近些年来,人们使用的智能设备以及搜索引擎均是基于互联网技术发展而来,可以发现如大数据、云计算、物联网等互联网技术相关产品已经与我们的日常生活息息相关。网络被人们频繁的使用,所以各种各样的智能设备产生的流量数据非常大。然而,有不法分子通过互联网漏洞获取经济暴利,从而产生了僵尸网络。目前僵尸网络的破坏能力极强,不仅会将互联网用户的信息泄露,而且还会造成网络设备的瘫痪,给网络安全带来了挑战和巨大的困难。当前的僵尸网络检测系统大部分只能检测一种类型的僵尸网络,这使得僵尸网络防御工作显得力不从心。近年来,机器学习技术被运用到各行各业,因其拥有自主学习能力可以模仿学习所以可以适应很多应用场景。将该技术应用到僵尸网络检测技术中能够有效提升对僵尸网络的检测能力。目前,一部分僵尸网络检测技术运用了机器学习,但也存在许多缺陷。主要有以下三方面其一,使用一种算法只能检测一种类型的僵尸网络且检测精度不高,其二,僵尸网络的特征需要人工分析获取,这需要消耗大量的时间和人力成本,其三,以往采用Hadoop或者其他框架搭建分布式系统,不能达到对海量数据的实时检测的要求。本文通过对多种机器学习算法的研究,探索了一种将不同类型算法组合在一起的思路,对数据集进行多角度的建模,解决了模型单一的问题。该检测系统由三种检测算法组成。第一种算法是使用CURE算法根据僵尸网络使用Fast-Flux技术生成的DNS流量与正常生成的DNS流量特征不同进行聚类;第二种算法是在对使用DGA算法生成的恶意域名产生的流量进行动态和静态特征提取后,使用SVM分类算法对恶意的域名特征进行分类;第三种算法是引入IPFIX概念构造IPFIX拓扑,运用改进的K-means II算法对IPFIX拓扑特征进行聚类。设计过程中还研究利用了机器学习的监督学习和非监督学习模式,通过对特征的聚类、分类建立僵尸网络检测模型。本系统选择Spark Streaming搭建分布式实时流处理策略平台,以满足对高速流量实时检测的需求。设计中还将本系统检测IPFIX类型的僵尸网络模块与Bot Hunter系统对进行比,两系统在同时检测IPFIX类型的僵尸网络时,本文提出的系统当检测三种IPFIX类型的僵尸网络时,其检测效率均高于Bot Hunter系统。最后通过在虚拟、可控的实验环境下对多种僵尸网络家族进行检测,本系统的召回率和精确率均高于81%,且准确率为84.6%。经实验测试结果表明,本文系统满足实时检测需求并能够实现Fast-Flux、DGA和IPFIX类型的僵尸网络通信检测。