DNS隧道是一种存在多年的DNS攻击,它经常被用于数据窃取和隐蔽通信。DNS隧道中的数据经过编码后封装在DNS请求中,从而规避入侵检测。正是因为DNS协议在设计初没有安全上的考虑,才导致与DNS协议相关的攻击层出不穷,除了DNS隧道攻击之外,还有拒绝服务攻击、DNS缓存中毒和僵尸网络C&C通信等。随着DNS隧道工具的开源,更多的人能够轻易的获取这些工具,并使用这些DNS隧道工具绕过运营商网络认证访问互联网,访问被禁的非法网站,甚至从企业、政府内部窃取重要数据,这直接对个人、企业、政府和国家造成了极大的威胁。因此,研究DNS隧道检测技术,有助于网络空间安全治理和网络攻击防范。本文针对DNS隧道检测问题,在分析前人的研究工作中发现,使用基于行为特征的检测方法属于事后检测,无法避免数据泄露的发生,而通过单个DNS请求作为输入进行DNS隧道检测的方法能够使安全系统及时对检测出的DNS隧道请求做出响应策略,从而有效阻断DNS隧道数据传输。因此,从安全有效性的角度出发,从单个DNS请求中识别DNS隧道是十分必要的。本文主要研究基于深度学习的DNS隧道检测方法。在研究的第一个阶段中,提出了一个基于神经网络模型的DNS隧道检测方法,在经过数据预处理后,结合词嵌入方法分别构建了DNN模型、1D-CNN模型、RNN-LSTM模型和RNN-GRU模型共四个神经网络模型,模型经过训练之后,从灵敏度、准确度、精度、F1分数和马修斯相关系数等五个指标进行检验,并取得很好的结果,1D-CNN模型、RNN-LSTM模型和RNN-GRU模型的准确率均高于基于Bigram的DNS隧道检测方法。在研究的第二个阶段中,本文提出了两个DNS隧道检测优化方法:多模型集成融合优化方案是在得到多个检测模型的情况下,使用多个模型共同参与决策,综合模型的MCC计算出决策分数得出检测结果,该方案在具备安全性优势的同时,在准确率上十分接近于使用基于行为特征的检测方法;基于生成对抗网络的优化策略是通过构建并训练生成对抗网络,生成训练数据对检测模型进行二次训练,以增强模型检测能力,实验证实了使用基于生成对抗网络方法进行二次训练的神经网络模型具备识别基于单词的DNS隧道变种的能力。为达到真实网络环境下的DNS隧道实时检测能力,本文还实现了基于深度学习的DNS隧道检测系统,在建立仿真环境的基础上,通过搭建数据提取、数据持久化、数据可视化分析监控和深度学习平台,实现了基于深度学习的DNS隧道检测。