域名是描述网络实体性质语义的地址标识,域名解析是最为基础的用于引导网络连接、实施分流控制、管理网络地址的网络服务模式。恶意域名主要包括用于欺骗导流的仿冒域名,和用于网络攻击及隐蔽通信建立连接的引导域名,其主要是以字符、数字、符号等通过随机或特殊规则的组合产生。恶意域名检测是实施网络安全防御的重要一环,基于恶意域名威胁情报的检测技术已迫使越来越多的网络恶意活动采用算法生成的动态域名,为抵抗基于域名随机性的检测机制,越来越多的算法开始拟合自然语言规律生成域名,亟需开展高隐蔽性的算法生成域名的检测研究。论文基于自然语言语法模型概念形成针对网络域名的语法模型,并在此基础上研究了多类典型算法生成类恶意域名的检测问题。论文取得的主要研究成果如下:（1）针对缺乏刻画算法生成类恶意域名要素组构理论模型的问题,在梳理形成域名语义要素集的基础上,基于要素间组合排布分析和概率上下文无关语法建模,构建了一种网络域名语义要素解析树模型;基于所建立的模型,对随机字符类、单词组合类、预测字符类、多要素混合类典型四类算法生成类恶意域名分别进行了域名隐蔽性分析,揭示了恶意域名与合法域名,以及恶意域名之间的统计差异性,为后续针对性检测方法的设计奠定了基础。（2）针对随机字符类恶意域名快速精准检测的问题,基于网络域名语义要素解析树模型表征的字符关联性,提出了一种基于多尺度卷积映射的检测方法,该方法通过单层和双层卷积对域名的字符进行多尺度映射,实现了恶意域名的浅层和深层字符表征特性的融合,多个典型数据集上的对比实验结果验证了该多尺度卷积在恶意域名检测中的有效性。在此基础上,针对实际网络大流量环境对随机字符类恶意域名检测的实时性要求,提出了一种多尺度并行可分离卷积检测模型,该模型能够在保持与标准卷积检测模型接近的检测准确率的情况下显著提升检测速度。（3）针对具有较高隐蔽性的单词组合类恶意域名精准检测的问题,利用网络域名语义要素解析树模型分析域名内单词和域名间单词关联性,提出了一种基于单词语义集成学习的恶意域名检测方法。该方法通过构建包括域名内单词关联度、域名间单词关联度、词性组合频率和单词频率四个维度的特征集,并基于朴素贝叶斯、极限树和逻辑回归对构造的特征集进行集成学习。在多个典型数据集上的对比实验结果表明,该方法可有效检测单词组合类恶意域名,且支持不同数量单词组合的恶意域名检测,具有较好的适用性。（4）针对基于统计规律的高隐蔽性预测字符类恶意域名精准检测的问题,提出了一种基于字符混合特征异构深度网络学习的恶意域名检测方法。该方法通过不同尺寸卷积核构成的并行卷积分支结构提取域名中的多尺度混合局部特征,并采用融合自注意力机制的双向长短时记忆网络,完成双向全局特征的提取,通过融合局部和全局混合字符特征进行学习来抽取高隐蔽恶意域名与合法域名的微弱统计差异。多个典型公开数据集上的对比实验结果表明该方法能够有效检测预测字符类恶意域名,且具备恶意域名类型的分辨能力。（5）针对基于多要素混合的强隐蔽性恶意域名精准检测的问题,提出了一种基于多要素自适应量化学习的恶意域名检测方法,该方法通过域名元素解析对域名进行要素分割,对各要素根据其类型进行自适应量化形成了多要素表征向量,构建了具有特征选择能力的并行多尺度卷积网络模型来学习多要素混合类恶意域名的混合模式及混合要素特征,设计了可动态调节样本权重的自适应聚焦损失函数提高了检测准确率;多个典型数据集上的对比实验结果表明该方法能够有效检测多要素混合类恶意域名,同时对其他类型的恶意域名也有较好的适应性。最后,论文对全文进行了总结,并对值得进一步研究的问题进行了展望。