随着网络技术的快速发展和网络普及，网络安全问题日益突出。僵尸网络是一种从传统恶意代码形态进化而来的新型攻击方式，为攻击者提供了隐匿、灵活且高效的一对多命令与控制机制，可控制大量僵尸主机实现信息窃取、分布式拒绝服务攻击和垃圾邮件发送等攻击目的。僵尸网络正步入快速发展期，对因特网安全已造成严重威胁。　　Snort是一款开放源代码的网络入侵检测系统，它具有实时数据流量分析能力，能够进行协议分析，对内容进行很好的模式匹配，能够检测常见的木马、蠕虫等，对检测结果进行实时警报。此外，Snort还具有很好的扩展性和可移植性。鉴于Snort的良好特性，本文在深入研究僵尸网络的基础上，提出了一种基于Snort的僵尸网络检测系统。本系统对特征已知的HTTP僵尸网络和标准协议端口实现的IRC僵尸网络，采用规则匹配的特征检测方案；对于非标准协议端口实现的IRC僵尸网络，采用基于IRC协议关键字加IRC僵尸网络特征的检测方案；该检测方案能检测基于任意端口实现的IRC僵尸网络，有效的弥补了传统的基于协议端口检测的不足；对于特征未知的僵尸网络，在分析总结其行为特征基础上，提出了基于行为的僵尸网络检测方案设计并在snort系统中实现。