域名系统（Domain Name System,DNS）提供了一种将IP地址与域名相互映射的服务,它可以使人们非常方便、快捷地访问互联网。但是近些年来,攻击者常常利用DNS搭建隐蔽信道从而实现非法活动,例如窃取商业机密数据、远程控制设备等,严重影响了企事业单位的网络与信息安全。针对这一现象,目前已有很多研究方法,但是都忽略了 DNS响应包中的异常行为问题,因此产生漏报。针对这一问题,本文提出了基于流量特征统计的DNS隐蔽隧道异常行为检测方法,设计并实现了 DNS隐蔽隧道异常行为检测系统。主要研究成果如下:第一、针对现有研究方法忽略了 DNS响应消息而导致漏报的问题,本文提出了基于流量的DNS隐蔽信道异常行为的检测方案。本文在保持请求流量特征的基础上发现了响应流量中的三个特征:响应数据长度、熵值和DNS TTL均值。这些特征可以有效表达隐蔽信道在响应消息的特点,减少因忽略响应流量隐蔽信道数据传输而造成的漏报。在实验测试集上测试结果显示该方法可以有效降低响应包中传输隐蔽信道数据的漏报。此外,该方法整体检测准确率达到98.14%,与2019年Nadler等人的方法相比提升了 3%左右。第二、为了对模型识别出的异常DNS隐蔽信道数据作进一步的威胁类型判断,本文建立规则库并采取多协议样本分析的方法构建了威胁类型判定体系。本文将威胁类型分为两类:历史已知的威胁类型和历史未知的威胁类型,其中已知威胁类型包括六种。规则库包括威胁情报资源库和正则表达式规则库,用于识别历史已知的攻击类型,采用多协议联动分析与人工样本分析方法来识别未知的攻击类型。从而实现异常DNS隐蔽信道数据的威胁类型判断。第三、为了更好地满足交互式检测DNS隐蔽信道异常行为的市场需求,本文设计并实现了 DNS隐蔽信道异常行为检测系统。该系统以网页形式展现给用户,可在线检测异常的DNS隐蔽信道数据,并给出具体的异常攻击类别。该系统包括前端展示模块、DNS流量的处理与检测模块、异常行为判定模块、系统存储模块以及任务调度模块,最后使用Docker技术进行自动化部署。