僵尸网络已经成为当今互联网上最主要的网络攻击平台,可进行分布式拒绝服务攻击、发送垃圾邮件、钓鱼、信息窃取等恶意网络行为。随着僵尸网络的兴起,研究僵尸网络的检测技术成为必然。当前主要包括四种僵尸网络检测技术:基于特征的检测技术,基于数据流的检测技术,基于蜜罐的检测技术以及基于DNS的检测技术。基于特征的检测技术通常要等到僵尸网络爆发之后提取特征,具有滞后性;基于数据流的检测技术能更好的挖掘僵尸网络本质,但是误报率与漏报率都较高,很难在实际中部署;蜜罐技术是使用最广泛的检测技术,然而只有等到僵尸样本被捕获后才能分析,缺乏主动性;而基于DNS的检测技术往往受到ISP管理约束,不具备通用性。本文通过对以上检测技术的分析,认为流检测技术在检测多个僵尸程序和实时性上具有一定优势,从而提出了一种基于数据流的僵尸网络检测模型,该模型首先对僵尸网络流量特性进行分类,而后计算网络中恶意活动活跃度,最后对两者进行交叉关联分析得到僵尸主机的IP地址。该系统分为五个部分:通信监测平台、活动监测平台、通信聚集模块、活动聚集模块、交叉关联模块。通信监测平台通过在网关上获取网络内的流数据,并将其格式化后写入日志。活动监测平台负责检测可疑的活动,例如扫描、垃圾邮件、漏洞利用、二进制下载等等。通信聚类模块和活动聚类模块根据监测平台产生的日志文件分别进行各自的聚类过程。交叉关联模块将两个聚类结果合并,找出同一个僵尸网络中的可能成员主机。最后本文在局域网里搭建了一个小型的僵尸网络,模拟了端口扫描和分布式拒绝服务攻击活动,检测系统通过监测出境的网络流,经过聚类关联分析后成功检测出了僵尸网络中的主机,说明该检测模型很好的检测僵尸网络。