域名系统（Domain Name System,DNS）隐蔽信道在高级持续性威胁（Advanced Persistent Threat,APT）攻击中呈频发态势，对网络空间安全具有潜在威胁。文章提出基于域名语义表示（Domain Semantic Representation,DSR）和图注意力网络（Graph Attention Network,GAT）的DNS隐蔽信道检测方法 DSR-GAT，将域名级别的DNS隐蔽信道检测转化为一种无向图的节点分类任务。首先基于域名的相关性采用无向图构建域名图（Domain Graph,DG）；然后利用域名的文本数据属性，采用一维卷积神经网络提取的语义表示作为DG节点的特征表示；最后通过图注意力网络的消息传播机制及多头自注意力机制，增强每个域名的特征表示。在公开数据集与基于真实APT样本Glimpse的自建数据集上进行实验，实验结果表明，文章提出的DSR-GAT方法检测效果较好，在解决上述问题的同时降低了漏报率，在一定程度上减小了安全风险。

• 单位
  中国人民解放军国防科学技术大学