僵尸网络是大量被僵尸程序所感染的主机受到攻击者控制而形成的以恶意活动为目的的覆盖网络。由于P2P僵尸网络具有架构上的复杂性、灵活性及较大的个性化差异,并且在网络结构和控制机制等方面仍在不断地改进和发展。因而需要对其结构和功能机制进行深入研究,以开展对P2P僵尸网络检测技术的研究。本文对传统P2P僵尸网络的拓扑结构和核心功能进行了深入的分析。依据以上的分析和研究,归纳出了P2P僵尸网络所具有的共性流量特征。通过调研和分析发现,这些流量特征多为已出现的P2P僵尸网络检测方法所重点关注的,而由于真实网络环境的复杂性和P2P僵尸程序的不可控性带来的影响,难以在真实的网络环境中对P2P僵尸网络的流量特征进行准确的研究和测量。因而,为了更好地实现对检测技术的研究,本文依据P2P僵尸网络的流量特征,设计并构建了基于分层结构的P2P僵尸网络实验平台LSBotnet以较好地实现上述特征。其中,本文提出了P2P僵尸网络邻居列表机制以及基于Rootkit Inline Hook的僵尸主机隐藏机制。通过对平台各组成部分及网络通信与命令机制的设计与实现,使得该平台能够依据需求,产生变化的流量数据,能够较好地模拟真实环境中P2P僵尸网络的状态,为僵尸网络及其检测技术的研究提供基础。本文以LSBotnet实验平台中采集到的流量数据作为构建和测试检测方法的基础。依据对LSBotnet平台的测试以及对P2P僵尸网络流量特征的分析,提取和构建P2P僵尸网络流量特征集。选取特征集中能够较好地描述P2P僵尸网络流量特征的特征项构成DSCA元组,结合多项Logistic回归方程,提出基于DSCA数据流多元特征组的P2P僵尸网络检测方法,并详细描述了方法的设计和实现过程。文章最后通过对比DSCA与其他特征元组选择方式的检测效果,证明了本文的检测方法能够较好地实现对P2P僵尸网络数据流的检测。