随着移动网络技术的飞速发展,互联网环境及用户群体日趋复杂,由此造成的网络安全问题也日益严峻。其中,作为互联网中核心基础设施之一的域名系统,是大多数网络应用与服务的基础,其实现域名与IP的快速映射与转换,在本质上是规模庞大的分布式数据库系统。然而,现有的DNS协议缺乏信息保护和认证机制,同时近阶段推动的DNS安全扩展存在系统效率低下与部署困难等问题,这给DNS安全埋下巨大隐患。但是,DNS服务器上的查询日志包含了源IP与域名为主体的DNS查询特征信息,可应用于对异常DNS查询行为的识别。但是由于日志数据庞大且日志采集困难等问题,导致大部分基于查询日志的DNS安全研究既缺乏数量也缺乏深度。鉴于以上背景,本文的研究主要基于DNS查询日志展开,以达到对异常DNS查询的高效精确的识别。其中,考虑到DNS日志采集与存储的困难,设计了高效的日志采集与可靠的数据存储方案;针对行为主体源IP在DNS查询中表现出的快速多变的特点,设计与验证了实时无监督的源IP异常检测方法,该方法在面对多变未知的DNS查询攻击行为能行之有效的适应,且对异常源IP检测结果可通过低维可视化与可信度指标的方式予以呈现;针对DNS查询资源主体域名体现出的稳定单一的特点,设计与验证了非实时监督的域名异常检测方法,该方法在对域名统计特征多次聚类分析的基础上,通过欠采样与过采样结合的方式以解决样本倾斜的问题,最终训练出精确可靠的随机森林,以实现异常域名类别的自动识别。经过充分的实验对比与分析,本文提出的基于DNS查询日志的异常检测方法,可以实现对异常源IP和域名的有效识别。最后,总结了本文的主要工作,并客观阐述了所提异常检测方案在日志数据存储与异常检测等方面的优缺点,并在此基础上展望了下一步的工作。