在线社交网络，例如脸谱（Facebook）、推特（Twitter）、微博在互联网上被广泛使用。他们正在改变人们的沟通方式和与互联网互动方式。由于在线社交网络的普及，攻击者开始设计专注于社交网络的恶意软件。社交僵尸是自动运行在用户计算机后台的恶意程序。它可以控制特定在线社交网站的用户账户，通过发送和接收在线社交网站上的消息与僵尸程序控制者进行通信。近年来，这些新的社交僵尸程序已成为在线社交网络严重的安全威胁。本文围绕社交网络僵尸程序的防御和检测开展研究，主要内容和贡献如下：1、分析了基于流量图的僵尸网络检测技术。本文介绍了常见协议的僵尸网络通信图的结构及特征,对比分析了它们的功能和工作机制,归纳总结了现有基于流量图的僵尸网络检测方法的最新研究成果,并在它们的使用环境、实验数据及结果、方法的优缺点三个方面做了比较分析,最后提出僵尸网络检测技术可能的改进措施。2、提出一种关联网络和主机行为的僵尸检测方法。本文针对延迟僵尸的网络活动和主机行为，提出了一个新的关联检测方法。针对延迟僵尸的网络活动和主机行为可能分散在不同时间窗口的问题，使用滑动时间窗口迭代算法，提高了检测准确率。针对单纯主机检测方法需要全局部署问题，使用推荐算法关联网络和主机行为，提高了检测的健壮性和准确率。分析了滑动时间窗口大小和主机检测工具部署率对检测准确率的影响。3、深入分析社交僵尸在主机上的活动。本文深入分析了一系列具有代表性的社交僵尸程序，并总结出社交僵尸程序所具有的典型特征。首先，我们收集并实现了一个典型的社交僵尸的数据集。这些社交僵尸曾被其他研究者广泛使用。其次，我们在虚拟机环境下，创建了一个带有监控功能的运行环境。第三，我们使用关联的分析方法分析社交僵尸在运行时的系统信息。