僵尸网络因其自身易控制、范围广、难检测等特点已发展成为目前互联网中最主要、最广泛的网络攻击平台,Botmaster可以利用僵尸网络实施窃取信息、Spamming、DDOS攻击等恶意行为。随着僵尸网络技术不断发展,僵尸种类和规模的不断增加,针对僵尸网络的检测技术也已成为网络安全领域的一个研究热点。目前已有的僵尸网络检测技术主要有网络流量内容检测、异常检测、日志检测等,这些检测技术都会存在一些缺陷或限制,例如对不同类型僵尸网络检测的通用性不足、检测系统在实际环境中部署困难等。为解决检测方法通用性不足的问题,本文通过分析僵尸网络的工作原理和通信机制发现僵尸主机表现出的网络流量特征、主机行为具有一定的群体相似性特点。以相似性为理论依据,本文结合已有的僵尸网络检测技术提出了基于相似性分析的僵尸网络检测方法,设计并实现了一种检测系统模型。该检测系统模型包括网络抓包、网络流量分析、主机行为分析和交叉关联聚类四个主要功能模块,通过抓取、分析网络中的TCP和UDP数据包来检测网络中是否存在僵尸网络。其中,网络抓包模块部署在被监测网络边界处监测和收集网络数据包,网络流量分析模块功能通过对网络数据包分析提取相似特征并找出具有相似特征的主机,主机行为分析模块功能则根据网络流量特征找出可疑的主机行为以及表现出相同行为的主机,交叉关联聚类模块针对网络流量分析模块和主机行为分析模块得到的结果进行过滤、相似性度量计算找出可疑的、属于同一僵尸网络的主机。本文在现有实验资源条件下搭建了一个简单的局域网环境,并分别在不同的实验情景中对检测系统进行实验验证,通过对实验结果分析可以发现此检测方法能够有效的检测出局域网内的僵尸主机。在本文最后提出了一些预防僵尸网络感染的措施,并对本文的工作进行了总结、提出下一步的工作和目标。