為了彌補黑名單方法的不足，基于DNS活動特征的實時檢測方法得到了廣泛地研究．該類算法需要對網(wǎng)絡(luò)中的DNS交互報文進(jìn)行實時或準(zhǔn)實時的DPI檢測，通過挖掘惡意域名有別于合法域名的活動特征以發(fā)現(xiàn)惡意服務(wù)．相關(guān)工作有：Chatzis等人依據(jù)郵件蠕蟲感染主機的DNS MX流量行為在傳播地址和流量特征方面具有高度相似性這一穩(wěn)定特征提出了一系列的郵件蠕蟲檢測方法c5-si;Caglayan根據(jù)域名對應(yīng)的IP地址頻繁變更這一基本特征，選取TTL值、4記錄數(shù)目及其離散程度三方面測度檢測Fast-Flux服務(wù)網(wǎng)絡(luò);Choi等人觀測域名查詢請求者的群體活動特性（即，大量僵尸主機在很短的時間間隔內(nèi)集中訪問某個域名），實現(xiàn)對僵尸網(wǎng)絡(luò)及其域名的檢測;Antonakakis在2011年基于從頂級域名服務(wù)器獲取的DNS交互報文，通過統(tǒng)計域名查詢請求者的離散程度以及解析IP地址的信譽值，檢測惡意域名;2012年，又基于同一個僵尸網(wǎng)絡(luò)的僵尸主機會產(chǎn)生相似的NXDomain流量（失效的DNS查詢請求），通過觀察域名的字符組成及其查詢請求者的相似性來聚類和檢測僵尸網(wǎng)絡(luò)使用的域名;Bilge遁過統(tǒng)計域名查詢請求的時間分布、域名映射IP地址的空間分布、TTL時間長短以及域名字面特征，發(fā)現(xiàn)惡意域名．