随着信息技术的飞速发展和各种网络应用的广泛出现,计算机网络在人们的工作和生活中扮演着越来越重要的角色。但与此同时,网络所面临的威胁也越来越严重。僵尸网络作为网络面临的主要威胁之一,是攻击者出于恶意目的,传播僵尸程序控制大量主机,并通过一对多的命令与控制信道所组成的网络。僵尸网络控制者通过僵尸网络可以控制大量主机对因特网任意站点发起分布式拒绝服务攻击,发送大量垃圾邮件,从僵尸主机上窃取敏感信息或进行点击欺诈以牟取经济利益等。因此有效地对僵尸网络进行检测和深入分析具有十分重要的意义。本文在数个国家“863”高技术研究发展计划项目的支持下,在大规模网络中有效检测僵尸主机的基础上,对僵尸网络的迁移、协同、大小度量和传播模型问题展开深入的分析研究,主要工作包括:1、基于通信量日周期统计(CCP)曲线和通信频率日周期统计(CFP)曲线距离的IRC僵尸网络迁移识别。IRC僵尸网络是一类重要的僵尸网络,基于标准IRC协议构建集中控制型的命令与控制信道。IRC僵尸网络改变其控制服务器的行为称为迁移。IRC僵尸网络的迁移识别对于度量其数量、大小,研究其生命周期特性等都具有十分重要的意义。鉴于不相关的IRC僵尸网络所含僵尸主机不同,其CCP和CFP曲线有较大差异,而发生迁移的IRC僵尸网络间僵尸主机集合相同或相交,其CCP和CFP曲线相似。本文提出基于IRC僵尸网络CCP和CFP曲线欧几里德距离(EUDMD方法)和动态时间弯曲距离(DTWMD方法)的IRC僵尸网络迁移识别方法。为提高动态时间弯曲距离的计算效率,通过CCP和CFP曲线特征点的模糊比对、计算改进的不等距LB_PAA距离,过滤掉若干不相关IRC僵尸网络数据。2、基于僵尸网络恶意行为关联分析的僵尸网络协同识别。大规模僵尸网络出于自身安全的考虑,采用协同管理模式。将整个僵尸网络划分为若干小的僵尸网络,各自构建独立的命令与控制信道,而所有命令与控制信道受僵尸网络控制者统一控制。由于每个小的僵尸网络命令与控制信道不同,僵尸网络检测方法不能识别协同僵尸网络,而僵尸网络的协同识别对于其大小度量、特别是发现大的僵尸网络具有重要意义。鉴于协同僵尸网络受同一个僵尸网络控制者控制,本质上是一个僵尸网络,其恶意行为包括对外DDos攻击、垃圾邮件发送等具有目标和时间上的相关性。本文提出一种基于僵尸网络恶意行为目标和时间关联分析的僵尸网络协同识别方法,构建僵尸网络可疑恶意行为频繁时间窗口,通过假设检验方法SPRT给出显著性水平下的协同识别结论。实验显示识别准确率与僵尸主机检测数据的时间跨度和僵尸主机数成正比。在本文的实验数据集上,时间跨度为2个月、僵尸主机数大于40时,方法漏报率为0。3、僵尸网络感染主机规模度量。僵尸网络感染主机数量反映了僵尸网络潜在的攻击能力,是评估僵尸网络威胁的重要指标之一。在对僵尸网络进行迁移识别和协同识别的基础上,准确度量僵尸网络感染主机数量的难点在于:部分僵尸主机使用动态IP地址或NAT IP地址导致僵尸主机与僵尸主机IP不是一一对应关系。本文根据全球大规模爆发的蠕虫conficker的通信检测数据中隐含的conficker感染主机的身份信息,识别conficker感染主机IP地址中的动态IP地址,并根据动态IP地址的连续性,在IP地址空间中建立先验的动态IP地址块列表DImap。根据DImap识别被检测僵尸主机IP地址中的动态IP地址,并计算动态IP地址块对应的僵尸主机数;根据僵尸网络僵尸主机通信频道的异常识别NAT IP地址,并计算NAT IP对应的僵尸主机数,最后给出大规模网络中僵尸网络感染主机规模较为准确的度量。4、僵尸蠕虫的传播模型。僵尸蠕虫是僵尸网络的主要传播途径之一,建立准确的僵尸蠕虫传播模型可以一定程度地刻画僵尸网络的传播特性、预测僵尸网络的发展趋势。本文在基于时区的僵尸蠕虫传播模型DSIR的基础上,考虑到网络中主机连通性、在线率的差异而导致的僵尸主机传播能力的差异以及随着僵尸蠕虫的传播,僵尸主机群体平均传播能力的变化,在传播模型中引入僵尸主机群体平均传播能力参数A(t),建立了僵尸蠕虫传播模型ADSIR。实验通过conficker这一僵尸蠕虫的检测数据验证了模型的有效性,结果显示比DSIR模型更准确地刻画僵尸蠕虫的传播特性,较为准确地预测了conficker一定时间范围内的传播趋势。综上所述,本文针对大规模网络中僵尸网络分析技术进行了研究,提出了数个模型、方法及算法,对于促进该问题的理论研究和实用化具有一定的价值。