在信息安全领域,高级持续性威胁(APT,Advanced Persistent Threat)已经越来越受到重视,这种威胁形式已经成为一种重要网络威胁。APT攻击主要是有针对性地入侵某些组织机构的内部网络,目的是实施破坏活动或窃取机密数据。其攻击涉及的目标领域广泛,包括军事、政治、科研、金融、工业控制等。攻击者为达到破坏或窃取的目的,制定高度针对的入侵方案,会对受害的机构或企业,甚至国家造成巨大损失。APT攻击不仅针对性强、目的性明确,而且不易被检测。达到最终目的前,APT活动会长期隐蔽地潜伏在目标网络系统中。它们使自己藏匿于合法的活动或流量中,在目标系统中不断提升自己的权限,这使得检测工作异常困难。随着震惊世界的“极光事件”、“震网”等APT案例频出,全世界的政府部门、安全厂商,以及科研机构对APT的关注与研究逐渐增加。卡巴斯基、火眼等安全厂商每年提供大量源于APT真实案例的技术报告。学术界也对APT攻击进行了全方位研究,为APT攻击划分生命周期,并在其各个阶段提出防御策略与检测方法。由于DNS日志可以记录下APT活动向外部发出的请求,所以基于DNS日志分析来检测恶意域名,从而帮助检测APT成为热点领域。但是现有方法存在的问题在于,域名特征并不普遍适用并且容易被规避,攻击者可以根据公开发表的检测方法调整域名生成策略,使检测方法失效;可用的恶意样本数量有限,快速变化的恶意域名集也会降低建立图检测方法的有效性。而且APT攻击的长期潜伏导致APT活动在时间上的规律被多数方法忽略。通过研究大量真实APT案例的技术报告,我们发现APT攻击体现在DNS日志系统上的时间规律很多,不应被忽略。所以我们需要分析每个主机发出的DNS请求序列,探究其时间规律来识别受到感染的主机。为了解决现有方法的局限,本文提出来自不同角度的检测方法。本文的关注角度从攻击者针对的主体——主机出发,而不再去关注域名本身易被规避的特征。本文对大量APT报告中提到的主机发出的DNS请求序列时间规律做出总结并提出假设。本文提出的检测方法基于这些假设,通过将前提假设量化为特征向量,以无监督学习方式找出疑似受到感染的主机。检测方法的具体步骤包括数据获取与预处理,特征提取,生成可疑列表。我们在20万主机数量级的真实大型校园网络数据集和来自4TU.ResearchData的公共数据集中加入源于大量技术报告的仿真攻击数据并进行了实验,并对方法中的个别特征进行了有效性验证。此外,我们使用相同数据集与相关工作进行了对比实验。实验结果验证了我们的方法的有效性和性能,以及现有方法的局限性。在方法的可行性方面,我们也给予充分考虑,保证方法高度可用,可移植性与扩展性强。方法可以独立完成受感染主机的检测,也可以结合其他方法使用,可作为完整防御体系的重要补充。