1、隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)的安全性和可靠性正在越來越多的受到人們的關(guān)注。作為網(wǎng)絡(luò)安全的重要組成部分，僵尸網(wǎng)絡(luò)的檢測技術(shù)也受到日益的重視。目前僵尸網(wǎng)絡(luò)的檢測方法分為兩類，分別為基于蜜網(wǎng)系統(tǒng)的檢測和基于網(wǎng)絡(luò)流量的監(jiān)視與分析。第二類的檢測方法分為四種：1)基于簽名的檢測，2)基于異常的檢測，3)基于DNS的檢測，4)基于數(shù)據(jù)挖掘的檢測。
　　 基于網(wǎng)絡(luò)異常的檢測技術(shù)由于其實時性，以及其檢測過程中無需先驗知識來進行規(guī)則匹配，而在僵尸

2、網(wǎng)絡(luò)的檢測中得到廣泛應(yīng)用。本文的重點研究目標就是利用僵尸終端的網(wǎng)絡(luò)特性，采用異常檢測算法，對在局域網(wǎng)內(nèi)的疑似主機進行多方面檢測，從而達到準確判斷僵尸終端的目的。
　　 為解決僵尸終端檢測中需先對其進行規(guī)則匹配和無法對其惡意行為進行防范的問題，本文在首先研究了不同種類僵尸程序特征的基礎(chǔ)上，利用僵尸網(wǎng)絡(luò)內(nèi)部通訊特征流量，標記出監(jiān)控范圍，從而實現(xiàn)對疑似僵尸終端的監(jiān)控。然后，提出了用輸入報文有效載荷的相似性，輸入輸出報文對的時間距離來刻

3、畫疑似僵尸終端之間的整體相似度，并通過這個相似度來靜態(tài)的描繪這些監(jiān)控范圍內(nèi)主機在某一時間段內(nèi)的通訊特征是否符合僵尸終端的特征。最后，把所得到整體相似度代入改進后的TRW算法，將每一個時間窗內(nèi)的靜態(tài)相似性的度量值作為該算法每一步運行的輸入，多輪次的(多時間窗)的對監(jiān)控范圍內(nèi)的僵尸終端進行檢測判斷，確定閾值，并最終標記出局域網(wǎng)內(nèi)的僵尸終端。本文的以上工作為檢測僵尸終端、防范僵尸網(wǎng)絡(luò)提供了一個新的方法。實驗證明該方法成功的實現(xiàn)了對僵尸終端的異