通过挖掘词素特征的轻量级检测算法

　　为了弥补黑名单方法的不足，基于DNS活动特征的实时检测方法得到了广泛地研究．该类算法需要对网络中的DNS交互报文进行实时或准实时的DPI检测，通过挖掘恶意域名有别于合法域名的活动特征以发现恶意服务．相关工作有：Chatzis等人依据邮件蠕虫感染主机的DNS MX流量行为在传播地址和流量特征方面具有高度相似性这一稳定特征提出了一系列的邮件蠕虫检测方法c5-si;Caglayan根据域名对应的IP地址频繁变更这一基本特征，选取TTL值、4记录数目及其离散程度三方面测度检测Fast-Flux服务网络;Choi等人观测域名查询请求者的群体活动特性（即，大量僵尸主机在很短的时间间隔内集中访问某个域名），实现对僵尸网络及其域名的检测;Antonakakis在2011年基于从顶级域名服务器获取的DNS交互报文，通过统计域名查询请求者的离散程度以及解析IP地址的信誉值，检测恶意域名;2012年，又基于同一个僵尸网络的僵尸主机会产生相似的NXDomain流量（失效的DNS查询请求），通过观察域名的字符组成及其查询请求者的相似性来聚类和检测僵尸网络使用的域名;Bilge遁过统计域名查询请求的时间分布、域名映射IP地址的空间分布、TTL时间长短以及域名字面特征，发现恶意域名．