基于域名的惡意行為檢測技術

呂 品 柳廳文 張 洋 亞 靜 時金橋

1 中國科學院信息工程研究所 北京 100195

2 國家信息中心 北京 100045

引言

隨著信息技術的快速發展，網絡攻擊從傳統的計算機網絡迅速擴展到移動互聯網、物聯網等新興通信網絡，并延伸至交通、通信、工業控制等各個領域。網絡攻擊的強度和多樣性也達到了前所未有的高度。這使得網絡安全問題成為互聯網發展面臨的核心問題之一。

域名服務系統(Domain Name System，DNS)主要提供域名解析功能，完成域名到IP地址的雙向映射。作為互聯網最重要的核心基礎設施，DNS極易被各種網絡攻擊惡意利用，如僵尸網絡、欺騙攻擊、誤植域名注冊等，使得DNS安全問題已經成為互聯網安全可靠運行必須要解決的安全問題之一，受到了諸多國內外相關機構的重視。

美國國土安全部于2013年發布了愛因斯坦3促進計劃和網絡安全增強服務計劃，兩個計劃都將檢測DNS惡意域名并將其指向合法地址作為應對網絡空間威脅的重要手段之一。國家互聯網應急中心和中國互聯網信息中心定期發布的安全報告都將DNS域名的安全性分析作為感知國家網絡安全態勢的重要組成部分。與此同時，國外的OpenDNS、國內的奇虎360等眾多安全公司紛紛投入大量的人力物力進行DNS相關安全技術研究。

本文將重點從域名自身特征出發，介紹DNS安全問題和對應的安全檢測技術。論文的組織結構如下：第1節介紹當前典型DNS惡意行為及其特征，第2節分類介紹DNS安全檢測技術，第3節介紹兩類典型的DNS檢測系統，最后在對本文進行總結的基礎上，對未來DNS惡意行為檢測前景進行展望。

1 DNS惡意行為概述

本文主要研究基于域名的惡意行為問題，包括基于命令控制信道的DNS惡意行為和誤植域名注冊等。域名系統自身的安全性問題，可通過規范配置、安全加固、加強管理等手段改善和提高，不是本文關注的范圍。

利用域名構建命令控制(Command and Control，C&C)信道是最常見的一種基于域名的惡意行為。命令控制信道是控制者管理大量主機的通信路徑，易被非法利用。攻擊者利用域名構建命令控制信道，通過傳遞命令控制信息，進行網絡攻擊。基于命令控制信道的DNS惡意行為主要包括僵尸網絡方式和惡意域名方式兩類。1)攻擊者通過各種途徑傳播僵尸程序感染互聯網上的大量主機，而被感染的主機將通過一個控制信道接收攻擊者的指令，組成一個僵尸網絡。在各種針對域名的惡意行為中，僵尸網絡，尤其是基于Fast-Flux(一種通過使受控制主機快速持續變換DNS記錄，進而導致域名解析出的IP也快速持續改變的技術)的僵尸網絡逐漸成為網絡安全的最大威脅。僵尸網絡為很多非法惡意行為提供了分布式平臺，這些惡意行為包括攻擊關鍵目標的分布式拒絕服務攻擊(DDoS)惡意軟件傳播網絡釣魚、欺詐等。2)惡意域名方式是指利用DNS或應用的漏洞嵌入惡意代碼，進而對用戶系統進行惡意破壞的系統。惡意域名通過域名服務(DNS)管理由大量受感染主機組成的分布式網絡，因此惡意域名如釣魚網絡、垃圾郵件、僵尸網絡的指揮控制等，已經成為危害網絡安全的重要威脅之一。

與基于命令控制信道的DNS惡意行為不同，誤植域名注冊是一種意圖混淆商業域名或其他著名域名的惡意行為。攻擊者常常將那些與合法網站相似的域名注冊為虛假域名。這些虛假站點可被用來發布假廣告、賣假商品，甚至更糟糕的，騙取使用者信息并進行身份盜竊。如攻擊者常常注冊一些像baiidu.com、app1e.com這樣的域名，當用戶輸錯字符時，常常會訪問這些網站，而這些網站與原網站具有較高的相似度，從而使其遭受誤導，甚至遭受侵害。

當前，針對DNS惡意行為的安全防護技術在快速發展，越來越多的安全防護技術被提出。本文重點對典型的DNS惡意行為如僵尸網絡、誤植域名注冊和惡意域名等的安全檢測技術和檢測系統進行分析和分類介紹。

2 DNS惡意行為安全檢測技術

為了更清晰的闡述DNS惡意行為檢測機制，本文從域名的技術特征進行分類，介紹相應的安全檢測技術，并將其與所適用的惡意行為類型進行對應。

域名的主要技術特征分類包括域名的生成機制、域名的相似性、跳變性和連通性等4種，如表1所示。

表1 DNS惡意行為安全檢測技術

2.1 基于域名生成機制安全檢測技術

基于域名生成機制的安全檢測技術主要針對的是基于域名生成算法(Domain Generate Algorithms，DGAs)生成的域名。DGAs也稱為“域流量”，它可以動態頻繁地產生大量的隨機域名，從而避免通常僵尸網絡檢測系統的檢測和阻止。

因此，針對基于域名生成算法生成域名的分析和檢測，逐漸成為了僵尸網絡檢測技術的重點。當前對域名生成機制的檢測手段主要有域名相關的流量檢測、域名的關聯分析、域名的信譽分析等。

流量檢測方面，Antonakakis[1]等人提出了一種針對隨機生成域名僵尸網絡檢測方法。該方法針對來自同一個僵尸網絡(具有相同DGA算法)的“肉機”(bots)，查詢將會產生相似的非存在域名(NXDomain)的網絡流量，利用聚類和分類算法對域名進行聚類分析，并依據聚類結果對僵尸網絡進行檢測。Guerid等人[2]提出了一種兼顧用戶隱私和系統性能的僵尸網絡檢測方法。該方法能夠針對僵尸程序的行為識別僵尸程序，并利用關聯組織內的流量來識別控制僵尸程序的惡意服務。Sato等人[3]提出了一種尋找未知黑域名的方法。該方法利用兩個不同域名的共生關系來尋找未知黑域名，即如果一個域名與一個已知的黑域名頻繁伴隨出現，那么認定該域名也是黑域名。

域名關聯分析方面，Schiavoni等人[4]利用Phoenix機制來對域名生成算法進行檢測。該方法通過結合字符串和基于IP的特征，來發現代表僵尸網絡的生成域。同時，Phoenix能夠將DGAs生成的未知域和這些群體聯系到一起，并對每個跟蹤的僵尸網絡的演化行為產生新的認知。Yadav等人[5]提出了一種檢測DNS通信中“域通量”的方法。該方法首先研究了字母和數字字符的分布以及映射到同一套IP地址所有域上的二元模型；其次對包括KL距離、編輯距離和Jaccard相似性測度在內的幾種距離度量的性能進行了比較；最后利用通過抓取映射到所有IPv4地址空間而獲得的域名數據集和對目前為止所觀察看到的行為預期不理想的數據進行建模而達到訓練數據的目的。Zhou等人[6]利用DNS NXDomain通信來檢測DGAs算法，該方法利用基于DGAs算法生成域名具有的生存時間和查詢方式相似性的特點進行檢測。實驗結果表明，該方法在DNS NXDomain通信中可以較好地過濾掉基于DGAs算法生成的域名。

域名信譽分析方面， Sharifnya和Abadi等人[7-8]提出了一種信譽機制，以對基于DGAs算法的僵尸網絡進行檢測。其主要目標是為參與可疑活動的每一個主機自動分配一個較高的負面信譽評分。其核心思想是：首先選取在每個時間窗口結束時具有相似特征的DNS查詢行為；其次識別通過算法生成的可疑域名主機并將其加入到可疑矩陣中，同時識別具有較高DNS查詢失敗次數的主機并將它們添加到可疑矩陣中；最后計算兩個矩陣中每個主機的負面信譽評分并認定那些具有較高負面信譽評分的主機為被僵尸網絡感染的主機。該機制兼容采用JSD距離算法、斯皮爾曼等級相關算法和編輯距離算法，并進行了實驗驗證。實驗結果表明，該方法可以較好的權衡檢測率和錯誤率。

2.2 基于域名跳變性安全檢測技術

當前，攻擊者進行網絡攻擊時，常常利用動態域名技術，并結合Fast-Flux(跳變性特征)來隱蔽和遷移僵尸網絡控制端服務器，達到提高自身安全性的目的。對域名跳變性的檢測手段主要有對Fast-Flux內在不變特性的檢測、對Fast-Flux服務網絡的檢測以及基于DNS通信過程回歸測試的檢測等，具體來說如下。

Hsu和Huang等人[9]提出了一種實時檢測Fast-Flux僵尸網絡的方法。該方法依賴Fast-Flux僵尸網絡的內在不變特性，包括請求委托模型、僵尸程序與專用服務差別以及僵尸程序所使用硬件與專用服務器的差別。實驗表明，該方法能夠有效地檢測Fast-Flux僵尸網絡。Celik和Oktug等人[10]通過DNS響應包分析，研究了Fast-Flux服務網絡(FFSNs)的檢測問題。該方法構建了一個包含時間、空間、域名與DNS響應信息的高維特征向量，并著重使用一些無延遲并具有輕量級存儲與計算特性的算法。該方法利用C4.5分類樹對特征子空間進行評估，利用每個特性的信息增益排除冗余特性。Mowbray和Hagen等人[11]呈現了一個從DNS查詢數據中發現DGAs的程序。其工作原理是利用域名查詢中異常的二級字符串長度來識別客戶端IP地址。Zou和Zhang等人[12]通過對DNS通信過程的回歸測試，結合實時監測和長期監測，提出了一種Fast-Flux域的檢測方法，與基于通量得分的算法相比，該方案具有檢測度高、資源消耗小的優點。

2.3 基于域名相似性安全檢測技術

基于域名相似性的安全檢測技術主要針對誤植域名進行防護。研究者常常先對誤植域名的傷害進行量化，然后根據其特征建模，進而利用模型檢測并防護誤植域名。Banerjee和Rahman等人[13]量化了誤植域名注冊的嚴重程度，并基于域名相似性特征，提出了一種誤植域名對抗策略SUT，其作用主要體現在對虛假網站網絡層的安全分析。實驗結果表明，SUT能夠以極高精度識別假網站。Khan和Huo等人[14]利用意圖推斷來量化誤植域名搶注網絡犯罪所帶來的傷害。意圖推斷可以為量化用戶所受的傷害建立一個新的域名相似性度量模型，隨后作者依據這個模型開發了一個用于識別誤植域名搶注的方法，并且量化這些由誤植域名搶注所造成的傷害。Liu和Shi[15]等人采用編輯距離(Levenshtein)從視覺角度檢測惡意域名詞法無法很好的處理域名視覺模仿的問題。

2.4 基于域名互通性安全檢測技術

基于域名互通性的安全檢測技術主要采用DNS圖實現，并主要用于惡意域名的檢測。當前，不斷發展的規避技術使得針對惡意域名的安全檢測變得越來越困難。典型的規避技術，如多域名利用技術，與單域名DNS活動分析相比，多域名惡意軟件的DNS活動在時間和空間上具有稀疏性和異步性，因而針對多域名的惡意DNS檢測亦更加復雜。

針對這種情況，Lee等人[16]提出一種基于圖的惡意軟件檢測機制GMAD(Graph-based Malware Activity Detection)，它能夠利用DNS查詢序列對抗前文的規避技術，并且具有很好的魯棒性。GMAD利用域名遍歷圖表示DNS查詢序列，進而對受感染客戶端和惡意域名進行檢測。除了能夠檢測惡意軟件的C&C域名，GMAD也能夠檢測諸如黑名單核對，偽DNS查詢等DNS活動。針對當前網絡異常檢測存在的詳細分析代價高昂的缺點，Jiang和Cao等人[17]提出了一種利用DNS失敗圖實現輕量級異常檢測的方法。該方法首先基于無效的DNS流量(無效DNS查詢)建立DNS失敗圖；其次基于非負三角矩陣的圖分解算法從DNS失敗圖中迭代提取相干聚類(稠密子圖)；最后通過對日常DNS失敗圖中相干聚類的分析，發現聚類所代表的各種異常活動，如垃圾郵件、木馬、僵尸網絡等。Zou等人[18]提出了一種基于DNS圖挖掘的惡意域名檢測方法。該方法通過建立DNS圖，將惡意域名檢測問題轉到圖挖掘任務；其次依據置信傳播算法來推算圖節點的信譽評分，信譽值較低的域名被以較高的概率認定為惡意域名。Gao和Yegneswaran等人[19-20]提出了一種與時間相關的惡意域名組檢測方法。該方法不需要全面標記訓練集。與之相反，該方法將已知惡意域名作為錨，進而識別先前與錨域名相關的未知惡意域名集合。Kührer和Rossow等人[21]設計了一個基于圖的方法，來識別黑名單中的陷阱(sinkholes)，即由安全組織控制的惡意域名，并對黑名單的有效性進行了全面評估。

3 DNS惡意行為檢測系統綜述

與DNS惡意行為檢測技術分類不同的是，DNS惡意行為檢測系統主要從系統實現上進行設計，主要包括基于DNS流量分析的檢測系統和基于DNS數據挖掘的檢測系統兩種。

3.1 基于DNS流量分析的檢測系統

基于DNS流量分析的檢測系是各種各樣的DNS流量分析工具的集合。DNS流量數據具有重要的價值，如通過對數據包的分析可以精確評估DNS系統負載；通過對DNS用戶流量分析，可以制定針對性營銷推廣活動；通過對DNS通信中的“域通量”進行監測和分析，可以進行僵尸網絡檢測等。DNS流量數據的更多重要價值在Robert[22]和Florian[23]等人的研究中進行了詳細分析，本節重點對已有的DNS流量分析在DNS惡意行為檢測中的應用進行綜合分析。

Begleiter[24]和Perdisci[25]等人通過對跨越若干不同地域的數百個不同網絡的遞歸DNS(RDNS)服務器產生的DNS流量進行分析，提出了用于檢測與追蹤惡意流服務網絡的FluxBuster系統。該系統不僅可以分析垃圾郵件中的可疑域名，也可以對外部的惡意流服務網絡進行檢測。

Thomas等人[26]通過對若干頂級權威的DNS服務器(TLD)的全球DNS流量進行分析，建立了一種惡意域名檢測系統。該系統能夠在不獲取惡意軟件樣本的前提下進行惡意域名檢測，并準確聚類惡意域名到一個特定變體或者惡意域名簇。Bilge和Kirda等人[27-28]基于對DNS請求的監控和分析，設計了EXPOSURE檢測系統，并對多種惡意域名和僵尸網絡進行了檢測分析。Antonakakis和Dagon等人[29]提出基于動態信譽的惡意域名檢測系統Notos。Notos有效解決了靜態域名黑名單的局限性，通過對遞歸DNS服務器的證據進行統計分析，并映射到對應的信譽評分機制，從而對惡意域名和合法域名進行有效識別。Notos同時統計給出了DNS中名稱空間和地址空間的相關性。

隨著新興網絡的崛起，建立基于全球監控的DNS惡意行為檢測系統的重要性變得越來越突出。基于此，Antonakakis和Perdisc等人[30]提出了基于全球監控的惡意域名檢測系統Kopis。Kopis系統主要作用于DNS層次結構的上層，可以實現貫穿整個DNS層次結構的預警，能夠檢測即將發生的惡意域名。Kopis系統的檢測機制包括兩個步驟：及時檢測到DNS層次結構高層次中的惡意域名；檢測遞歸級別中與DGA相關的惡意域名。Kopis系統能夠被TLD和ANS操作者獨立操作進行惡意域名檢測，使得DNS運營商能夠獨立的部署系統，并檢測其權限域中的惡意域名。基于同樣的原理，為了對釣魚攻擊等惡意域名進行檢測，Shuang等人[31]從DNS系統頂層域名服務器角度出發研究了全球DNS查詢模式。

3.2 基于DNS數據挖掘的檢測系統

DNS流量分析技術主要表現為對DNS數據已有的數據特征進行解析。而隨著DNS數據多樣化、爆發式的增長，DNS數據特征變得越來越隱蔽，這使得DNS流量分析技術越來越難以對其進行有效分析。

基于此，DNS數據挖掘技術被提出。DNS數據挖掘技術能夠深入挖掘DNS數據特征，從而實現對DNS惡意行為的檢測。Rahbarinia等人[32]提出了Segugio防御系統，對大規模ISP網絡中新的惡意域名進行了有效追蹤。Segugio防御系統首先建立DNS查詢域名的二分圖，然后利用這個二分圖進行惡意域名檢測。Segugio被部署在服務數百萬用戶的大型ISP網絡上，其能夠有效追蹤新惡意域名，準確率(TPs)到了94%，誤檢率(FPs)僅有0.1%。此外，Segugio還具有以下特點：1)Segugio能夠對新的惡意域名族進行檢測，并到達了85% TPs，0.1% FPs；2)從一個ISP網絡學習訓練成的Segugio模型也適用于其他不同的ISP網絡，并且仍具有較高的識別率；3)可對新的惡意域名進行提前檢測，這些域名數天甚至數周后才出現在大型商業域名的黑名單中；4)Segugio明顯優于常規使用Notos系統。

通常同一個僵尸網絡的“肉機”將會產生相似的非存在域名(NXDomain)網絡流量。Antonakakis等人[33]基于此，利用聚類和分類算法對僵尸網絡產生NXDomain的響應進行聚類分析，提出了一種新的動態隨機域名生成機制，并建立了原型系統Pleiades。通過在實際應用中對Pleiades進行評估(DNS流量來自于北美ISPs供應商)，該系統發現了12個DGAs，其中一半是已知(僵尸網絡)DGAs，另一半是以前未報告的新DGAs。

由于廉價存儲、法證分析、合法性等原因，企業會定期收集與安全相關的數據，如網絡日志、應用日志等，因此通過分析這些大數據集以識別可控的安全信息從而提高企業的安全逐漸成為一種通用的方法。Manadhata和Yadav等人[34]提出了一個惡意域名檢測系統。該系統將檢測問題建模為圖推理問題，通過將代理日志構建為主機域名圖，利用最小區域真實信息提取圖，并利用置信傳播估計惡意域名的邊緣概率，可以對通過企業HTTP代理日志訪問企業主機的惡意域名進行有效檢測。Begleiter和Elovici等人[24]提出了一種快速、可擴展的大規模DNS日志威脅的檢測技術。其核心思想為：通過建立基于日志一個語言模型，并從大數據集中不斷學習“正常”域名，從而得出DNS查詢大數據流的域名“異常”程度。該技術在純域名生成算法生成的域名檢測中取得了良好的效果。

4 展望

域名服務系統作為互聯網最重要的基礎設施之一，因其核心基礎性，常常被各種惡意行為所利用，如僵尸網絡、欺騙攻擊、誤植域名注冊等。本文通過對DNS惡意行為安全檢測技術和檢測系統進行分析和分類介紹，為DNS安全檢測提供了參考。DNS安全檢測技術的未來發展將主要集中在以下兩點。

1)高級持續性攻擊(Advanced Persistent Threat，APT)檢測已經成為業界關注的焦點。由于APT通常利用DNS服務器連接回遠程命令與控制中心，進而對網絡實施滲透。因此如何通過對DNS服務器進行安全防護，以防止其被APT攻擊所利用具有重要的研究意義。

2)國內外安全公司360、OPENDNS等都爭相展開了基于威脅情報的DNS防護技術的研究。基于威脅情報的DNS防護技術利用大數據技術并結合專家分析、可視化分析建立DNS威脅情報庫，從而形成了準確全面的DNS基礎數據，將是未來發展的重要方向之一。

參考文獻

[1] Antonakakis M, Perdisci R, Nadji Y, et al. From throwaway traffic to bots: Detecting the rise of DGA-based malware[C]//Usenix Security Symposium，2012:24-24

[2] Guerid H, Mittig K, Serhrouchni A. Privacypreserving domain-flux botnet detection in a large scale network[C]//Fifth International Conference on Communication Systems and Networks. IEEE, 2013:1-9

[3] Sato K, Ishibashi K, Toyono T, et al. Extending black domain name list by using co-occurrence relation between DNS queries[J]. LEICE Transactions on Communications, 2012, E95B(3):8-8

[4] Schiavoni S, Maggi F, Cavallaro L, et al. Phoenix: DGA-based botnet tracking and intelligence[M]//Detection of Intrusions and Malware, and Vulnerability Assessment，2014:192-211

[5] Yadav S, Reddy A K K, Reddy A L N, et al. Detecting algorithmically generated domain-flux attacks with DNS traffic analysis[J].IEEE/ACM Transactions on Networking, 2012, 20(5):1663-1677

[6] Zhou Y, Li Q, Miao Q, et al. DGA-based botnet detection using DNS traffic[J]. Journal of Internet Services and Information Security (JISIS), 2013, 3(3/4): 116-123

[7] Sharifnya R, Abadi M. A novel reputation system to detect DGA-based botnets[C]//International Econference on Computer and Knowledge Engineering.IEEE, 2013:417-423

[8] Sharifnya R, Abadi M. DFBotKiller. Domain-Flux botnet detection based on the history of group activities and failures in DNS traffic[J].Digital Investigation, 2015,12(12):15-26

[9] Hsu C H, Huang C Y, Chen K T. Fast-Flux bot detection in real time[C]//Recent Advances in Intrusion Detection,International Symposium, RAID 2010, Ottawa, Ontario,Canada, September 15-17, 2010. Proceedings.2010:464-483

[10] Celik Z B, Oktug S. Detection of Fast-Flux Networks using various DNS feature sets[C]//2013 IEEE Symposium on Computers and Communications (ISCC).IEEE Computer Society, 2013:000868-000873

[11] Mowbray M, Hagen J. Finding domain-generation algorithms by looking at length distribution[C]//Software Reliability Engineering Workshops (ISSREW), 2014 IEEE International Symposium on. IEEE, 2014: 395-400

[12] Zou F, Zhang S, Rao W. Hybrid detection and tracking of Fast-Flux botnet on domain name system traffic[J].China Communications, 2013, 10(11):81-94

[13 Banerjee A, Rahman M S, Faloutsos M. SUT:Quantifying and mitigating URL typosquatting[J].Computer Networks the International Journal of Computer & Telecommunications Networking, 2011,55(13):3001-3014

[14] Khan M T, Huo X, Li Z, et al. Every second counts:Quantifying the negative externalities of cybercrime via typosquatting[J]. 2015:135-150

[15] Tingwen Liu, Yang Zhang, Jinqiao Shi, et al. Towards Quantifying Visual Similarity of Domains for Combating Typosquatting Abuse

[16] Lee J, Lee H. GMAD: Graph-based Malware Activity Detection by DNS traffic analysis[J].Computer Communications, 2014, 49(12):33-47

[17] Jiang N, Cao J, Jin Y, et al. Identifying suspicious activities through DNS failure graph analysis[C]//IEEE International Conference on Network Protocols. IEEE Computer Society, 2010:144-153

[18] Zou F, Zhang S, Rao W, et al. Detecting malware based on DNS graph mining[J].International Journal of Distributed Sensor Networks, 2015, 2015:1-12

[19] Gao H, Yegneswaran V, Chen Y, et al. An empirical reexamination of global DNS behavior[J].ACM SIGCOMM Computer Communication Review, 2013,43(4):267-278

[20] Gao H, Yegneswaran V, Jiang J, et al. Reexamining DNS from a global recursive resolver perspective[J].IEEE/ACM Transactions on Networking, 2016, 24(1):43-57

[21] Kührer M, Rossow C, Holz T. Paint it black: Evaluating the effectiveness of malware blacklists[M]// Research in Attacks, Intrusions and Defenses. 2014:1-21

[22] Robert Edmonds, Eric Ziegast, Barry Greene. Join The Global Passive DNS(pDNS) Network Today and Gain Effective Tools To Fight Against Cyber Crime[EB/OL].[2016-07-16].http://www.isc.org/community/blog/201011/join-global-passive-dns-pdns-networktoday-gain-effective-tools-f i ght-against-

[23] Florian Weimer. Passive DNS Replication[EB/OL].[2016-07-16].http://www.enyo.de/fw/software/dnslogger/f i rst2005-paper.pdf

[24] Begleiter R, Elovici Y, Hollander Y, et al. A fast and scalable method for threat detection in large-scale DNS logs[C]//IEEE International Conference on Big Data.IEEE Computer Society, 2013:738-741

[25] Perdisci R, Corona I, Dagon D, et al. Detecting malicious flux service networks through passive analysis of recursive DNS traces[C]//Computer Security Applications Conference, 2009. ACSAC'09. Annual.IEEE, 2009: 311-320

[26] Thomas M, Mohaisen A. Kindred domains: detecting and clustering botnet domains using DNS traffic[C]//Companion Publication of the, International Conference on World Wide Web Companion, 2014:707-712

[27] Bilge L, Kirda E, Kruegel C, et al. EXPOSURE: Finding malicious domains using passive DNS analysis[C]//Network and Distributed System Security Symposium,NDSS 2011, San Diego, California, USA, February.2011

[28] Bilge L, Sen S, Balzarotti D, et al. EXPOSURE: A passive DNS analysis service to detect and report malicious domains[J]. ACM Transactions on Information& System Security, 2014, 16(4):289-296

[29] Antonakakis M, Perdisci R, Dagon D, et al. Building a dynamic reputation system for DNS[C]//Usenix Security Symposium, Washington, DC, USA, August 11-13,2010:273-290

[30] Antonakakis M, Perdisci R, Lee W, et al. Detecting malware domains at the upper DNS hierarchy[C]//Usenix Conference on Security, 2011:27-27

[31] ShuangHao, Nick Feamster, RamakantPandrangi.An Internet-wide View into DNS Lookup Patterns[EB/OL].[2016-07-16].http://labs.verisigninc.com/projects/malicious-domain-names.html

[32] Rahbarinia B, Perdisci R, Antonakakis M. Segugio:Efficient behavior-based tracking of malware-control domains in large ISP networks[C]//2015 45th Annual IEEE/IFIP International Conference on Dependable Systems and Networks. IEEE, 2015: 403-414

[33] Antonakakis E K. Improving internet security via largescale passive and active DNS monitoring[C]// Georgia Institute of Technology, 2012

[34] Manadhata P, Yadav S, Rao P, et al. Detecting malicious domains via graph inference[C]//The Workshop on Artificial Intelligent and Security Workshop. ACM,2014:1-18