1.一種基于DNS解析的域名陰影檢測方法，其特征在于，包括如下步驟：

1)獲取域名解析的DNS原始流量或PDNS數據，所述PDNS數據指被動DNS數據，解析域名請求的特征數據，對解析后的特征數據進行預處理，獲取特征數據向量流；

2)以預設的滑動時間窗口為檢測周期對特征數據向量流進行檢測統計，生成檢測特征數據向量流；

3)利用多階段異常檢測模型組對檢測特征數據向量流進行處理，逐步判斷子域名是否為疑似域名陰影，并輸出檢測結果，具體包括如下步驟；

步驟S103-1)利用分布式數據流處理組件，從消息隊列的檢測特征數據向量流Topic讀取相應的檢測特征數據向量流；

步驟S103-2)利用分布式數據流處理組件的滑動時間窗口機制，以預設的滑動時間窗口為檢測周期對檢測特征數據向量流進行檢測統計，以主域名為分析對象進行匯聚，提取匯聚結果的統計特征向量，包括子域名與主域名創建時間間隔F1、子域名組建立時間間隔F2、通用子域名的比例F3、子域名長度的多樣性F4、IP的地理位置、陰影社區、K-L散度評估、Web關聯性；

步驟S103-3)基于上述統計特征向量，利用階段1異常檢測模型進行域名陰影可信度評估，并根據可信度的閾值q₁判斷檢測特征數據向量流是否進入下一階段，包括：

計算總體可信度評分score_p1，若score_p1≥q₁，則判定為該時間窗口存在域名陰影；若score_p1q₁，則將該時間窗口的檢測特征數據向量流進行步驟S103-4)的處理；

步驟S103-4)利用分布式數據流處理組件的滑動時間窗口機制，以預設的滑動時間窗口為檢測周期對檢測特征數據向量流進行檢測統計，以解析的主機IP為分析對象進行匯聚，提取匯聚結果的統計特征向量，包括K-L散度評估、Web關聯性、主機IP承載的疑似域名陰影的數量；

步驟S103-5)基于步驟S103-4)輸出的統計特征向量，利用階段2異常檢測模型進行域名陰影可信度評估，并根據可信度的閾值判斷對子域名進行最終的可信度標注，更新檢測特征數據向量流相關字段；

步驟S103-6)對可信度超過指定閾值的疑似域名陰影進行匯聚，輸出疑似域名陰影的主域名、主機IP、域名擁有組織的相關信息以及證據向量，并寫入數據庫。