DNS域名系统(Domain Name System，DNS)，其核心作用是完成域名与互联网上唯一IP地址的映射，帮助互联网使用者定位资源，是许多应用提供在线服务的基础。近年来，利用DNS和针对DNS的恶意活动频发，影响范围广，DNS安全形势非常严峻。因此，DNS安全需要引起广大网络安全研究人员的关注。DNS流量是DNS域名系统运行过程中产生的数据，通过对其进行分析，可以发现与此相关的恶意活动。根据攻击目的，可以将DNS安全威胁分为利用DNS的安全威胁和针对DNS的安全威胁。与此相对应，本文的研究分为以下两个部分，一方面是恶意软件域名检测的研究，另一方面是基于DNS的DDoS(Distributed Denial of Service，DDoS)攻击的研究。通过对DNS典型恶意流量的分析和研究，提出相应的检测方案，从而保障DNS安全，及时止损。　　作者完成的主要工作如下:　　(1)通过分析在实际数据中的攻击案例，发现一些隐蔽的C&C(Command and Control，C&C)恶意软件域名具有周期性的特点，由此本文提出周期性C&C恶意软件域名的检测方案，方案的主要核心模块为周期性检测模块以及恶意域名和合法域名分类模块。在周期性检测模块中，本文提出了一种改进的基于直方图的周期性检测算法，经过将域名请求时间序列转化为直方图、按照直方图纵坐标进行排序、根据直方图进行均匀判断和非均匀判断三个步骤检查域名请求序列是否具有周期性;在恶意域名和合法域名分类模块，本文提出了基于请求端、应答端、搜索引擎和域名注册信息四大类特征。本文通过使用模拟数据验证了周期性检测算法的有效性，评估了算法的识别能力，本文还将检测方案应用于实际数据，通过对检测结果进行验证分析，证实了检测方案的有效性。　　(2)域名随机子域DDoS攻击是DNS洪泛DDoS攻击的一种，本文首先对此种攻击的原理进行了详细说明，对实际数据中的域名随机子域DDoS攻击事件进行了详细研究和分析，包括从单个目标域名、从多个目标域名关联和从单个递归DNS服务器三个角度立体化地对此种攻击进行量化评估。根据被攻击域名和正常域名的区别，本文提出了域名随机子域DDoS攻击的检测方案，提出了被攻击域名和合法域名的分类特征，主要分为域名前缀随机性判断和请求IP随机性判断两个部分。在实验环节，本文使用一个月的DNS日志进行实验，发现大量的被攻击域名，验证了本文检测方案的有效性。　　本文对DNS典型恶意流量进行了分析和研究，设计并实现了周期性C&C恶意软件域名检测原型系统和域名随机子域DDoS攻击检测原型系统，并将这两个原型系统在实际环境中应用，发现了相应的恶意活动，达到了预期的研究目标，为DNS典型恶意流量检测方向提供了一个新的思路。