随着互联网的发展,域名的数量正逐年增多,越来越多的恶意攻击者利用注册与知名公司域名相似的域名来欺骗普通网民上当,此类恶意相似域名严重威胁了普通网民的网络安全。针对这类恶意行为,现有的检测方法有根据待检测域名利用模型生成可疑相似域名字符的检测方法;有根据待检测域名利用参照域名列表配合相似字符对列表做逐字符比对的检测方法;有根据单位时间段内捕捉到的域名做彼此间相似判定的检测方法。但是现有的检测方法存在检测效率低、不能探索灵活多变的组合抢注域名和对网络环境中突然出现的恶意相似域名不敏感的问题。针对以上问题,本文设计并实现了基于域名相似特征的恶意相似域名检测系统。本文提出的恶意相似域名检测技术是根据实时抓取的流量来判断局域网络环境内是否存在恶意的相似域名。该检测技术通过对HTTP流量的域名信息和URL信息进行分析处理,利用参照域名列表配合域名相似特征筛选出可能被仿冒的合法域名。然后针对检测出的可疑相似域名对使用网页相似度计算配合VirusTotal查毒工具来判定其是否属于恶意流量。使用13808个恶意相似域名进行实验评估,发现该检测方案能够提高可疑相似域名的筛选速率,也能够应对灵活多变的组合抢注域名。设计并实现了一套分布式的恶意相似域名检测系统。该系统包括前端模块、流量监控模块、可疑相似域名筛选模块、相似域名对检测模块、系统存储模块和任务调度模块。为了提高系统的检测效率,该系统以大数据平台做数据支撑,使用SparkStreaming流式处理流量数据;为了降低系统的耦合性,使用Kafka消息队列来缓存系统子模块处理的中间结果;为了提高系统的可维护性,使用Docker部署大数据平台,使用Ambari来管理集群资源。最后测试表明系统功能的完整性和有效性。