacklist was calculated in turn. Finally， malicious domain name was quickly determined according to the editing distance value. The running results of algorithm show that compared with the malicious domain name detection algorithm of only using domain name semantics and the algorithm of only using domain name lexical features， the accuracy of fast malicious domain name detection algorithm based on lexical features is increased by 1.7% and 2.5% respectively， the detection rate is increased by 13.9% and 6.8% respectively. The proposed algorithm has higher accuracy and performance of real-time.The results of algorithm show that in malicious domain names detection algorithms， the detection accuracy rate of malicious domain name is 88.7%， the detection rate is higher than other malicious domain names detection algorithms， and it has higher accuracy and performance of real-time.The results of algorithm show that compared with malicious domain name detection algorithm which only uses domain name semantics and lexical features， the accuracy of fast malicious domain name detection algorithm based on lexical features is increased by 1.7% and 2.5% respectively， the detection rate is increased by 12.2% and 6.4% respectively， and it has higher accuracy and performance of real-time.

Key words： malicious domain name; lexical feature; detection algorithm; editing distance; performance of real time

0 引言

互聯(lián)網(wǎng)技術的快速發(fā)展給人們的工作和生活帶來許多便利，同時，出于不同目的的惡意網(wǎng)絡攻擊事件也層出不窮。

域名系統(tǒng)（Domain Name System， DNS）作為互聯(lián)網(wǎng)中實現(xiàn)網(wǎng)絡域名與IP地址相互轉換的一種服務，得到了廣泛應用，幾乎所有的互聯(lián)網(wǎng)應用都需要使用DNS提供的服務對域名進行解析，實現(xiàn)資源的定位?；ヂ?lián)網(wǎng)中的各DNS服務器分布在不同的地理位置，記錄所屬域中主機域名與IP地址的對應關系，全球所有DNS服務器構成一棵DNS樹，因此，要實現(xiàn)一個域名解析任務，經(jīng)常需要將任務在不同的DNS服務器間進行多次轉發(fā)，直到到達目的域的DNS服務器實現(xiàn)域名解析，域名解析結果再經(jīng)過多次轉發(fā)，原路返回到請求主機。惡意域名攻擊正是利用DNS域名解析的特點，隨機產生大量不存在的域名并發(fā)出域名解析請求，惡意域名解析請求在DNS服務器間進行多次轉發(fā)，最終因找不到對應的DNS服務器被丟棄，同時，域名解析失敗原因再經(jīng)過多次轉發(fā)，原路返回給請求主機。大量惡意域名解析任務和域名解析失敗原因在于DNS服務器間的多次轉發(fā)，增加了網(wǎng)絡帶寬占用，給DNS服務器帶來沉重的額外負載，嚴重影響了正常域名解析任務的執(zhí)行。如果DNS服務器因惡意域名攻擊而宕機，則依托于域名解析的所有互聯(lián)網(wǎng)服務就會停止，其結果將是災難性的。

國家互聯(lián)網(wǎng)應急中心（National Internet Emergency Center， CNCERT）發(fā)布的2018年第13期《網(wǎng)絡安全信息與動態(tài)周報》[1]顯示，CNCERT監(jiān)測發(fā)現(xiàn)境內約17萬個DNS服務器受到惡意域名的攻擊，與前期相比增長50.2%。

如何快速檢測惡意域名，提前防范惡意域名網(wǎng)絡攻擊，對于保障互聯(lián)網(wǎng)正常運行具有重要意義。

1 研究現(xiàn)狀

從檢測特征角度看，目前惡意域名檢測方法主要包括域名查詢行為分析[2-5]和域名自然語言統(tǒng)計分析方法[6-9]兩大類。

域名查詢行為分析又分為主動DNS分析與被動DNS分析方法[10]，其中，主動DNS分析方法通過備案批量查詢和使用Nslookup工具檢測域名的合法性，由于需要在線查詢數(shù)據(jù)庫，檢測過程較長，實時性較差[11]。被動DNS分析方法通過分析獲取的DNS請求特征，檢測待測域名合法性，如Truong等[12]結合DNS流量特征，檢測流量異常DNS服務器的DNS查詢流，實現(xiàn)惡意域名檢測。左曉軍等[13]針對DGA（Domain Generate Algorithm請補充DGA的中文名稱和英文全稱）算法的僵尸網(wǎng)絡隱蔽性強和域名多變等特點，提出一種基于域名系統(tǒng)流量特征的Fast-Flux檢測算法，檢測垃圾郵件、欺詐與黑名單列表的可疑域名和惡意域名。周昌令等[14]借助深度學習技術，提出了一種分析DNS查詢行為的檢測算法，通過構造兩種域名列表作為深度學習的訓練數(shù)據(jù)并映射到向量空間，將域名的關聯(lián)分析轉化為向量的計算，利用域名的關聯(lián)性實現(xiàn)惡意域名檢測。

域名自然語言統(tǒng)計分析方法中，Khalil等[15]提出了一種基于DNS數(shù)據(jù)圖的網(wǎng)絡攻擊檢測算法，通過分析域名之間的關聯(lián)性并利用圖的推理技術實現(xiàn)惡意域名的檢測。周維柏等[16]提出了一種關聯(lián)規(guī)則挖掘的集中式僵尸網(wǎng)絡檢測技術，利用一臺被檢測出的僵尸主機，按照關聯(lián)規(guī)則分析域名之間網(wǎng)絡連線的關聯(lián)性，挖掘出潛在的惡意域名。周勇林等[17]基于域名的長度屬性值、域名中存在的特殊字符、被解析的時間、解析次數(shù)以及解析結果的變化構造檢測特征，檢測惡意域名。

以上惡意域名檢測方法各有所長，相比而言，基于深度學習技術的檢測方法的檢測準確率較高，但耗時較長。基于查詢主機活動流量的檢測方法的數(shù)據(jù)采集周期長，且只對受攻擊DNS服務器為目標的域名查詢流進行檢測，實時性和普適性都較差。域名自然語言統(tǒng)計分析的三種方法，雖然具有對多類型惡意域名檢測準確率較高的優(yōu)點，但是檢測耗時還是較大，實時性不強。

綜上，基于目前惡意域名檢測中所存在的實時性問題，本文在先驗知識的基礎上提出了一種基于詞法特征的惡意域名快速檢測算法，首先，對待測域名利用聚類算法完成分類;其次，結合改進的堆排序算法構建組間優(yōu)先級，按照組間優(yōu)先級依次計算小組內每一域名與黑名單上域名之間的編輯距離;最后，根據(jù)編輯距離的大小快速檢測出惡意域名。

2 算法設計與分析

基于詞法特征的惡意域名快速檢測算法，分為數(shù)據(jù)標準化、權值計算、聚類分組、組間排序、域名檢測等5個步驟。其中，數(shù)據(jù)標準化是將每一域名長度值轉化為[0，1]區(qū)間中的數(shù)值，降低由于解析錯誤等原因帶來的檢測誤差;權值計算通過計算每條域名的權值，將域名詞法特征的提取轉化為數(shù)值計算;聚類分組通過聚類算法將經(jīng)過權值計算的待測域名劃分成組內域名在長度上相似的多個小組;組間排序利用改進的堆排序算法根據(jù)小組權值之和降序構建小頂堆組;域名檢測則按照小組優(yōu)先級依次計算域名小組中每一域名與黑名單上域名之間的編輯距離，并根據(jù)編輯距離的大小，實現(xiàn)對惡意域名的檢測。算法框架如圖1所示。

2.1 數(shù)據(jù)標準化

數(shù)據(jù)標準化主要是降低域名列表中因解析錯誤、統(tǒng)計遺漏等原因帶來的檢測誤差，為域名聚類提供統(tǒng)一的評價標準。在已有域名列表基礎上，將列表中每一域名的字符串長度按照式（1）進行轉換，使其值位于[0，1]區(qū)間：

其中：si為第i個域名標準化后的值，Li為域名長度，Lmax與Lmin分別為域名列表中域名長度最大值與最小值。

2.2 權值計算

通過計算待測域名列表中每條域名的權值，將域名詞法特征的提取轉化為數(shù)值計算。通過式（2）對每一待測域名賦予權值，便于在排序過程中按照組內域名權值總和，快速確定各小組的優(yōu)先級，降低檢測階段時間開銷。

其中：wi為域名權值;Li為域名長度;ci是與第i個域名長度值相同的域名在域名列表中出現(xiàn)的次數(shù);n是經(jīng)過標準化處理后的域名總數(shù);a和b是條件常數(shù)，一般取值a為1，b為0.5;D是惡意域名與合法域名長度的分界經(jīng)驗值，一般取值為15，當域名字符串長度低于15時，95%的域名是合法域名[12]。

2.3 聚類分組

借鑒文獻[18]中支持向量機（Support Vector Machine， SVM）與AdaBoost組合并將最近鄰算法應用其中的高效組合分類算法——IASVM（Interactive AdaBoost SVM），依據(jù)IASVM算法將經(jīng)過權值計算的待測域名劃分成組內域名長度相似的多個小組。

IASVM將SVM作為AdaBoost算法的基分類器來尋找支持點，然后通過最近鄰算法計算每一域名權值與支持點之間的距離，根據(jù)域名權值與支持點之間的距離對待檢測域名分類，聚類過程描述如下。

1）選取經(jīng)過標準化處理后的n個待測樣本，形成大小為n的測試集T，通過計算測試集T中每一域名的權值，構造域名權值集合W=（w1，w2，…，wn）。

2）利用測試集T中每一標準化后的樣本值si與對應的權值wi，根據(jù)式（3）求解候選支持點集合P={（wi，ui）|i=1，2，…，n}：

其中： μi（i=1，2，…，n）是在經(jīng)過標準化的（s1，s2，…，sn）上選取的候選支持點，wi（i=1，2，…，n）為域名權值。

3）將候選支持點集合P中的每一組候選支持點代入式（4）來尋找每一小組中的最優(yōu)支持點[19]：

其中：xi（i=1，2，…，n）是在候選支持點中取得的最優(yōu)支持點，ci是與第i個域名長度值相同的域名在域名列表中出現(xiàn)的次數(shù)。

4）將找到的最優(yōu)支持點組合成支持點集合ν={x1，x2，…，xm}，通過式（5）計算測試集T中每一待測域名si與支持點集合ν中最優(yōu)支持點xj（j=1，2，…，m，m

通過計算測試集T中的待測域名與每一最優(yōu)支持點之間的距離，根據(jù)距離的大小，將與最優(yōu)支持點距離最小的域名劃分到該最優(yōu)支持點標注的小組，且每一小組內的域名在域名長度值上具有相似性。

惡意域名與合法域名在長度值與權值方面區(qū)別明顯，因此，經(jīng)過聚類分組并依據(jù)組內域名權值總和，使得組間排序時，快速確定組間優(yōu)先級，便于惡意域名檢測時惡意域名黑名單先與優(yōu)先級較高的待測域名小組比較，及時封堵惡意域名、響應合法域名的請求，降低檢測時間開銷，提高系統(tǒng)的實時性。聚類分組操作的偽代碼見算法1。

2.4 組間排序

聚類算法將待測域名劃分成多個小組，計算每一小組內域名權值總和，利用改進的堆排序算法根據(jù)小組權值總和降序構建小頂堆組，便于惡意域名檢測時惡意域名黑名單先與優(yōu)先級較高的待測域名小組比較，及時封堵惡意域名、響應合法域名的請求，降低計算資源的消耗。

傳統(tǒng)的堆排序算法分為兩步：1）根據(jù)輸入的初始數(shù)據(jù)，按照堆的調整算法形成初始堆;2）通過一系列的元素交換和重新調整堆進行排序。傳統(tǒng)堆排序過程如圖2所示。

傳統(tǒng)堆排序算法在每次形成小頂堆后，交換堆頂與堆末元素，并將剩余元素重新調整位置，構造新的小頂堆。在將堆頂元素與堆末元素互換位置時，整個序列又面臨重新建堆的問題，這無疑增加了許多數(shù)據(jù)元素不必要的移動，使得元素的比較次數(shù)與移動次數(shù)增加，從而導致時間復雜度與空間復雜度都比較大，為此本文充分考慮堆排序算法中元素的比較次數(shù)與移動次數(shù)，利用一種改進的堆排序算法根據(jù)優(yōu)先級降序將聚類后的域名小組按照組內權值總和構建堆。算法描述如下：

1）根據(jù)優(yōu)先級降序將無序序列構建成一個小頂堆。

2）待堆頂最小元素取出后，比較當前空缺節(jié)點的左右孩子節(jié)點，小者放入堆頂。

3）比較子樹中空缺位置的左右孩子節(jié)點大小，小者進入空缺位置。

4）重復步驟2）和3），直到堆頂節(jié)點為空。

改進的堆排序算法詳細過程如圖3所示，堆排序操作的偽代碼見算法2。

2.5 域名檢測

2.5.1 域名黑名單樣本構造

收集并整理Malware domain list[20]中的惡意域名，檢測域名是否為惡意域名的黑名單樣本。

2.5.2 編輯距離計算

考慮到系統(tǒng)的實時性檢測需求，采用相對簡單的編輯距離，按照域名小組間優(yōu)先級降序，依次計算各小組中每一域名與域名黑名單樣本中域名之間的編輯距離。

設str1、str2是待測域名字符串與域名黑名單中驗證字符串，為計算兩個域名字符串之間的編輯距離，本文通過插入、刪除、替換操作計算兩個域名字符串序列的最小編輯距離。編輯距離計算如式（6）所示：

1）初始化待測字符串與驗證字符串編輯計算矩陣。

2）從待測字符串“take”的首字母t開始，從上到下逐個字符與驗證字符串“tke”的字符進行比較。如果兩個字符相同，取當前位置的左、上、左上三個位置中的最小值;若不相等，取左、上、左上三個位置中的最小值后再加1。

3）完成待測字符串與驗證字符串編輯距離計算矩陣。

4）取矩陣右下角值為待測字符串與驗證字符串編輯值，字符串“take”與“tke”的編輯距離值為1。

2.5.3 惡意域名識別

設待測域名字符串str1長度為n，域名黑名單樣本中驗證字符串str2長度為m，兩個字符串的差異度值（Difference Degree Value， DDV）定義為兩個字符串編輯距離的2倍與兩個字符串長度之和的比值，差異度值計算如式（7）所示：

式（7）中，兩個字符串差異度值與它們的編輯距離成正比，與它們的長度之和成反比;兩者的編輯距離越大，差異度值就越大，相似性越小;另外，兩者的長度之和越小，差異度值越大，相似性越小。

利用式（7）計算各域名小組中每一域名與域名黑名單樣本中各域名之間的差異度值，將該差異度值與設定的閾值進行比較，當待測域名與域名黑名單上每一域名之間的差異度值小于或者等于該閾值時，則判定該域名為惡意域名;否則為合法域名，閾值一般設定為0.15[21]。

3 實驗與分析

3.2 數(shù)據(jù)集

為驗證本文算法的性能，從Alexa[22]和Malware domain list中獲得10000個域名，其中有8000個合法域名和2000個惡意域名。首先把收集的2000個惡意域名分為兩部分，其中70%的惡意域名與8000個合法域名作為訓練數(shù)據(jù)集。另外，30%的惡意域名作為測試數(shù)據(jù)集。詳細數(shù)據(jù)來源如表2所示。

3.3 評價指標

為評估本文算法在惡意域名檢測時的性能，使用平均檢測速率（Average Detection Rate， ADR）和平均檢測準確率（Average Detection Accuracy， AMA），計算公式如式（8）和（9）所示：

其中：TP表示惡意域名被正確識別的數(shù)量，T表示檢測消耗的總時間，S表示測試數(shù)據(jù)集中惡意域名總數(shù)。

3.4 實驗及結果分析

為驗證本文惡意域名檢測算法的有效性，將上述待測域名作為惡意域名檢測算法模型的輸入值，檢測出的惡意域名作為算法的輸出值，在相同的實驗環(huán)境下分別構造文獻[8]基于域名語義的惡意域名檢測算法模型和文獻[9]基于域名詞法特征的惡意域名檢測算法模型以及本文惡意域名檢測算法模型，并進行實驗對比，對比結果如圖5所示。

分析圖5可知，文獻[8]基于域名語義的惡意域名檢測算法模型平均檢測速率約為1.37個/s，平均檢測準確率波動范圍為86%～88%;文獻[9]基于域名詞法特征的惡意域名檢測算法模型平均檢測速率約為1.46個/s，平均檢測準確率波動范圍為84%～87%;經(jīng)過分析檢測錯誤原因發(fā)現(xiàn)，被誤報成合法域名的惡意域名都存在一個共同點，即這些惡意域名都是由多個詞法或語義表達相近的合法域名與合法域名或合法域名與惡意域名組合而成，而本文惡意域名檢測算法模型在域名語義的基礎上加入域名詞法特征后，平均檢測速率約為1.56個/s，平均檢測準確率波動范圍為88%～89%。在平均檢測準確率分別提高1.7%與2.5%的情況下，平均檢測速率分別提高12.2%13.9%與6.4%6.8%根據(jù)表3中的數(shù)值，提高比例的計算公式應為（1.56-1.37）/1.37=13.9%，而不是12.2%;另一個為（1.56-1.46）/1.46=6.8%，而不是6.4%。不知道12.2%與6.4%是怎么計算出來的？請明確一下。摘要中的數(shù)值也要隨這個數(shù)值變更吧？，較好地檢測出多個詞法或語義表達相近的合法域名與合法域名或合法域名與惡意域名組合而成的惡意域名。具體比較結果如表3所示。

通過表3可知，單一使用合法域名與惡意域名在語義方面或詞法特征方面的區(qū)別，尚不足以對惡意域名進行準確的檢測，但在域名語義的基礎上加入域名詞法特征后，在平均檢測準確率分別提高1.7%與2.5%的情況下，平均檢測速率分別提高12.2%13.9%與6.4%6.8%問題同上，具有更好的準確性與實時性。

3.5 同類相關工作對比

在相同的實驗環(huán)境下分別構造文獻[3]、[7]與文獻[8]惡意域名檢測算法模型和本文惡意域名檢測算法模型，并進行性能比較，具體結果如表4所示。

由表4可以看出，本文惡意域名檢測算法模型在執(zhí)行時間與檢測速率方面，優(yōu)于文獻[3]、[7]、[8]惡意域名檢測算法模型，具有較高的檢測速率;在準確率方面，本文檢測算法模型優(yōu)于文獻[8]惡意域名檢測算法模型，與文獻[7]惡意域名檢測算法模型準確率相當。綜合考慮算法執(zhí)行時間、檢測速率、準確率等方面，本文所提出的基于詞法特征的惡意域名快速檢測算法明顯優(yōu)于其他三種惡意域名檢測算法。

4 結語

針對現(xiàn)有域名檢測方法實時性不強的問題，本文提出了一種基于詞法特征的惡意域名快速檢測算法。首先利用聚類算法對待測域名完成分類;其次，結合改進的堆排序算法構建組間優(yōu)先級，按照組間優(yōu)先級依次計算小組內每一域名與黑名單上域名之間的編輯距離;最后，根據(jù)編輯距離值的大小快速檢測出惡意域名。與傳統(tǒng)基于單一使用語義和詞法的惡意域名檢測算法比較，在檢測準確性和實時性上表現(xiàn)良好，具有較好的實用價值。

參考文獻 （References）

[1] 網(wǎng)絡安全信息與動態(tài)周報.第13期互聯(lián)網(wǎng)安全威脅報告[EB/OL]. [2018-04-01]. http：//www.cert.org.cn/publish/main/44/2018/20180404150414268888501/20180404150414268888501_201html.（National Internet Emergency Center. 13th Internet security threat report [EB/OL]. [2018-04-01]. http：//www.cert.cn./publish/main/44/20180404150414268888501/20180404150414268888501_.html.）

[2] WANG T S， LIN H T， CHENG W T， et al. DBod： clustering and detecting DGA-based botnets using DNS traffic analysis [J]. Computers & Security， 2016， 64： 1-15.

[3] 牛偉納，張小松，孫恩博，等.基于流相似性的兩階段P2P僵尸網(wǎng)絡檢測方法[J].電子科技大學學報，2017，46（6）：902-906.（NIU W N， ZHANG X S， SUN E B， et al. Two-stage peer-to-peer zombie network detection method based on flow similarity [J]. Journal of University of Electronic Science and Technology of China， 2017， 46（6）： 902-906.）

[4] POMOROVA O， SAVENKO O， LYSENKO S， et al. A technique for the botnet detection based on DNS-traffic analysis [C]// Proceedings of the 22nd International Conference on Computer Networks. Berlin： Springer， 2015： 127-138.

[5] YU B， OLUMOFIN F， SMITH L， et al. Behavior analysis based DNS tunneling detection and classification with big data technologies [C]// Proceedings of the 2016 International Conference on Internet of Things and Big Data. Setubal： SciTePress， 2016： 284-290.

[6] PERDISCI R， CORONA I， DAGON D， et al. Detecting malicious flux service networks through passive analysis of recursive DNS traces [C]// Proceedings of the 25th Computer Security Applications Conference. Washington， DC： IEEE Computer Society， 2009： 311-320.

[7] 張維維，龔儉，劉茜，等.基于詞素特征的輕量級域名檢測算法[J].軟件學報，2016，27（9）：2348-2364.（ZHANG W W， GONG J， LIU Q， et al. Lightweight domain name detection algorithm based on morpheme features [J]. Journal of Software， 2016， 27（9）： 2348-2364.

[8] 黃誠，劉嘉勇，劉亮，等.基于上下文語義的惡意域名語料提取模型研究[J].計算機工程與應用，2018，54（9）：101-108.（HUANG C， LIU J Y， LIU L， et al. Research on the extraction model of malicious domain name corpus based on context semantics [J]. Computer Engineering and Applications， 2018， 54（9）：101-108.）

[9] WANG W， SHIRLEY K. Breaking bad： detecting malicious domains using word segmentation [J]. ArXiv Preprint， 2015， 2015：1506.04111.

[10] 張洋，柳廳文，沙泓州，等.基于多元屬性特征的惡意域名檢測[J].計算機應用，2016，36（4）：941-944.（ZHANG Y， LIU T W， SHA H Z， et al. Detection of malicious domain names based on multivariate attribute features [J]. Journal of Computer Applications， 2016， 36（4）： 941-944.）

[11] 劉愛江，黃長慧，胡光俊.基于改進神經(jīng)網(wǎng)絡算法的木馬控制域名檢測方法[J].電信科學，2014，30（7）：39-42.（LIU A J， HUANG C H， HU G J. A method of Trojan control domain name detection based on improved neural network algorithm [J]. Telecommunications Science， 2014， 30（7）： 39-42.）

[12] TRUONG D-T， CHENG G， AHMAD J， et al. Detecting DGA-based botnet with DNS traffic analysis in monitored network [J]. Journal of Internet Technology， 2016， 17（2）： 217-230.

[13] 左曉軍，董立勉，曲武.基于域名系統(tǒng)流量的Fast-Flux僵尸網(wǎng)絡檢測方法[J].計算機工程，2017，43（9）：185-193.（ZUO X J， DONG L M， QU W. Fast-Flux zombie network detection based on domain name system traffic [J]. Computer Engineering， 2017， 43（9）： 185-193.）

[14] 周昌令，欒興龍，肖建國.基于深度學習的域名查詢行為向量空間嵌入[J].通信學報，2016，37（3）：165-174.（ZHOU C L， LUAN X L， XIAO J G. Domain name query behavior vector space embedding based on depth learning [J]. Journal on Communications， 2016， 37（3）： 165-174.）

[15] KHALIL I， YU T， GUAN B. Discovering malicious domains through passive DNS data graph analysis [C]// Proceedings of the 11th ACM Asia Conference on Computer and Communications Security. New York： ACM， 2016： 663-674.

[16] 周維柏，李蓉.基于關聯(lián)規(guī)則挖掘的集中式僵尸網(wǎng)絡檢測[J].蘭州理工大學學報，2016，42（6）：109-113.（ZHOU W B， LI R. Centralized zombie network detection based on association rules mining [J]. Journal of Lanzhou University of Technology， 2016， 42（6）： 109-113.）

[17] 周勇林，由林麟，張永錚.基于命名及解析行為特征的異常域名檢測方法[J].計算機工程與應用，2011，47（20）：50-52.（ZHOU Y L， YOU L L， ZHANG Y Z. An anomaly domain name detection method based on naming and analytic behavior features [J]. Computer Engineering and Applications， 2011， 47（20）： 50-52.）

[18] 陳春萍.基于SVM與AdaBoost組合的分類算法研究[D].西安：西安電子科技大學，2012.（CHEN C P. Research on classification algorithm based on SVM and AdaBoost combination [D]. Xian： Xidian University， 2012.）

[19] ZHANG W. Relief feature selection and parameter optimization for support vector machine based on mixed kernel function [J/OL]. International Journal of Performability Engineering， 2018， 14（2） [2018-02-20]. http：//www.ijpe-online.com/relief-feature-selection-and-parameter-optimization-for-support-vector-machine-based-on-mixed-kernel-function.html#axzz5TzKru9vC.

[20] Malware domain list. Malware domain list [EB/OL]. [2018-05-08]. http：//www.malwaredomainlist.com.php.

[21] 羅文塽，曹天杰.基于非用戶操作序列的惡意軟件檢測方法[J].計算機應用，2018，38（1）：56-60.（LUO W S， CAO T J. A malicious software detection method based on non-user operation sequence [J]. Journal of Computer Applications， 2018， 38（1）： 56-60.）

[22] Alexa Top Global Sites. Alexa top global sites [EB/OL]. [2018-05-08]. http：//www.alexa.com/topsites.