僵尸网络融合了病毒、蠕虫、木马和rootkit工具等传统恶意代码的特点，逐渐发展成为目前最为复杂和高效的网络攻击平台。其用途十分广泛，主要包括垃圾邮件散发、网络点击欺诈、网络钓鱼、窃取用户机密数据、分发恶意软件，以及发动分布式拒绝服务(DDos)攻击等。僵尸网络的巨大危害性和影响力已经引起了各国的充分重视，然而相对僵尸网络产业的日益成熟，目前针对其检测和反制的技术研究还处于初级阶段。因此，探索高效的僵尸网络检测技术成为近年来研究的热点。　　 当前针对僵尸网络的检测技术主要可以分为三类：基于网络数据内容和流量的检测，基于僵尸程序样本的检测，基于DNS流量分析的检测。本文对这三种技术的工作原理以及在准确性、时效性和部署的通用性方面的特征进行了分析和总结。基于DNS流量分析的检测技术在获得ISP和相关管理部门的支持下，具有检测范围广、时效性高、计算量小等优点。　　 为从域名数据中检测出僵尸网络所使用的恶意域名，本文首先分析了僵尸网络的工作原理和DNS系统在僵尸网络建立及运行中的作用。然后分析了僵尸网络由于不能完全掌握僵尸主机的在线状态以及由于其非法性，为躲避网络安全人员的检测和追踪，采用了各种技术手段，这些都造成了僵尸网络在域名构成和访问特性上与合法网络使用的域名存在的本质的区别。在这些研究与分析的基础上，总结出僵尸网络命令与控制服务器使用的域名与其他合法域名的5条主要区别特征，并通过已知的域名数据集对这些特征进行了定量的分析。然后根据这些特征设计了一个僵尸网络域名检测系统。最后，使用国家计算机网络应急技术处理协调中心提供的南方某市网络运营商DNS缓存服务器数据，对该系统进行了实验验证。