DNS over HTTPS (DoH) 在提升DNS查询隐私性的同时，也为恶意活动提供了隐蔽通信通道。本文提出一种名为DoHunter的恶意加密流量识别方法，该方法利用大型语言模型（LLM）的先进上下文理解能力，并融合专家特征来检测异常。实验评估表明，该方法不仅能识别常见的和新兴的恶意DoH隧道工具（如dns2tcp、iodine、dnstt），还能在真实APT攻击中识别武器化的DoH流量，召回率达到0.9995。核心贡献在于将LLM的语义理解与领域专家知识结合，提升了对未知或变种恶意隧道的检测能力。该方法适用于网络入侵检测系统，可部署在出口网关或DNS服务器侧。仅基于摘要，具体架构细节和实验设置需查阅全文。