域名服务(Domain Name Service,DNS)是互联网上的重要服务,因此网络中DNS流量通常不会被防火墙阻挡。然而攻击者利用这一特点使用DNS协议隐匿恶意行为,如使用DNS隧道进行文件外传、使用域名生成算法(Domain Generate Algorithm,DGA)进行僵尸网络控制。由于现在多种网络攻击都依赖DNS协议来与攻击者进行数据交互和命令控制,如果能发现异常DNS流量,可以有效的打击网络犯罪。为了在海量网络数据中发现异常DNS流量,本文提出了基于机器学习的检测系统,重点针对DGA域名进行检测。论文首先对异常DNS流量产生的原因进行了分析,根据异常DNS流量的特点,从域名构成特征和IP地址对应特征这两个维度进行研究,提取了元音字母个数占比、去重比例、完全限定域名访问次数、返回IP地址的分散程度、域名解析目标IP地址集的大小等多个特征。接着使用黑白名单过滤模块,对已知的大量正常DNS流量和部分恶意DNS进行过滤,为了提高黑白名单过滤的效率,使用了Bloom filter进行查询操作。该模块降低了后期机器学习的负荷,并缓解了不平衡分类的问题。在进行数据预处理之后,使用了贝叶斯分类、决策树算法进行机器学习训练,最后在实验中使用真实的DNS流量进行验证,并对不同的机器学习方法进行了比较,实验结果显示论文提出的检测方法可以有效的发现异常DNS流量。