為了彌補黑名單方法的不足，基于DNS活動特征的實時檢測方法得到了廣泛地研究．該類算法需要對網絡中的DNS交互報文進行實時或準實時的DPI檢測，通過挖掘惡意域名有別于合法域名的活動特征以發現惡意服務．相關工作有：Chatzis等人依據郵件蠕蟲感染主機的DNS MX流量行為在傳播地址和流量特征方面具有高度相似性這一穩定特征提出了一系列的郵件蠕蟲檢測方法c5-si;Caglayan根據域名對應的IP地址頻繁變更這一基本特征，選取TTL值、4記錄數目及其離散程度三方面測度檢測Fast-Flux服務網絡;Choi等人觀測域名查詢請求者的群體活動特性（即，大量僵尸主機在很短的時間間隔內集中訪問某個域名），實現對僵尸網絡及其域名的檢測;Antonakakis在2011年基于從頂級域名服務器獲取的DNS交互報文，通過統計域名查詢請求者的離散程度以及解析IP地址的信譽值，檢測惡意域名;2012年，又基于同一個僵尸網絡的僵尸主機會產生相似的NXDomain流量（失效的DNS查詢請求），通過觀察域名的字符組成及其查詢請求者的相似性來聚類和檢測僵尸網絡使用的域名;Bilge遁過統計域名查詢請求的時間分布、域名映射IP地址的空間分布、TTL時間長短以及域名字面特征，發現惡意域名．