1.一種基于報文分析的DNS劫持檢測方法，其特征在于：包括以下步驟：

S01.對網絡報文數據解析，提取其中DNS報文信息；

S02.數據預處理，對DNS報文信息進行數據清洗和篩選，獲得目標DNS報文數據；

S03.特征提取，針對所述目標DNS報文數據進行加工處理，提取特征數據；所述特征數據包括DNS服務器MAC是否常用、DNS服務器IP是否常用、DNS報文長度、DNS報文包含的IP計數、DNS報文生存時間、全局中域名對應的IP數、全局中對應的域名數大于1個的IP數、DNS服務器與網關配置是否一致；

S04.機器學習模型識別DNS劫持攻擊，將特征數據輸入預先訓練好的機器學習模塊，進行DNS劫持攻擊識別；所述機器學習模型為孤立森林算法；

S05.DNS劫持攻擊分類，采用K-means聚類算法對步驟S04中識別出DNS劫持攻擊進行分類；

S06.模型優化，利用檢測結果對模型進行優化。