1.一種基于DNS流量分析的網絡竊密行為檢測方法，其特征在于，所述方法包括：

檢測設備獲取目標惡意軟件所訪問的CC服務器的IP地址以及域名，將所述CC服務器的IP地址以及域名作為域名黑名單保存到黑名單庫；

所述檢測設備在預設時間內，獲取目標網絡設備的日常工作訪問的多個域名數據，所述域名數據包括域名以及子域名；

所述檢測設備基于所述域名數據，計算得到：所述域名以及所述子域名的信息熵閾值、所述域名以及所述子域名的最大字節數閾值、請求查詢所述域名時發送的最大數據包的字節數閾值和接收的最大數據包的字節數閾值、對所述域名以及所述子域名請求查詢的頻率閾值、所述網絡設備平均每小時請求查詢所述域名的流量大小閾值、查詢次數小于預設次數的目標DNS查詢類型；

所述檢測設備獲取目標友好軟件自動更新時所訪問的域名以及子域名，將該域名以及子域名作為域名白名單保存到白名單庫；

檢測設備實時獲取網絡流量數據；

所述檢測設備對所述網絡流量數據進行解析，在判斷解析成功時，得到待分析數據；

所述檢測設備基于預先保存的數據指標，判斷所述待分析數據是否滿足預設條件，

在為是時，保存所述待分析數據，生成警告信息，以便所述檢測設備對所述待分析數據以及所述警告信息進行風險分析；

所述預設條件為所述待分析數據滿足以下條件情況中的至少一項：所述待分析數據所訪問的IP地址以及域名是所述黑名單庫中的所述CC服務器的IP地址以及域名，或者所述待分析數據發送的請求信息中，對子域名進行了編碼，或者所述待分析數據查詢同一個域名的不同子域名的頻率大于所述頻率閾值，或者所述待分析數據的查詢類型中對目標DNS查詢類型的查詢次數大于預設查詢次數，或者所述待分析數據所要查詢的域名包含的子域名長度大于所述最大字節數閾值，或者所述待分析數據大于最大字節數閾值，或者所述待分析數據的信息熵大于所述信息熵閾值，或者所述待分析數據中響應數據包字節數大于請求數據包字節數預設值，或者所述待分析數據所訪問的域名或者子域名的時間呈現周期性且該域名和該子域名不在所述白名單庫內。