随着互联网广泛应用于各行各业,网络入侵事件迅速肆虐,DNS作为互联网的重要设施,针对DNS的攻击形式越来越多样化,许多机器学习和深度学习技术被应用于DNS攻击的检测。由于DNS攻击的多样性,不同类型的恶意DNS流量的特征各不相同,大多数机器学习检测方法并不能对所有的DNS攻击有效,因此本文提出一种深度学习特征提取模型。此外,真实网络场景中DNS流量经常变化,许多已知和未知的DNS攻击存在不确定性,导致DNS流量特性发生变化,产生概念漂移,传统的静态模型难以适应数据动态变化的情况,实时检测效果不佳,因此本文提出一种自适应概念漂移的恶意DNS在线检测方法。首先,本文提出一种基于卷积神经网络和改进Transformer的混合模型ITransformer＿CNN。用Zeek解析数据包后,对域名本身采用Transformer的编码器结构进行特征提取,通过多头注意力机制更关注域名字符之间的序列关系,并且直接采用独热编码将位置关系和词向量一起输入Transformer中。对其他流量信息进行预处理后送入卷积神经网络模型中进行提取,将二者提取的特征融合为一个特征矩阵。其次,本文提出一种自适应概念漂移的在线集成模型。先提出一种自适应概念漂移算法,为了让模型更快适应数据变化,采用周期创建新分类器的方式,使用最新的数据训练,构造集成模型,达到集成数目后,用新分类器替代性能差的组件分类器,另外为了保证组件的多样性和集成模型的实时性,提出动态弃权概率集成方法,基于每个基分类器对要分类的新实例所显示的确定性进行弃权,确定最终参与决策的分类器池,再根据基分类器实时性能为其分配动态权值,最后根据每个基分类器的实时预测概率和动态权值得到最终的预测结果。最后,对本文提出的两个模型分别进行实验,使用的数据集是加拿大CIC2021的DNS数据包。针对ITransformer＿CNN模型先对比两种位置编码方式的检测效果,然后选择其它深度学习和机器学习模型进行对比实验,并将该模型应用在其它数据集上,实验结果表明ITransformer＿CNN模型具有很好的效果;针对在线集成模型,将该集成模型与单一模型以及其它在线集成模型作对比实验,结果表明该在线集成模型能够自适应DNS流量中的概念漂移,有较强的自适应能力和集成能力。