僵尸网络是被攻击者远程控制、而其用户尚无感知的一群计算机组成的综合攻击平台,已发展为当今互联网的最严重安全威胁之一。僵尸网络区别于传统木马、蠕虫等恶意攻击方式的基本特性是,攻击者使用了一对多的命令与控制机制(Command and Control,C & C)实现对多台主机的完全控制,指挥僵尸相互协作发起恶意活动,利用它们轻而易举地发起各类大规模的网络攻击,如分布式拒绝服务攻击、发送海量垃圾邮件等等。如何准确地识别僵尸主机是防御僵尸网络的首要任务,这对网络运营管理、打击网络犯罪等都具有非常重要的意义。起初,僵尸网络主要依靠IRC(Internet Relay Chat)和HTTP(Hyper Text Transport Protocol)等协议实现集中式C&C控制；以后,为了克服集中式结构存在的单点失效缺点,开始使用P2P(Peer-to-Peer)协议来构建分布式结构C&C,以加强其自身的健壮性和隐蔽性。在僵尸网络高度可控环境下,攻击者可以通过相关命令频繁地更新僵尸程序以改变其特征码,因此基于特征码匹配的检测方法容易失效。目前识别僵尸主机的方法主要有：一是通过解析相关通信协议(如IRC和HTTP),挖掘异常通信行为来识别僵尸主机；二是根据同种僵尸主机C&C通信行为的相似性以及攻击行为的相似性,通过聚类和关联的方法来识别包括IRC、HTTP和P2P等类型的僵尸主机。然而前者不能应对加密通信的情况；后者则依赖所监督网络存在多个同类僵尸主机的条件,难以识别网络中的单个僵尸主机。此外,主动测量技术也是识别P2P僵尸主机的有效方法,但已有这类技术给网络引入了大量额外流量,也会给正常节点的通信造成较大影响。提出基于异常地址对应关系的Storm僵尸主机主动识别方法AASD。它可识别寄生于Overnet网络中、危害巨大的Storm僵尸主机。Overnet是一种DHT网络,其节点的标识符与通信地址(IP,Port)之间理论上存在一一对应的关系,但是实际发现它们之间存在一对多和多对一的异常对应关系,称一对多为标识符重用,而称多对一为通信地址重用。在归纳节点索引地址条目中的标识符重用和通信地址重用现象的基础上,发现了Storm僵尸索引地址条目的两个特征：(1)僵尸节点使用的标识符和通信地址同时具有重用现象；(2)每个重用标识符所对应的多个IP地址并不集中在一个特定子网。设计了Overnet网络高速爬虫,将其部署于PlanetLab全球实验平台上,收集到大量用于实验的索引地址条目；采用集合论方法识别出同时具有标识符重用和通信地址重用现象的节点索引地址条目；然后,利用最大信息熵理论量化重用标识符对应IP地址的分散度,并把分散度作为判别僵尸的重要依据。若分散度超过设定阈值,则对应重用标识符就是Storm僵尸使用的标识符,其对应的重用通信地址即为Storm僵尸使用的通信地址。实验结果表明：与已有的主动检测方法相比,AASD方法不仅能以95%的识别率识别出活跃Storm僵尸节点,而且还能识别出不活跃Storm僵尸节点；另外,其占用的网络带宽降低了约60%,有效减少了对正常Overnet节点用户的影响。提出基于交互流簇分布相似率的P2P僵尸主机识别方法SIDPI。它可识别加密的Storm僵尸主机。特定IP端口(IP,Port)对上一定时窗内的所有流称为流簇。对非僵尸应用来说,其监听端口在不同时窗上各流簇的平均包长的分布相差很大,而僵尸则是相似的。采用相对熵理论量化两个相邻时窗分布间的距离,计算多个连续等长时窗内流簇平均包长分布的距离,分布相似率超过设定阈值(IP,Port)之主机即被标识为僵尸主机。还提出小流簇过滤算法,它提取网络中疑似僵尸主机的监听端口,削减须处理的网络流量,提高了流簇分布相似性判定效率。SIDPI方法的优点在于：(1)没有利用包负载信息,可以识别加密通信的僵尸主机；(2)不依赖多个僵尸间相似的群体通信和相似攻击行为,可以识别网络中的单个僵尸,特别是在僵尸传播的初期。实验结果表明,小流过滤算法能够滤掉网络中98%以上的(IP, Port),提高了后续相似率判定的效率；对采用加密通信和未加密通信的Storm僵尸的平均检测率约为95%。提出一种基于网络连接行为模式的僵尸主机识别方法BMBD。它可识别当前活跃的IRC和HTTP僵尸主机。分析发现,僵尸节点的不同连接具有相似性、这些连接的间隔时间具有周期性。为此,首先使用无督导聚类方法聚合相似连接,使用循环相关函数挖掘潜在的周期,形成BCM (Bot Connection-Behavior Model, BCM)模式。然后,在网络边界抓取流量,通过BCM模式的匹配来识别僵尸主机。实验表明,BMBD既不依赖于僵尸主机的通信内容,也不依赖于僵尸的群组行为,能够检测网络内的单个僵尸节点,检测率在96%以上。另外,对于已知BCM模式的僵尸,BMBD方法还能检测出其僵尸变种,检测率约86.67%。