1、适合中小企业的DGA域名检测

使用LSTM或者CNN构建的DGA检测模型，这种方法需要使用深度学习自动提取特征，优点是只要有样本就能检测出已知的DGA域名，但面对新的DGA域名可能无能为力，特别是GAN泛滥的年代，这种做法可能将不能得出正确的结果。

2、适合大型企业

使用LSTM或CNN构建DGA的检测模型，但是使用文本特征和行为特征对DGA进行聚类，可以快速筛选出有价值的DGA域名，问题和场景1面临的问题相同。

可参考:

基于机器学习的僵尸网络DGA域名检测系统设计与实现

3、适合大型企业（基于DGA域名在不同主机中共现的特性，描述域名之间的相关性）

来源：https://zhuanlan.zhihu.com/p/30780842

使用360公司提出的聚类方法，数据建模上，作者利用了DGA感染IP的集中特性，认为感染IP和域名的二分图有强相关，为了量化相关度，利用感染IP和域名的邻接矩阵和自己的转置相乘计算域名之间关联，并用Louvain 算法按关联分数将关联的域名聚类，这些聚类结果可能指向为某个DGA族群。基于DGA的长尾特性，作者仅对长尾聚类，这也让这个稀疏大矩阵相乘在工程上可行。

能够发现未知的DGA域名。

360公司的DGA检测方案：

https://pc.nanog.org/static/published/meetings/NANOG71/1444/20171004_Gong_A_Dga_Odyssey__v1.pdf

4、适合大企业（参考NLP的思路，引用词共现的特性描述域名之间的相关性）

https://zhuanlan.zhihu.com/p/30780842

https://cloud.tencent.com/developer/news/144240

将域名看成一个word,一个IP的查询域名由很多个word组成。根据DNS查询数据，对所有的域名的查询序列做表示学习，通过最大化序列窗口内共现的概率将每个域名表示为一个空间向量，这样向量的内积即可表示为域名的关联打分。

能够发现未知的DGA域名。