重点域名即国家重要机构与关键基础设施的域名,其重要性使得面向重点域名的网络攻击屡屡发生。DNS劫持是其中最常见攻击之一,将用户域名解析到错误IP地址,实现用户无法访问目标服务或者访问恶意服务的目的。DNS劫持具有易操作性以及高危害性特征,因而被广泛用于攻击重点域名,威胁国家社会稳定、企业经济发展以及公民财产安全。可见能够及时、准确地发现面向重点域名的DNS劫持极其关键与必要。然而现有方法一方面以被动测量为主,发现不及时;另一方面检测方法单一,无法保证结果的准确性。针对这两个问题,本文对面向重点域名的DNS劫持发现开展研究,主要工作如下:首先,实现了全球开放解析器高效发现,以获取DNS劫持发现的主动测量目标。开放解析器与用户直接交互,辅助用户完成域名查询,因其开放性及重要性,是DNS劫持攻击的重要位置,因此本文将其作为DNS劫持发现的主动测量目标。本文在全球IP地址全量扫描的基础上实现了基于空间约减的开放解析器高效发现。通过全量扫描,本文平均可获得941万个开放解析器;通过基于空间约减的高效发现,本文平均可获得883万个开放解析器。探测地址从约37亿减少至不到1亿,探测效益比提高了40倍,且约减后的开放解析器结果覆盖率达92%,从而提高了发现效率,有效降低了对互联网空间的污染。其次,针对现有DNS劫持发现方法单一的问题,提出了DNS劫持检测与DNS劫持验证结合的发现方法。通过大规模、长时间的主动测量收集重点域名解析记录,基于网页内容判定是否可信,进而收集重点域名的可信记录集合用于DNS劫持检测。针对不在可信记录集合的解析IP地址,基于网页内容进行DNS劫持验证。本文提出基于网页是否可访问、网页结构是否相似、网页证书是否一致、网页是否存在恶意内外链以及网页是否存在内容不安全图片等5种DNS劫持验证方法,从而提高了DNS劫持发现的准确性。再次,实现了多维融合的DNS劫持分析方法,为面向重点域名的DNS劫持治理与安全防护提供数据支撑。针对重点域名,实现了重点域名安全性评估;针对发生DNS劫持的开放解析器,实现了DNS劫持定位与分析;针对重点域名被劫持到的IP地址,实现了DNS劫持结果追踪;针对DNS劫持自身,实现了DNS劫持根因分析。最后,本文设计并实现了面向重点域名的DNS劫持发现与分析系统。测试结果满足系统设计目标,一个月内发现了215个被劫持域名,约8.3万例DNS劫持,约1.2万个发生DNS劫持的开放解析器,且挖掘了大量DNS劫持规律信息。