張永斌　陸寅　張艷寧

摘要：針對僵尸網絡為避免域名黑名單封堵而廣泛采用域名變換技術的問題，提出一種域名請求行為特征與域名構成特征相結合的僵尸網絡檢測方法。該方法通過支持向量機（SVM）分類器對網絡中主機解析失敗的域名進行分析，提取出可疑感染主機；通過新域名聚類分析，將請求同一組新域名的主機集合作為檢測對象，分析請求主機集合是否由可疑感染主機構成，提取出僵尸網絡當前使用的域名集合以及命令與控制（Command and Contro1，C&C）服務器使用的IP地址集合。實驗結果表明：訓練后SVM分類器可達98.5%以上的準確率；經對ISP域名服務器監(jiān)測，系統可準確提取出感染主機和C&C服務器的IP地址。

關鍵詞：網絡安全；僵尸網絡；域名；域名變換