僵尸网络是融合了当前计算机病毒、网络蠕虫和特洛伊木马等恶意软件技术的、能够可控的发起各种网络攻击活动的平台。在与安全研究者的不断对抗中,僵尸网络使用各种网络协议改进命令与控制机制,采用密码学技术实现通信加密,利用变形和ROOTKIT技术实现自我保护,使得基于程序特征码、基于网络协议的以及基于攻击行为的传统检测方法遇到越来越大的困难。本文研究了僵尸网络发展历史、功能原理、生命周期以及命令与控制机制,根据介入时间点的不同的分别研究了现有的僵尸网络检测技术,研究分析了人工神经网络原理和应用,分析了僵尸网络的流量特征并据此提出了基于BP神经网络的僵尸网络检测技术。这种检测技术主要包括数据采集和数据分析两步,首先通过抓取网络上的流量数据,从中提取出数据流和流量特征信息;然后利用BP神经网络学习流量特征分类的规则得到网络流量特征分类器,从而区分出僵尸网络流量和正常网络流量,进而检测出僵尸主机和僵尸网络的存在。这种方法仅依赖于网络数据包头部信息,可以检测加密的僵尸网络并且不侵犯用户隐私;神经网络分类针对僵尸网络命令控制流量,可以检测到静默状态下的僵尸主机而不依赖于其攻击行为,并且训练完成的神经网络可以快速检测新到来的流量。根据上述的检测技术方案,本文描述了基于BP神经网络的僵尸网络检测原型系统的详细设计方案,给出了系统的模块构成和部署结构,具体阐述了网络流量特征抓取以及BP神经网络的设计实现方法,并给出了方案中所涉及重要数据结构和关键过程的流程图和伪代码实现。为了验证上述方案,本文针对Zeus 1.2.4.2僵尸网络搭建了网络环境并采集网络流量数据,给出了抓取到了数据包、数据流和流量特征数据结果;利用采集到的流量特征样本训练神经网络并测试分类效果,取得了良好的检测率和误报率数据,并针对其Zeus 2.0.8.9和聊天应用进行了测试,从而验证了基于BP神经网络的检测技术有效性及其原型系统的可行性。