张永斌　陆寅　张艳宁

摘要：针对僵尸网络为避免域名黑名单封堵而广泛采用域名变换技术的问题，提出一种域名请求行为特征与域名构成特征相结合的僵尸网络检测方法。该方法通过支持向量机（SVM）分类器对网络中主机解析失败的域名进行分析，提取出可疑感染主机；通过新域名聚类分析，将请求同一组新域名的主机集合作为检测对象，分析请求主机集合是否由可疑感染主机构成，提取出僵尸网络当前使用的域名集合以及命令与控制（Command and Contro1，C&C）服务器使用的IP地址集合。实验结果表明：训练后SVM分类器可达98.5%以上的准确率；经对ISP域名服务器监测，系统可准确提取出感染主机和C&C服务器的IP地址。

关键词：网络安全；僵尸网络；域名；域名变换