僵尸网络是指控制者通过僵尸程序控制大量被感染的主机而形成的一种攻击网络，控制者可以利用僵尸网络进行DDOS攻击、发送垃圾邮件等多种形式的恶意活动，僵尸网络给互联网安全带来了严重的威胁。　　目前僵尸网络检测已经成为了网络安全领域内的热点研究问题，僵尸网络检测技术已经得到了广泛重视。蜜罐技术是网络安全检测与分析的重要途径，但是蜜罐被动地等待恶意代码的入侵，不能捕获通过网络下载和浏览器漏洞传播的恶意代码，而且消耗资源大、检测周期长。恶意代码捕获技术能够捕获大量的恶意代码，但缺少从恶意代码中提取僵尸程序的有效方法。僵尸网络通信信息的内在特性提取是僵尸网络检测的关键，目前工作缺乏对僵尸程序的主动研究，同时也缺少对大规模的僵尸网络内在特性的分析和研究。　　针对目前僵尸网络检测存在的问题与不足，本文对恶意代码样本获取、僵尸程序的提取与分析和僵尸网络通信特征进行了深入的分析和研究，在此基础上设计并实现了一种基于主动方式的僵尸网络检测系统。本文的主要工作有:(1)基于主动技术的恶意代码捕获方法结合了网络爬虫和客户端蜜罐思想，主动地获取恶意代码，并且能捕获通过网络下载和浏览器漏洞传播的恶意代码。基于VirusShare下载的恶意代码获取方法能够在短时间内高效地获得大量恶意代码，这两种方法为僵尸网络研究提供了重要数据来源。(2)提出了基于反病毒引擎的自动化提取僵尸程序的方法，该方法能够有效的从恶意代码中提取僵尸程序;基于虚拟机的僵尸程序分析方法能够获得大量的僵尸程序通信数据。(3)僵尸网络通信特征研究的主要工作是从僵尸程序产生的网络流量中提取出僵尸网络的通信会话特征，本文提出了设计并实现了僵尸网络DNS周期性检测的算法和僵尸网络域名检测算法，本文最后利用IP黑名单技术在实际网络环境中对僵尸网络进行检测。