速变(Fast-Flux)是指短时间内将同一个域名映射到不同的网络地址上。采用这一技术的网络称为速变网络(Fast-Flux Service Network, FFSN)。这一技术最初被使用在大规模和重负荷的网络上。然而,攻击者也开始利用速变网络去构建一些非法网络,并隐藏真正的控制中心。该非法网络称为速变攻击网络(Fast-Flux Attack Network, FFAN)。由于良性速变网络和速变攻击网络持有太多的共同点和相似点,现在还没有一个有效的方法可以分辨它们。本文从三个不同的层面观察和分析了良性速变网络和速变攻击网络,以找出有效的识别方案。论文主要做了以下的创新工作:(1)从DNS记录的层面,本文对现实中的速变网络进行了观察。本文首先详细介绍了现有的度量方法,然后使用部分数值化的度量方法,对现实中的良性速变网络和速变攻击网络进行了度量和观察,最后基于观察结果给出了速变攻击网络的一些新趋势和新变化。(2)从网络节点服务质量的层面,本文提出了一种新的识别速变攻击网络的方法。同以往的度量方法都关注于DNS记录不同,该方法是基于网络中节点的服务质量来判断是否为速变攻击网络。该方法首先会对所有的网络节点进行24小时的连续监控,然后根据它们的服务状态计算本文提出的两个度量值,最后通过度量值结果判断是否为速变攻击网络。(3)从服务内容的层面,本文总结了速变攻击网络主页更新频率的规律,并提出了一种基于字节频率的恶意代码变种检测算法。速变攻击网络通常用于恶意代码传播、构架非法网站和发送垃圾邮件。由于速变攻击网络生存期较短,通常在两周左右,负载其上的内容有一些特殊的规律。根据现有的公开文献,本文是第一次从网络节点服务质量的层面和服务内容的层面去观察和分析速变攻击网络。通过本文提出的方法,可以有效的识别进而遏制速变攻击网络这种新型的恶意网络。