僵尸网络已经成为了网络安全领域最为关注的危害之一。僵尸网络主要是指攻击者利用网络秘密构建的,由僵尸软件组成的可通信、可被集中控制的计算机群。僵尸网络主要分为三类,基于IRC协议的僵尸网络,基于HTTP协议的僵尸网络以及基于P2P协议的僵尸网络。目前对僵尸网络的检测上主要是针对IRC协议的僵尸网络。P2P僵尸网络是最近两年才开始受到关注的一种僵尸网络。P2P僵尸网络,是僵尸程序与P2P技术相结合而产生的一种更复杂、造成的危害更大、更隐蔽难以检测的僵尸网络。它与传统的IRC协议的僵尸网络的集中控制机制不同,P2P僵尸网络利用了P2P的对等性,消除了集中控制的限制,大大的增强了生存性、隐蔽性和健壮性使得检测、防范以及跟踪上更加困难。由于P2P僵尸网络正在快速的兴起,已经开始成为未来僵尸网络的主要形式,因此对P2P僵尸网络进行检测变得十分的迫切而且必要。本文的主要研究内容是P2P僵尸网络病毒的检测,包括了两个方面的内容:主机恶意行为检测模块与P2P流识别模块。本文在阅读了大量的相关论文以及分析了大量的僵尸病毒的基础上提出了将主机恶意行为和P2P流识别相结合的P2P僵尸病毒的检测方法。由于作者分析了大量的P2P僵尸病毒,对于P2P僵尸病毒的共有特性具有很好的了解,因此这种P2P僵尸病毒的检测方法具有很强的通用性,对于已知的以及未知的P2P僵尸病毒都可以进行很好的检测。本文就僵尸网络的工作原理以及僵尸网络的命令和控制机制进行了深入的研究,深入剖析了目前P2P僵尸网络的检测方法以及目前国内外对于P2P僵尸网络的检测的研究状况。本文的主要贡献包括以下几点:1.对于目前主要的一些P2P僵尸病毒样本,通过静态和动态相结合的分析方法对其进行了深入的分析,主要是通过分析这些僵尸病毒在僵尸主机上的一些行为特征。然后根据分析报告,提出了将主机恶意行为和P2P流检测相结合的P2P僵尸病毒分析方法。2.通过P2P僵尸病毒的分析报告,总结出了P2P僵尸病毒在僵尸主机上表现出的一些共性的恶意行为,然后提出并实现了主要的主机恶意行为检测模块,该模块主要包括注册表监控、隐藏端口的检测、隐藏进程的检测、DLL注入的检测等恶意行为检测模块。3.在研究了现阶段P2P流识别的主要方法以及P2P僵尸病毒的网络数据流所特有的行为的基础上,实现了自己的P2P流识别系统。本文对于P2P流的识别主要通过以下几种方法。A)通过端口进行识别。B)通过P2P协议的特征码进行识别。C)通过P2P流在传输层所表现出的特征进行识别。D)根据P2P僵尸病毒在网络上所表现出的一些行为特征进行识别。