僵尸网络已经成为日益严重的一种网络安全威胁。僵尸网络的对抗通常分为两个阶段——检测和遏制,其中检测作为遏制的前提显得尤为重要。传统网络环境下主要通过在各个网络设备上部署检测方案来实现僵尸网络的检测,这种分布式的僵尸网络检测方案通常需要在多台设备上进行检测操作,会给网络设备带来较高的计算代价和较大的通信代价。此外,由于每个网络设备通常只能掌握部分网络情况,因此,这种分布式检测方案并不具有全面检测的能力。针对上述问题,本文在软件定义网络(Software defined Network,SDN)环境下提出了一种轻量的实时僵尸网络检测方案,取名为BotGuard。在此方案中,SDN的全网拓扑视图以及灵活可编程性的特点,为实时识别僵尸网络的存在提供了有利条件。虽然SDN作为一个新兴的网络架构,能够在僵尸网络检测过程中发挥高效的集中控制能力,但是在现有SDN环境下部署僵尸网络检测系统的相关方案依旧面临检测效率不高、与SDN架构契合度不高等问题。针对这些问题与挑战,本文采用图匹配算法的思想,提出凸透镜成像的模型图来描述僵尸网络的拓扑特征,通过匹配模型图来判定僵尸网络攻击的存在性。本文提出的检测方案允许SDN的控制器实现独立定位攻击位置,同时可以减轻网络中其他设备的负载。理论分析和实验评估均表明本文提出的BotGuard能够在SDN环境下实现实时的僵尸网络检测,更具体的说,BotGuard具有高于90%的检测率以及少于56ms的时延。