在网络安全攻防战中，恶意软件通过算法生成域（Algorithmically Generated Domains, AGD）技术动态创建通信域名，使得传统基于静态规则（如IP黑名单）的防御手段失效。尽管已有大量基于深度学习（Deep Learning）的检测方案，但各研究使用的数据集、评估标准不一致，导致模型性能无法横向比较。更棘手的是，许多研究未公开代码或数据，严重阻碍了该领域的可重复性（Reproducibility）研究。

针对这一困境，西班牙萨拉戈萨大学的研究团队开发了RAMPAGE（fRAMework to comPAre aGd dEtectors）软件框架，首次实现了AGD检测模型的标准化训练与比较。该研究创新性地融合7种神经网络（包括LSTM、CNN等）与逻辑回归（Logistic Regression）构建元模型（Meta-model），在包含76种DGA家族的UTL_DGA22数据集上测试显示：准确率达96.68%，F1-score为96.66%，较现有最优模型提升1.2%。相关成果发表于《Expert Systems with Applications》。

关键技术包含：1）构建5个异构数据集（D₁
-D₅
），其中D₄
来自大学DNS服务器真实流量；2）实现17种经典神经网络模型（如Woodbridge LSTM、Berman CNN）；3）采用SHAP值（SHapley Additive exPlanations）和消融实验（Ablation Study）解析元模型决策机制；4）通过Scott-Knott ESD检验进行统计验证。

研究结果揭示：

1. 模型比较标准化难题：在统一框架下测试17个模型，发现MIT模型（Yu et al.）准确率最高（95.48%），但CMU模型（Yu et al.）具有最低误报率（FPR=4.92%），证实不同评估指标需权衡取舍。
2. 元模型性能优势：集成7个最优模型的逻辑回归系统在D₃
   测试集上实现96.68%准确率，较单体模型提升1.16%，且SHAP分析显示CNN（Berman）贡献度最高（影响值±1.5）。
3. 计算资源消耗：元模型训练峰值内存达5.63GiB，但推理延迟仅比最慢单体模型高4.28%，证明其部署可行性。
4. 现实场景局限性：测试真实网络流量（D₄
   ）时，80%良性子域被误判为AGD，主因是训练集缺乏多级域名样本，凸显当前学术模型与实战的差距。

讨论部分指出，RAMPAGE框架通过三种方式推动领域发展：

• 方法论革新：首次提供包含数据集预处理、模型训练、结果对比的端到端标准化流程
• 技术突破：证明简单模型组合（如逻辑回归）可超越复杂架构，且通过SHAP实现决策可解释性
• 数据开放：公开大学DNS日志数据集（D₄
  ）和290万真实AGD样本（D₅
  ）

该研究的核心价值在于破解了AGD检测领域的"可重复性危机"，其提出的元模型架构为工业级部署提供了高精度、可解释的解决方案。未来工作需重点解决动态子域（如Google的safeframe.*）引发的误报问题，这需要构建更贴近真实网络环境的训练数据集。