基于文本和DNS查詢的非常規(guī)域名檢測研究

李建飛，成衛(wèi)青,2

(1.南京郵電大學 計算機學院，江蘇 南京 210003；2.計算機網(wǎng)絡(luò)和信息集成教育部重點實驗室(東南大學)，江蘇 南京 211189)

1 概 述

互聯(lián)網(wǎng)域名系統(tǒng)(DNS)自從誕生以來，一直是互聯(lián)網(wǎng)的基礎(chǔ)服務(wù)，同時也是互聯(lián)網(wǎng)的“神經(jīng)中樞”。而DNS本身具有脆弱性，存在著一些安全漏洞，所以域名解析服務(wù)受到了各類企圖威脅互聯(lián)網(wǎng)安全的攻擊者的廣泛關(guān)注。用于惡意活動的非常規(guī)域名的數(shù)量快速增長，利用DNS域名解析功能進行僵尸網(wǎng)絡(luò)的命令與控制(C&C)通信、網(wǎng)絡(luò)釣魚、垃圾郵件和特種遠控木馬等惡意攻擊也不斷增多。惡意攻擊者能夠通過僵尸網(wǎng)絡(luò)把域名解析到他們設(shè)定的C&C服務(wù)器上面，從而達到控制被感染主機的目的，網(wǎng)絡(luò)釣魚和垃圾郵件則是通過惡意URL鏈接到詐騙的服務(wù)器上。惡意攻擊者通常會申請一個可用的域名，并且將其配置到木馬當中，然后再利用網(wǎng)絡(luò)上存在的漏洞或其他手段把木馬植入到目標主機中，當木馬運行成功后向DNS服務(wù)器發(fā)出請求，最后把域名解析到攻擊者自己控制的服務(wù)器上，即使一段時間以后系統(tǒng)防護人員發(fā)現(xiàn)了C&C服務(wù)器并將IP地址拉入黑名單，攻擊者還是可以通過更換域名對應(yīng)的IP使木馬再次工作，把域名解析到新的服務(wù)器?；谶@樣的現(xiàn)狀，只有及時發(fā)現(xiàn)并阻斷用于惡意攻擊的非常規(guī)域名，才能避免陷入攻擊者的“游擊戰(zhàn)”中。因此，研究非常規(guī)域名的檢測具有十分重要的意義。

目前域名檢測的主要手段還是基于黑名單，但該方法存在更新和維護及時性差及開銷大的缺陷。惡意域名主要實現(xiàn)方式有Fast-Flux和Domain-Flux兩種。隨著人們網(wǎng)絡(luò)安全意識的普遍提高，人工故意精心設(shè)計制造的釣魚域名也開始涌現(xiàn)在網(wǎng)絡(luò)環(huán)境中，釣魚域名通過模仿真實域名來欺騙用戶，也已經(jīng)對網(wǎng)絡(luò)環(huán)境的健康發(fā)展構(gòu)成很大的威脅。

Fast-Flux技術(shù)就是不斷地改變域名和IP地址之間的映射關(guān)系，如果在較短時間內(nèi)去查詢使用Fast-Flux技術(shù)部署的域名對應(yīng)的IP，極有可能在不同時間得到不同的映射結(jié)果。攻擊者對每一個IP設(shè)有一個比較小的TTL值來實現(xiàn)非常規(guī)域名解析出的IP不斷改變。

Domain-Flux技術(shù)是指攻擊者通過DGA算法(domain generator algorithm)生成海量的候選域名資源以后，只需要成功注冊一個并讓域名被訪問到即可實現(xiàn)僵尸網(wǎng)絡(luò)的控制，而防御人員要想徹底關(guān)閉該僵尸網(wǎng)絡(luò)則需要屏蔽大量的此類域名。DGA算法就是攻擊者運用Domain Flux協(xié)議來對抗防御人員的封鎖，僵尸主機訪問的C&C域名是根據(jù)設(shè)定的算法動態(tài)生成的域名，而不再是靜態(tài)硬編碼。對于這種僵尸網(wǎng)絡(luò)，其可檢測特征包括：尋址過程中會產(chǎn)生大量NXDomain(Non-ExistentDomain，表示域名服務(wù)器聲明查詢域名確實是自己所解析，但是自己的記錄里沒有這個域名)報文，TTL值普遍都比較低，域名的DNS解析數(shù)在某時間范圍內(nèi)爆炸增長后迅速下降，域名長度比較長，域名不具備可讀性，相對于常規(guī)域名來說，它違反了元輔音組合規(guī)律，字母分布呈現(xiàn)的特點是隨機化的，熵值比較高等。

人工故意制造的釣魚域名是攻擊者精心設(shè)計的一些極具偽裝性的域名，例如在形式上制造出同著名域名十分相似的域名，或是選取一些著名主域名作為非常規(guī)域名的一部分，甚至直接選取“secure”這樣的詞匯夾雜在域名中企圖讓用戶誤以為是常規(guī)域名，用于惡意攻擊活動，企圖達到混淆視聽的效果。

現(xiàn)有的相關(guān)工作有Caglayan選取域名對應(yīng)IP的A記錄數(shù)目、TTL值和離散程度作為特征去檢測Fast-Flux類型的僵尸網(wǎng)絡(luò)[1]；左曉軍和董立勉等人通過用戶的訪問行為檢測Fast-Flux僵尸網(wǎng)絡(luò)，即用戶訪問各類垃圾內(nèi)容，與此同時DNS記錄了整個訪問解析過程[2]；袁福祥和劉粉林等人從域名的歷史數(shù)據(jù)差異來檢測異常域名，獲取域名的whois信息的變更、whois信息的完整度、域名已生存時間、域名IP變更等作為特征，構(gòu)建出專門用于檢測異常域名的SVM分類器[3]；而后袁福祥和王琤等人又通過研究域名解析IP的分布和IP對請求響應(yīng)時間波動這兩方面的特點來檢測Fast-Flux網(wǎng)絡(luò)[4]；Choi等人發(fā)現(xiàn)很多僵尸主機在較短的時間間隔集中訪問某一個域名，基于此他們通過查詢請求的這一網(wǎng)絡(luò)活動特性去檢測僵尸網(wǎng)絡(luò)和它的域名[5-7]；Ma等人為檢測出釣魚網(wǎng)站和一些惡意URL，統(tǒng)計了URL的長度、主機名的長度、點出現(xiàn)的次數(shù)等特征進行研究[8-9]；張永斌等人通過考量在每個周期內(nèi)網(wǎng)絡(luò)中主機請求的新的域名集合和失效的域名集合，對其進行聚類分析，然后把那些請求同一組新域名的主機當作檢測對象，分析它們在請求失效域名、新域名的行為是否有組特性[10]；周昌令等人從域名多樣性、增長性、相關(guān)性和時間性等方面構(gòu)建特征集，來分析Fast-Flux類型域名[11]；張維維和龔儉等人通過對域名字面蘊含的詞素特征挖掘，從詞綴、詞根、拼音和縮寫特征方面充分研究達到快速鎖定可疑域名的目的[12]；張洋和柳廳文等人提取域名長度、域名連續(xù)字母最大長度等域名詞法特征和相關(guān)網(wǎng)絡(luò)屬性特征，基于機器學習的相關(guān)方法來檢測惡意域名[13]；蔡冰和馬旸等人通過引入評判指標域名訪問活躍度分布特征，綜合考慮域名長度、域名字符特征等因素設(shè)計實現(xiàn)了基于DNS數(shù)據(jù)的惡意域名檢測關(guān)鍵技術(shù)的原型系統(tǒng)[14]；王林汝等人對域名的特征提取從時間特征、字符特征和IP特征三方面入手，量化設(shè)計了一套基于機器學習的惡意域名檢測方案[15]。

鑒于已有的相關(guān)研究在解決多種類型的非常規(guī)域名檢測方面還存在準確率有待提高的問題，文中首先結(jié)合已有研究對Fast-Flux僵尸網(wǎng)絡(luò)、Domain-Flux僵尸網(wǎng)絡(luò)以及釣魚網(wǎng)站中出現(xiàn)的域名的特點做深入的分析，然后優(yōu)選一部分已有特征，改進一部分特征并提出一些新的特征，如域名偽裝特征、DNS查詢特征和分隔特征，用于實現(xiàn)對各種非常規(guī)域名的檢測。

2 非常規(guī)域名特征分析

2.1 Fast-Flux僵尸網(wǎng)絡(luò)域名特征分析

Fast-Flux僵尸網(wǎng)絡(luò)最顯著的特點就是IP經(jīng)常變化，有的僵尸網(wǎng)絡(luò)只在一次DNS查詢中給出一個可用的IP地址，有的僵尸網(wǎng)絡(luò)會在一次DNS查詢中給出多個IP地址，并且使用輪詢調(diào)度的方法來分配IP，但一般都不會在一次DNS查詢中給出所有的C&C服務(wù)器的IP。針對Fast-Flux僵尸網(wǎng)絡(luò)的IP特點，文中使用域名網(wǎng)絡(luò)活動特征如下：

(1)單次DNS查詢返回的IP個數(shù)：非常規(guī)域名有時為了防止IP被封堵，會有多個IP地址輪換使用，但是在一次DNS查詢中，往往只會返回一個IP地址，而一些常規(guī)域名為實現(xiàn)負載均衡，在一次DNS查詢中會返回一個或多個IP地址。

(2)時間段內(nèi)域名對應(yīng)的IP的改變情況：考慮到Fast-Flux僵尸網(wǎng)絡(luò)對應(yīng)的IP地址經(jīng)常發(fā)生變化，常規(guī)域名對應(yīng)的IP地址相對穩(wěn)定，較少發(fā)生變化，因此文中將IP地址的變化情況統(tǒng)計出來作為區(qū)分非常規(guī)域名與常規(guī)域名的特征。從某個時間點開始統(tǒng)計該域名對應(yīng)的IP地址，每隔單位時間后再次統(tǒng)計該域名對應(yīng)的IP地址，根據(jù)每次統(tǒng)計出對應(yīng)的IP地址同上次對應(yīng)的IP地址作比較，計算杰卡德距離，多次計算杰卡德距離并取其平均值，通過杰卡德距離的數(shù)值來表述一段時間內(nèi)域名對應(yīng)IP地址的變化情況。杰卡德系數(shù)為兩個集合的差集元素個數(shù)占并集元素個數(shù)的比例，杰卡德距離為杰卡德系數(shù)的補集，如下：

(1)

其中，A和B表示兩個集合，J(A,B)表示兩個集合的杰卡德系數(shù)，dJ(A,B)表示杰卡德距離。

2.2 Domain-Flux僵尸網(wǎng)絡(luò)域名特征分析

Domain-Flux僵尸網(wǎng)絡(luò)基于DGA算法生成大量域名。針對DGA算法的一些特點，文中使用以下基于域名文本的基本特征、發(fā)音特征和分隔特征。

基本特征：

(1)域名熵值：DGA算法生成的域名字符是隨機出現(xiàn)的，離散性比較高，因此文中采用香農(nóng)信息熵的概念來計算域名的字符熵值。

(2)域名長度值：DGA的算法為了防止和已經(jīng)注冊的域名發(fā)生碰撞，因此生成的域名長度都比常規(guī)域名長一些。

(3)域名連續(xù)數(shù)字最大長度值：常規(guī)域名也存在包含數(shù)字的情況，但是很少會包含連續(xù)的一串長數(shù)字字符，故此特征可作為二者的區(qū)別特征。

發(fā)音特征：常規(guī)域名通常為了傳播，都會設(shè)計的比較簡單并且易讀寫，比如baidu.com、taobao.com、sohu.com等，DGA生成算法生成的域名相對比較混亂，甚至有的域名只能逐個字符地讀，沒有合理的發(fā)音規(guī)則能讓人流暢地讀出來。

(1)域名元音字母占比：在26個字母中，包括五個元音字母U、E、O、I、A，其中有兩個半元音字母Y和W，剩余的則是輔音字母。如果一個單詞能夠順利的發(fā)音，是需要元音字母的，因此，元音字母的個數(shù)占域名長度的比例可以作為特征，其中考慮到元音字母比較少，以及在實際情況下半元音字母和特定字母組合也是可以發(fā)音的，例如my、why等，文中將Y和W也作為元音來識別。

(2)連續(xù)輔音字母最大長度：同樣，基于發(fā)音的角度，如果一串字符的其中一部分很長都是輔音字母，而元音字母集中在另一部分，這樣即使元音字母所占比例較高，也是很難順利發(fā)音達到易讀的效果的。

分隔特征：除了域名的分隔符“.”以外，域名中能夠包含從0到9的數(shù)字，26個英文字母和“-”連接符，而且以英文字母作為域名的主體部分較為常見，因此文中認定域名中出現(xiàn)的非英文字母都是作為分隔符將域名分成幾個部分。

(1)連接符“-”出現(xiàn)個數(shù)：雖然“-”連接符可以作為域名的組成部分，但是經(jīng)研究發(fā)現(xiàn)常規(guī)域名中極少出現(xiàn)該連接符，相反在DGA生成的域名中會經(jīng)常出現(xiàn)“-”將域名的兩個部分連接在一起，例如invvstide-do-nsmpvitosti.bz。

(2)域名標簽被數(shù)字分割的最大單元數(shù)：考慮到DGA算法中有時候會避開生成連接符“-”，而選擇數(shù)字代替連接符的作用來分割域名，因此文中對域名被數(shù)字分割的單元個數(shù)做特征集，例如域名google.com中沒有數(shù)字，那么被分割的單元數(shù)為0，域名qq3.com中的數(shù)字沒有出現(xiàn)在分隔符內(nèi)的兩字母之間，其分割的單元數(shù)為1，net4um.com被認為數(shù)字將域名分割的單元數(shù)為2個，更為效果明顯的諸如m57nsd21efc 39c26gwe65csd60i25mygtbyg.eu，其中數(shù)字將域名分割成8部分。

2.3 釣魚網(wǎng)站域名特征分析

釣魚網(wǎng)站的域名一般具有欺騙性，旨在誘導用戶點擊它，故文中提出基于域名文本的偽裝特征。通過以下可能出現(xiàn)的現(xiàn)象判定域名是否具有偽裝性。

比如利用形態(tài)相近的字符進行釣魚欺騙，由于存在一些數(shù)字和英文字母在形態(tài)上十分相似，但事實上并不是相同的字符，惡意攻擊者利用此特點制造了很多釣魚域名，例如經(jīng)常訪問的著名域名www.google.com，惡意攻擊者就可能設(shè)計出g00gle.com、go0gle、g0ogle等肉眼較難分辨出來的偽裝域名，然而它們是完全不同的域名?？紤]到絕大多數(shù)釣魚域名都是通過模仿著名域名的二級域名(如www.google.com中的google即為該域名的二級域名)來達到混淆網(wǎng)民的效果，因此文中在研究域名的偽裝特征時以域名的二級域名作為數(shù)據(jù)集進行實驗。通過采用Levenshtein編輯距離算法，對待檢測域名與常規(guī)域名庫中的域名進行相似度分析。

Levenshtein距離是計算兩個域名之間差異程度的字符串度量，可以認為Levenshtein距離就是從一個域名的文本成功修改到另一個域名的文本時，編輯域名的單個字符所需要的最少次數(shù)。文中編輯域名的操作，包括增加字符、修改字符和刪除字符。當可編輯距離小于一定的閾值，判定該域名具有偽裝性。Levenshtein編輯距離按式(2)計算。

lev(i,j)=

(2)

其中，定義函數(shù)lev(i,j)表示第一個字符串的長度為i的子串到第二個字符串的長度為j的子串的編輯距離；當?shù)谝粋€字符串的第i個字符不同于第二個字符串的第j個字符時，f(i,j)=1，否則f(i,j)=0。例如字符串a(chǎn)ce和字符串a(chǎn)bcd，將這兩組字符串按照表1擺放并初始化，計算得到所有的lev(i,j)，如表1所示。

表1 兩組字符串初始化完成矩陣

例如，計算以上兩個字符串的lev(1,1)，由于lev(0,1)+1=2，lev(1,0)+1=2，lev(0,0)+f(1,1)=0+0=0，且三者的最小值為0，因此lev(1,1)=0。以此類推，可得到最終矩陣。

還有部分釣魚域名是截取著名網(wǎng)站域名的一部分，通過連接符連接另一部分而組合出來的域名，例如baidu-zhidao.com、baidu-baike.com偽裝成常規(guī)的域名來欺騙用戶。這部分域名如果通過Levenshtein距離作為區(qū)分常規(guī)域名與非常規(guī)域名的特征，效果不是很理想，因此文中判定未知域名中異于著名域名且包含著名域名是具有偽裝性的。

根據(jù)全球釣魚網(wǎng)站報告調(diào)查顯示，有將近一半惡意注冊域名針對國內(nèi)銀行企業(yè)。因此，文中設(shè)定敏感詞匯集合{bank，ebay，webscr，account，secure，user，login，confirm}，包含敏感詞匯的未知域名文中判定為具有偽裝性。

各個特征及非常規(guī)域名可能出現(xiàn)的特征如表2所示。

表2 域名特征列表

其中域名文本熵值、域名長度、連續(xù)數(shù)字最大長度、連續(xù)輔音最大長度和連接符的個數(shù)幾項特征取自于文獻[13，15]；域名元音字母占比特征在文獻[15]的基礎(chǔ)上擴展了半元音字母Y和W，同時新增了域名標簽被數(shù)字分割的最大單元數(shù)特征，提出了域名的偽裝性特征；結(jié)合文獻[15]中對域名IP特征的分析，提出單次DNS查詢返回的IP個數(shù)和一段時間內(nèi)DNS查詢返回IP集合的平均杰卡德距離這兩項特征。

3 基于文本特征和DNS查詢特征的非常規(guī)域名檢測方法

3.1 特征提取

對于域名的網(wǎng)絡(luò)活動特征，需要通過網(wǎng)絡(luò)監(jiān)控的方式，對域名持續(xù)進行監(jiān)測，通過nslookup或bgp.he.net得到它的A記錄，統(tǒng)計一次DNS查詢返回的IP個數(shù)IP_Num和計算時間段內(nèi)IP變化情況作為特征數(shù)據(jù)。每隔一個單位時間t，進行一次DNS查詢。假設(shè)待檢測域名d在t0時對應(yīng)的IP集合為I0={i1,i2,…,im}(1≤m)，在t1時對應(yīng)的IP集合為I1={i1,i2,…,in}(1≤n)，以此類推統(tǒng)計出其他時間對應(yīng)的IP集合。

對于域名的文本特征，假設(shè)域名d包含的字符集合為C={c1,c2,…,cx}(1≤x)，統(tǒng)計出以下幾個特征：

域名的文本熵值：

域名本身的長度：Len；

域名連續(xù)數(shù)字最大長度：MLCN；

域名元音字母占比：

連續(xù)輔音字母最大長度：MLCC；

連接符“-”的個數(shù)：NS；

域名被數(shù)字分割的單元數(shù)：NP。

對于域名的偽裝特征：設(shè)定待測域名d與著名域名nd之間編輯距離函數(shù)為LD(d,nd)，文中認為當編輯距離小于3時，域名具有偽裝性；判斷著名域名是否是待測域名的一部分的函數(shù)為CN(d,nd)，如果著名域名是待測域名的一部分，則CN返回true，否則返回false；判斷待測域名是否包含敏感字的函數(shù)為CS(d)，如果包含敏感字，則CS返回true，否則返回false。文中的著名域名均來自于Alexa網(wǎng)站，選取排名靠前的并且二級域名長度不小于5，例如www.baidu.com，選取其二級域名baidu加入著名域名庫中，又例如www.qq.com中的二級域名qq字符長度太短，不利于判斷出待測域名的偽裝性，則不會將其加入著名域名庫中。最終在Alexa網(wǎng)站排名靠前的2 000域名中選取到1 634條數(shù)據(jù)加入在著名域名庫中。

偽裝特征算法實現(xiàn)思想如下：

Input：域名d

Output：偽裝性判斷結(jié)果

Begin

if CS(d)

return true

end if

for each nd in famous domain base

if CN(d,nd)

return true

if LD(d,nd)0

return true

end if

end for

return false

end

3.2 分類算法

在實驗過程中采用的是機器學習里的決策樹預(yù)測模型的C4.5算法。C4.5算法產(chǎn)生的分類規(guī)則比較容易理解，而且準確率也相當高，利于對文中的理論進行論證。雖然它比較明顯的缺點是在構(gòu)造決策樹的過程中，需要對訓練集進行多次的順序掃描和排序，有可能會造成算法的效率較低，但是基于文中的實驗需求，構(gòu)造樹的過程其實是一次性的，所以為了獲得較高的準確率，采取這種分類算法還是比較適合的。

圖1 非常規(guī)域名檢測流程

C4.5算法是在ID3算法思想的基礎(chǔ)上加以改進得出的。C4.5算法拋棄使用信息增益作為決策樹的屬性選擇標準，取而代之的是信息增益率。因為信息增益率不僅僅可以處理具有缺失值的數(shù)據(jù)，還同時具備處理連續(xù)型或離散型兩種屬性的數(shù)據(jù)的能力。非常規(guī)域名檢測流程如圖1所示，構(gòu)建分類模型步驟為：構(gòu)建常規(guī)域名訓練集合和非常規(guī)域名訓練集合；對每個域名計算各特征值；基于C4.5分類算法構(gòu)建決策樹。檢測步驟為：計算待分類域名的特征值；基于決策樹得到分類結(jié)果。

4 實驗設(shè)置與結(jié)果分析

實驗中涉及到的非常規(guī)域名來自于malwaredomains.com，共計3 189條數(shù)據(jù)，考慮到越是普及的域名，它為常規(guī)域名的可能性就越大，因此選取了Alex網(wǎng)站中排名靠前的3 872個域名。分類模型構(gòu)建的實驗步驟如下：

(1)讀取3 872條常規(guī)域名，給域名加上標記為“Good”；

(2)讀取3 189條非常規(guī)域名，給域名加上標記為“Bad”；

(3)將這兩組域名組合在一起，構(gòu)成目標集合；

(4)提取每個域名的上述特征；

(5)將80%常規(guī)域名和80%非常規(guī)域名的特征數(shù)據(jù)及其類別作為訓練集，將其余域名及其特征數(shù)據(jù)作為測試集；

(6)利用數(shù)據(jù)挖掘平臺weka，選擇C4.5算法，基于訓練集訓練得到?jīng)Q策樹。

對于一個二元分類問題，分類的結(jié)果有四種情況。對于非常規(guī)域名，如果樣本是非常規(guī)域名并且被預(yù)測為非常規(guī)域名，則為TP；如果樣本是常規(guī)域名被認為是非常規(guī)域名，則為FP；如果樣本是非常規(guī)域名被認為是常規(guī)域名，則是FN；如果常規(guī)域名被預(yù)測為常規(guī)域名，則是TN。對于常規(guī)域名，則反之。表3中涉及到的TP Rate、FP Rate、Precision、Recall和F1-score的計算公式如下：

TP Rate=TP/(TP+FN)

FP Rate=FP/(FP+TN)

Precision=TP/(TP+FP)

Recall=TP/(TP+FN)

F1-score=2*(Precision*Recall)/(Precision+Recall)

基于構(gòu)建好的決策樹，僅加入測試集中所有域名的統(tǒng)計特征(域名的基本特征、發(fā)音特征、分隔特征)進行分類，測試結(jié)果如表3所示。

在統(tǒng)計特征的基礎(chǔ)上再加入偽裝特征進行分類，測試結(jié)果如表4所示。

基于構(gòu)建好的決策樹，加入測試集中所有域名的所有特征進行分類，測試結(jié)果如表5所示。

表3 基于統(tǒng)計特征的域名檢測的準確率

表4 基于統(tǒng)計特征和偽裝特征的域名檢測的準確率

表5 基于所有特征的域名檢測的準確率

由上述實驗結(jié)果可見，僅使用域名的基本特征、發(fā)音特征、分隔特征能夠?qū)Ψ浅Ｒ?guī)域名進行一定程度上的檢測，但還存在較多的誤報、漏報現(xiàn)象；在加入偽裝特征之后，雖然從非常規(guī)域名一欄中的FP rate中看出，常規(guī)域名被誤報成非常規(guī)域名的概率略微變大，但是從TP rate的增幅可以看出，非常規(guī)域名被漏報的概率較大幅度變小，召回率Recall和F1-score得到了提高，關(guān)于提高幅度不明顯的原因是對敏感詞的選取不夠精準，漏報了一些具有偽裝特征的非常規(guī)域名以及誤報了部分常規(guī)域名；當加入全部特征以后，分類測試結(jié)果Precision、Recall、F1-score都得到了顯著提升。

5 結(jié)束語

在現(xiàn)有域名檢測技術(shù)的基礎(chǔ)上，針對不同類型的非常規(guī)域名的特點，優(yōu)選或適當擴展了已有的具有良好辨別度的域名特征，剔除了一些不必要的特征，提出了域名偽裝特征、DNS查詢特征和一個分隔特征，并設(shè)計了一中非常規(guī)域名檢測方法。對比文獻[3-4]，文中在沒有域名歷史數(shù)據(jù)的情況下，單從域名本身的文本特征也能一定程度上檢測出非常規(guī)域名；對比文獻[8-9]，文中結(jié)合了域名的網(wǎng)絡(luò)特征在非常規(guī)檢測準確率上獲得了一定的提高；在文獻[15]的基礎(chǔ)上，提出了針對非常規(guī)域名新發(fā)展方向的解決方案，實驗證明了該檢測方法的性能更優(yōu)。下一步可以從文中提出的偽裝特征入手，基于此展開更加深入的研究，以期更高效地檢測出具有偽裝特征的非常規(guī)域名；還可以深入研究非常規(guī)域名與IP地址對應(yīng)關(guān)系發(fā)生變化的規(guī)律。