近年来,不断增加的僵尸网络给政府、能源、制造等涉及隐私关键信息的领域带来严重威胁。僵尸主机和命令与控制（Command and Control,C＆C）服务器的稳定连接是僵尸网络发起攻击的前提。为实现这种稳定连接,当前僵尸网络控制者广泛应用域名生成算法（Domain Generation Algorithm,DGA）来生成恶意域名。因此,提高DGA域名的检测性能是封堵僵尸网络和维护网络空间安全的关键。依赖特征工程的机器学习检测方法在一定程度上提高了检测的有效性,但其特征集的构建需要人工提取,且提取的特征范围相对固定,难以应对动态变化的DGA域名。相比之下,基于深度学习的检测方法能够自动提取域名特征,进一步提高检测效果,但其仍存在两个亟需解决的问题,一是对于类似于短文本的DGA域名,现有模型对其文本信息的利用能力和提取能力不高,在多分类性能上表现不佳;二是新型DGA域名家族层出不穷,特别是基于单词字典的DGA域名,其字符随机性低,与良性域名在字符分布和组成上十分相似,现有检测方法对其检测和分类效果不佳。鉴于此,本文的工作围绕提高DGA域名分类性能和提高基于单词字典的DGA域名检测性能作进一步研究,主要研究内容分为三部分:（1）恶意软件根据攻击对象的不同通常会采用不同的DGA,为了帮助网络管理人员快速精准地阻断攻击行为,提高检测模型的分类性能尤为重要。本文提出一种融合注意力机制与并行混合网络的DGA域名检测方法。为了提高域名信息利用率和提取域名深层特征,该方法的特征提取模块由DPCNN-SE网络和Bi LSTM-SA网络分别提取域名的深层空间语义特征和时序依赖特征,分别结合通道注意力机制和自注意力机制为提取的特征分配权重。实验结果表明:该方法在多分类任务中,准确率达到了0.9618;与四种对比模型相比,该方法在25个DGA域名家族具体分类结果上有21个家族的F1值最高,证明了其在检测性能和多分类性能的有效性。（2）针对常用检测方法对单词DGA域名检测和分类效果不佳的问题,本文分析了这类域名与良性域名在Unigram、Bigram、Trigram分布特性上的差异,设计了一种基于Bigram分词和词向量的域名数据嵌入方法。该方法同时保留了域名单字符特征和2-gram字符组合规律,使模型的输入具备更丰富的域名特征,有助于提高特征提取模块的训练效果。实验结果表明,在字符嵌入层采用Bigram分词和词向量化的方法能够提高模型的收敛速度,同时提高了模型的检测性能。（3）词根、词缀是区分不同单词的关键层级特征。为了精准捕获单词层级语义信息和单词字符间的构词规律,本文结合Bigram分词方法提出一种基于ON-LSTM与自注意力机制的单词DGA域名检测方法,该方法将有序神经元整合到LSTM中,构建了ON-LSTM-SA域名特征提取模块,有针对性地捕获单词关键层级信息,并为其分配权重。实验结果表明,该方法对Gozi、Matsnu、Nymaim、Suppobox四种常见的单词DGA域名的多分类F1值分别达到了0.95、0.96、0.92、0.98,实现了单词DGA域名的有效检测和分类。