随着网络技术的发展以及物联网、车联网应用的日益增加,越来越多的用户隐私数据存储在各种联网设备上。高级持续威胁（Advanced Persistent Thread,APT）是网络空间安全的严重威胁之一,而基于DNS协议的远程控制通信与数据窃取是APT攻击的常用方法之一。APT的攻击目标大到国防、电力和金融等关乎国计民生的重要部门,小至个人计算机,攻击者从目标上窃取重要文件、核心数据或者是大量窃取个人信息用于贩卖以获取利益。如果能够在网络攻击发生时及时发现并阻断受控主机与攻击者之间的通信,则能够维护个人设备上的数据信息安全。本文提出了一种在真实攻击样本严重缺乏的情况下仍能保持高精度检测,且检测能力同时覆盖已知攻击与未知攻击的DNS流量检测方法。针对样本问题与未知攻击检测问题,本文创新性地提出了样本集强化方案与特征集强化方案,并实现了一个原型系统。为了解决真实攻击样本不足的问题,本文提出一种样本集强化方案,该方案又称为“完备度可控的DNS恶意流量生成技术”。它的核心思想是充分利用安全研究人员的网络空间知识积累与实战经验,构造实现各种攻击场景,将生成的攻击流量捕获下来用作机器学习模型的样本。为了使得检测模型对已知攻击的变种和未知攻击均具备优秀的检测能力,本文提出一种特征集强化方案。特征集强化方案的核心思想是基于DNS恶意流量构建的机理,对应提出新的检测特征,除非攻击者彻底改变现有的攻击构建原理,否则无法完全绕过这些特征的检测。新增的检测特征包括名可读性、域名结构性、二级域名钓鱼性和IP离散性四个类别。基于这两个创新强化方案,本文构建了一个决策树DNS流量检测模型,并在这个模型的基础上实现了一个原型系统。在测试实验中,本文模型对已知样本的检测率达到1 00%,对未知样本的检测率达到99.95%;在对比实验中,本文模型对于未知样本的检测能力高于已有研究成果,且在已有研究成果上验证了本文提出的创新方案切实有效。