随着互联网的飞速发展,网络基础设施和服务的安全性越来越重要。DNS系统作为互联网上最为核心的基础设施,其安全性直接决定着整个网络的安全性,近年来,针对DNS系统的攻击频发,造成了严重的影响,因此,针对DNS攻击行为进行检测,对保障网络安全具有重要意义。DNS协议在设计之初并没有考虑太多的安全因素,协议本身存在的脆弱性使得DNS面临各种安全威胁。本文对DNS的系统结构和工作原理做了简单介绍,并对DNS系统的脆弱性进行了详细的分析。本文对现有的DNS攻击检测方案进行了调研,传统的入侵检测技术对DNS攻击检测缺乏针对性,不能有效识别攻击。现有的针对DNS攻击的检测方式主要有基于网络流量的检测方法和基于数据包特征的检测方法。分析对比现有检测技术的优缺点,本文提出了基于改进累积和算法和信息熵模型结合的检测方案。根据DNS数据包数量的特点,将入侵检测中的累积和算法针对DNS流量特征进行改进,同时对其计算过程进行优化,去除冗余参数;依据DNS数据包特征属性的分布特征,设计信息熵模型对数据包进行检测。通过在累积和算法中设置双门限值,在大流量波动环境中,基于数据包数量的特征进行检测,在小流量波动的环境中,对可疑行为通过基于数据包特征属性分布的信息熵模型进行检测,实现对不同网络环境的针对性处理。最后,根据检测方案对检测系统原型进行了设计与实现,并在不同的网络环境中进行了实验。经测试,本检测模型可以在大流量的攻击环境中准确的检测到攻击,同时具有非常高的检测效率;在小流量的攻击环境中也可以在保持较高检测效率的同时准确的检测到攻击行为。经过对比测试分析,本检测模型相比传统基于网络流量的检测模型具有更高的准确率和更低的误报率,并且可以适应不同的网络环境;同基于数据包特征的检测模型相比,本模型在拥有相近准确率的同时具备更高的检测效率。本模型在检测准确率和检测效率之间得到了平衡。