恶意域名在僵尸主机获取命令与控制服务器的IP地址时起到了关键作用,对计算机系统造成了极大的威胁。与基于有限域名的命令与控制服务器IP地址获取方法相比,基于域名生成算法的方法具有更高的检测难度。攻击者设计算法来生成恶意域名列表,僵尸主机遍历该域名列表来搜寻命令与控制服务器的IP地址,从而进行恶意通信。在DNS请求中检测出恶意域名有利于对僵尸网络进行分析,从而遏制恶意攻击。为提高域名检测的效果,本文提出了基于深度学习和相似度的恶意域名检测方法。本文的主要研究工作如下:（1）针对现有方法在特征提取上的局限性,提出了一种基于多维度特征和双向GRU的检测方法。该方法从多个维度提取特征,以双向GRU为弱学习器,将特征划分为四类。每一类特征分别对应一个弱学习器,分类结果由四个弱学习器的输出结果和判定阈值共同决定。在三个域名数据集上的实验结果表明,与仅基于单一特征的检测方法相比,该方法具有更高的准确性。（2）针对人工标注无法处理海量数据的问题,提出了初始域名集的筛选和聚类方法。该方法提取域名的网络特征,用单分类算法筛选出的恶意域名组成初始域名集。由于初始域名集家族内的恶意域名字符相似度较高,因此可以计算初始域名集的恶意域名相似度,并依据相似度对域名进行聚类。实验结果表明,该方法具有良好的筛选准确性和聚类准确性。（3）主机查询域名所构成的异质网络包含了节点信息,需要使用高效的建模方法和相似度算法来获取节点相似度信息。因此本文提出了一种二分图建模方法,并使用改进后的节点相似度算法计算二分图上域名节点的相似度,最后依据相似度实现域名的分类。实验结果表明,该方法在含有多个恶意域名的数据集上具有99.78%的准确率。