网络与科技的高速发展,方便了人们日常的生活工作,但与此同时,部分网络攻击带来的安全问题也越来越多,其中高级持续威胁攻击已成为网络安全最大的威胁之一。高级持续威胁（APT）是指某些组织对特定对象展开的持续有效的攻击活动。这些黑客组织具有较高的专业技术水平,且有足够的资源展开长期攻击。这种攻击不易被察觉,具有极强的针对性,且能绕过常见的安全策略,如防病毒、入侵检测系统等各种主流安全检测技术。现有有效的方法是通过分析C&C通信期间生成的恶意行为来检测恶意软件。但是,APT恶意软件通常采用低流量攻击模式,在每个攻击步骤中都会混入大量正常流量,以避免病毒检查和查杀。因此,传统的恶意软件检测方法较难及时发现APT恶意软件。但是由于大多数APT攻击都使用DNS来定期定位恶意软件的C&C服务器以进行信息传输,此行为将会在网络流和DNS日志中留下一些记录,这为我们提供了识别APT恶意域的机会。因此本文基于DNS检测恶意流量的相关研究,深入研究APT恶意域攻击特点,提出了一种基于DNS的时间特征和空间特征的检测方法。该检测方法将DNS的请求时间转化为字符串来进行流量的预处理,通过基于后缀树的字符串周期检测算法,提取DNS时间戳的周期置信度作为时间特征;再根据DNS数据包中域名以及服务器IP地址之间的关系生成DNS关联映射图,利用改良后的置信传播算法根据域名知识集,计算未知域名的恶意概率作为空间特征;将两种置信度整合为该域名的特征向量选取LightGBM算法对其进行训练检测。最后,本文采用Contagio等公开数据集以及本人收集的流量组成数据集,对本文提出的检测方法进行检测评估。实验结果显示,本文提出的检测方法与其他方法相比准确率和召回率上都有一定的提高,检测准确率达到96.6%,召回率达到97.2%;而且本文的方法能够处理由于数据包有效载荷独立而导致的加密和混淆流量。