基于域名共現行為的僵尸網絡行為追蹤

夏秦　王志文　劉璐

摘要：針對局部行為特征信息偏少而使得僵尸網絡行為難以全面追蹤的問題，提出了一種基于域名共現行為的僵尸網絡行為追蹤方法．該方法通過域名共現評分算法計算待測域名與已知僵尸域名的域名共現行為來追蹤其他僵尸域名，進而發現更多的僵尸主機；為提高域名評分準確性，還提出了過濾基于網絡地址轉換的主機域名訪問、空間區分單個僵尸網絡，以及基于觀測時長共現行為統計3項改進措施．采集西安交通大學網絡域名服務器的域名查詢流量作為數據源進行了實驗和測試，結果表明：基于改進的域名評分措施不僅將待測域名數量降為原來的1／4，且計算出的前10名域名共現評分更加合理，提高了追蹤僵尸主機的準確性。