僵尸网络是僵尸主机（botmaster）远程控制的受感染主机集群。随着互联网的不断发展,以及物联网、智能终端、云平台、社交平台的发展,僵尸网络呈现出平台多样化、通信隐蔽、控制智能化的特点。除了包括基于端口扫描的技术和基于深度包检测技术等传统检测技术,近年来基于统计和基于网络行为的僵尸网络检测技术方面的研究日渐成熟。在基于统计和基于网络行为的研究中,研究人员使用多种特征建立可以识别僵尸网络的机器学习模型,并取得了很大进展。这些特征通常由研究人员在模型建立之前通过经验设定。在实验中发现这些检测模型具有较高的召回率。但是,也有一些缺点。首先,人工设计特征对研究者的专业知识有更高的要求。二是特定不变的特征也为攻击者提供了机会,攻击者可以有针对性地改变僵尸网络流量的特征,从而规避模型检测。僵尸网络形态和指挥控制机制正在逐渐进化增强,人工特征选择变得越来越困难。随着深度学习技术的飞速发展,神经网络、强化学习、知识图谱等方法正逐渐应用于僵尸网络检测领域。本文研究如何利用深度学习的方法提取有效的僵尸网络空间和时间二维特征以及如何处理多分类任务中数据集不平衡带来的F1值低的问题。本文的主要研究工作如下:1、介绍僵尸网络的特性以及危害,对以往研究文献进行分析和总结。详细介绍当前僵尸网络检测中涉及的技术及僵尸网络多分类任务中对不平衡数据集的处理方法;阐述特征提取和深度学习相关理论与技术,并对以往处理多分类数据集不平衡问题的方法进行对比研究。2、针对以往僵尸网络检测方法存在的泛化能力差,对特征依赖性强的问题,提出了基于时空残差网络的检测模型。用深层1DCNN和LSTM并行学习僵尸网络的空间和时间特征,并在层与层之间引入残差连接（shortcut connections）,最终获得更高层次的特征表达。使用CTU-13数据集进行二分类和多分类任务,并使用异构数据集N-Ba Io T测试模型泛化性。3、针对现实中僵尸网络数据分布不平衡带来的多分类F1值低的问题,提出了结合G-SMOTE算法、多尺度一维卷积残差网络（Multi-scale One-dimension residual neural network,1DMs Res Net）的模型。该模型有效增加了对少数样本的学习,并且计算代价低。该实验使用了Bot-Io T数据集来检验模型对不平衡数据集的有效性。本文的创新之处如下:1、提出了一种新的僵尸网络检测模型,针对僵尸网络存在空间和时间二维特征,利用深层1DCNN和LSTM并行提取时空特征,然后用残差网络（Res Net）来解决网络退化问题。残差网络的捷径连接技术将融合的时空特征跨层传递,最终对输出的表征进行二分类和多分类。在多分类任务中,Res-1DCNN-LSTM模型在CTU-13和N-Ba Io T数据集上F1值比CNN和LSTM融合模型CNN-LSTM分别提高了0.63%和1.33%。2、提出了新的处理僵尸网络数据不平衡的模型。利用G-SMOTE过采样算法对少数样本进行过采样,然后用基于1DMs Res Net的模型对数据集进行Bot-Io T训练和测试。实验结果表明,在多分类任务中,G-SMOTE-1DMs Res Net模型的准确率比GRU模型提高了9.48%。