近年来,随着大数据,人工智能,云计算等技术不断创新发展,人们的生活更加方便以及智能化。但伴随着科技技术革新所带来的的便利性的同时,网络攻击也开始变得日益频繁,并且呈现飞速上升的趋势,其中以僵尸网络为主要攻击手段的黑客团体造成的破坏力以及影响力尤甚。如今的僵尸网络为了规避黑名单的检测,通常会使用域名生成算法（DGA）来在短时间内产生大量域名,然后利用这些域名进行连接通信,借此控制大规模受感染的主机,使它们成为攻击者手中的“肉机”,对攻击目标的网络发起大规模攻击。因此检测由DGA产生的恶意域名对于防范僵尸网络有着重要意义。随着深度学习在各个领域的广泛使用,针对恶意域名的检测也由传统的特征提取结合机器学习的方式,转向应用深度学习的技术来对恶意域名进行检测以及分类。但目前由于恶意域名家族数据庞大,不同类别的家族在数量上存着在不平衡问题。另外近些年一些家族会通过单词词典的方式来产生域名,针对该类的恶意域名检测也是一大难题。所以针对以上两个问题,本文开展的具体研究工作如下:（1）针对域名家族数据不平衡的问题,本文的主要工作是通过结合CNN以及RNN在数据特征提取方面不同的侧重点,把两者的优势结合起来,可以针对性的提取更加有效的特征信息,使得整个的检测方法在效果上能够更加有效,同时通过引入Focal loss损失函数来解决恶意域名家族数据不平衡的问题。通过在公开数据集上进行的二分类以及多分类实验对比,验证了本文检测方法的有效性以及可行性。（2）针对基于词典的恶意域名家族分类效果差的问题,本文的主要工作是通过使用N-gram模型来提取针对域名数据的2-gram特征向量,并且结合字符向量来形成混合向量。在神经网络特征提取方面,在经典Text CNN模型的基础上,通过借鉴谷歌提出的经典Inception结构来对卷积模型进行改进。在多尺度卷积下,加深卷积层的深度,并且引入Batch Normalization层来减少模型的参数以及计算量。之后使用自注意力机制层,赋予域名数据中不同信息以不同的权重大小,去除其中的信息噪声,最后用全局平均池化层代替全连接层,提升模型的泛化能力,并且在之后通过模型的对比实验来验证该方法在二分类以及多分类上的有效性。本文的创新之处包括:（1）提出了一种基于CNN-BiGRU的恶意域名检测方法。该方法充分利用CNN以及RNN两种模型在特征提取方面不同的能力,在保证二分类效果最佳的同时,还通过引入Focal loss损失函数来解决恶意域名家族数据不平衡问题。在二分类实验中比起单一的CNN以及RNN模型检测准确率分别高出了0.12%和0.19%,在多分类实验中高出了2.89%和1.43%。（2）提出了一种基于Attention-CNN的恶意域名检测方法。该方法通过N-gram模型来提取出针对域名数据的混合向量,之后对卷积网络层进行改进以及结合自注意力机制,针对性的解决基于词典的恶意域名家族分类效果差的问题。在二分类实验中检测精确率为99.07%,为对比模型中的最好成绩。同时在多分类中针对新近出现的恶意域名家族也达到了不错的分类效果,尤其在基于词典的域名家族表现上,本文的方法在精确率、Recall值、F1值上均好于进行比较的混合模型。