从采用IRC协议的“egg drop bot”到高度模块化的AgoBot,僵尸程序从最初的网络聊天室辅助软件,逐渐成为威胁网络安全的主流恶意软件之一。在僵尸网络的攻防博弈中,IRC协议被HTTP、P2P等协议取代,并利用fast-flux,Domain-flux,URL-flux等技术加强僵尸网络通信的隐蔽性。同时,僵尸网络也摒弃了传统的中心式C&C(Command and Control)信道结构,采用了更加灵活和健壮的分布式C&C信道结构。异常分析、DNS流量检测及流量聚类检测等僵尸网络检测手段是当前较为常见的检测手段。然而,这些检测手段存在部署困难、难以应用于分布式僵尸网络的检测等缺点。为了有效的对分布式僵尸网络进行检测,论文对分布式僵尸网络的生命周期、组成要素等重要特征进行了分析研究,发现分布式僵尸网络中的节点之间的通信数据包具有时空相关性。而这种相关性可以采用流量分析技术进行检测,论文将时空相关性这一检测点与流量分析技术相结合,设计并实现了基于时空相关性的僵尸网络检测系统,该检测系统通过分析被检测网络中的通信流量,最终得出检测结果。该检测系统由数据包聚合模块、时空相关关系获取模块及僵尸主机检测模块构成。数据包聚合模块首先抓取原始的网络数据包,然后按照数据包之间的时空相关性将原始数据包进行聚合。时空相关关系获取模块负责对满足时间间隔阈值和出现次数阈值的可信二层相关关系进行提取,然后在此基础上,进行多层相关关系的获取。僵尸网络检测模块采用层次聚类算法,将小于距离阈值的主机节点聚合为一个簇,直到簇的数目不再发生变化,从而完成最终的检测,找出可能的僵尸主机。为了验证该检测系统,论文设计了测试方案,并在实验室搭建了测试环境,进行了验证。实验结果表明,论文所实现的检测系统能够有效的检测分布式僵尸网络。