僵尸网络(Botnet)由被僵尸网络控制服务器(Botmaster)控制的僵尸主机(Bots)组成。它为其他的网络攻击(如分布式拒绝服务攻击、钓鱼网站、垃圾邮件、敏感信息窃取等)提供了一个分布式的平台,已经成为互联网的严重威胁之一。另一方面,随着互联网的发展,网络流量数据呈现出巨大化的趋势,僵尸网络通信更容易藏匿在正常通信中。现有的僵尸网络检测方法大多不具备可扩展性且效率低下,不能适应日益增长的数据量。因此,有必要对僵尸网络检测技术,特别是提高检测方法的可扩展性和效率方向进行深入的研究。本文给出一种基于流量分析的检测模型,用于检测基于P2P协议的僵尸网络。模型的核心部分是PageRank算法,此算法具有良好的可扩展性和效率,可以使用并行计算工具进行处理。模型首先使用NetFlow技术采集网络流量,然后对流量进行过滤和聚合得到网络通信关系图,使用PageRank算法分析网络节点通信关系,输出每个节点的权威值和枢纽值。最后,通过聚类分析Page Rank算法输出值,找出联系密切的节点,并利用蜜罐技术判定僵尸主机。为了提高模型效率本文对数据采集及聚类分析模块做了以下改进:1.在数据采集中添加预处理模块用于过滤和聚合网络流量以减轻流量采集的负担,数据采集模块仅负责将原始流量数据存储在流文件中,可以避免路由器发出流量数据在数据采集模块处大量堆积,并提高模型的效率和灵活性。将流量聚合分成一次聚合与二次聚合两个步骤以进一步提高效率。2.在模型中使用一种改进的k-means聚类算法,该算法首先利用最大最小距离算法确定最佳初始簇中心,克服了原算法对初始簇中心十分敏感的缺点,并具备原算法可扩展性好,效率高的优点。使用真实数据集对模型进行实验,实验结果表明检测模型能较好的满足僵尸网络检测的要求,并具有以下优点:在提高模型效率的同时能维持较好的性能;具有优良的可扩展性,可用于检测大型网络。