僵尸网络是在网络蠕虫、特洛伊木马、后门工具等传统恶意代码形态的基础上发展、融合而产生的一种新型攻击方式。通过僵尸网络可以发送垃圾邮件、窃取个人信息、发动拒绝服务攻击等,是目前国际网络安全领域最为关注的威胁之一。本文首先介绍了僵尸网络的定义和相关概念,研究僵尸网络工作原理和生命周期,重点剖析了不同协议类别僵尸网络的命令与控制机制,阐述了基于时区的僵尸网络传播模型,并对僵尸网络跟踪、检测和防御研究领域的方法进行总结。在此基础上深入研究IRC僵尸网络运行机制,分析僵尸程序与控制服务器交互的网络行为特征,提出了针对IRC僵尸网络形成初期的检测方法:昵称检测、控制命令检测和命令序列相似性检测。昵称检测通过分值计算、多正则式匹配和频道昵称距离检测僵尸主机。控制命令检测采用AC多模匹配增效算法查找僵尸网络命令关键字。命令序列相似性检测依据同频道聊天主机发送命令内容相似度来发现僵尸网络。三种检测方法面向登录过程不同阶段,检测结果互补,提高了僵尸网络检测率。最后设计并实现了IRC僵尸网络实时检测系统,在骨干网部署实验,检测出僵尸主机占IRC聊天主机比例约80%,取得了较好的检测结果。