夏秦　王志文　劉璐

摘要：針對(duì)局部行為特征信息偏少而使得僵尸網(wǎng)絡(luò)行為難以全面追蹤的問(wèn)題，提出了一種基于域名共現(xiàn)行為的僵尸網(wǎng)絡(luò)行為追蹤方法．該方法通過(guò)域名共現(xiàn)評(píng)分算法計(jì)算待測(cè)域名與已知僵尸域名的域名共現(xiàn)行為來(lái)追蹤其他僵尸域名，進(jìn)而發(fā)現(xiàn)更多的僵尸主機(jī)；為提高域名評(píng)分準(zhǔn)確性，還提出了過(guò)濾基于網(wǎng)絡(luò)地址轉(zhuǎn)換的主機(jī)域名訪問(wèn)、空間區(qū)分單個(gè)僵尸網(wǎng)絡(luò)，以及基于觀測(cè)時(shí)長(zhǎng)共現(xiàn)行為統(tǒng)計(jì)3項(xiàng)改進(jìn)措施．采集西安交通大學(xué)網(wǎng)絡(luò)域名服務(wù)器的域名查詢流量作為數(shù)據(jù)源進(jìn)行了實(shí)驗(yàn)和測(cè)試，結(jié)果表明：基于改進(jìn)的域名評(píng)分措施不僅將待測(cè)域名數(shù)量降為原來(lái)的1／4，且計(jì)算出的前10名域名共現(xiàn)評(píng)分更加合理，提高了追蹤僵尸主機(jī)的準(zhǔn)確性。