随着网络时代的到来,互联网让人民的生活更加便捷,比如社交、淘宝、发邮件、网上银行交易、电子商务等。一方面,互联网的进步带给了人们生活的便捷,另一方面黑客攻击者也会窃取互联网用户的重要信息,威胁着网民的网络安全。黑客攻击者利用僵尸网络对感染病毒的主机进行了大量的恶意活动,并且僵尸网络大多数使用了Domain Flux技术,即根据DGA(Domain Generation Algorithms,域名产生算法)在一段时间内涌现很多新域名并且只有其中一两个域名被注册为真实的活跃域名,以逃避安全检测员检测域名。因此,在收集的DNS解析域名数据基础上,分析DGA生成的恶意域名数据的特征,从而检测出DGA域名。本文提出了基于域名数据的DGA检测方法,旨在研究如何识别DGA算法生成的恶意域名。黑客攻击者利用DGA算法可以短时间生成大量域名,并且只注册其中一两个真实域名作为攻击源C&C(Commod and Control,控制与命令)IP。DGA生成的恶意域名数据的字符特征与正常域名的字符特征也不同。因此,本文利用上述条件进行DGA域名检测。首先,通过对DNS解析域名中的无效域名(NXDomain)聚类分组,根据恶意活跃域名与IP一对多的访问关系,筛选出对应域名个数大于一定阈值的IP,再将IP与Nx Domain形成的矩阵进行二部图聚类,并进行SVD奇异值降维来找到k个可疑感染僵尸主机。其次,对可疑感染主机大量访问过的活跃域名进行白名单过滤,从而找到活跃的C&C域名。然后,将经过白名单过滤的活跃域名放入离线训练好的SVM分类器进行分类,确定域名是否是45种DGA域名的一种,并提取可疑C&C服务器的IP地址。最后,使用现实的山西离线域名数据进行了功能测试和性能测试来评估该DGA检测系统的性能,基本能满足企业需求,可投入实际使用。