僵尸网络是由一个攻击者控制的,由很多脆弱主机形成的网络。僵尸网络是当今互联网上最大的威胁之一,攻击者通常利用它发起攻击,比如：垃圾邮件,分布式拒绝服务攻击,欺骗点击等等。早期的僵尸网络主要使用集中型的命令控制机制,这种僵尸网络使用IRC协议作为其通信协议,因为其协议的缺陷,这种僵尸网络有着天生的缺点。因此,当前的僵尸网络逐步的向P2P协议转化,攻击者通过P2P协议实现其命令与控制的通信,从而克服了集中型僵尸网络的单点失效问题,也增加了僵尸网络的鲁棒性和隐蔽性。因此本文从多个方面对基于P2P的僵尸网络进行了系统分析：命令控制机制、通信协议、评估模型、防御手段。为了更好地了解P2P僵尸网络及其以后的发展趋势,需要对P2P僵尸网络的关键技术、评估模型、发展趋势进行研究。本文深入分析了P2P僵尸网络,主要研究的方向有以下几个方面：1.研究双层架构的P2P僵尸网络动态模型,通过对现有P2P僵尸网络的对比和分析,研究并提出了双层架构的P2P僵尸网络的通信协议和控制框架,从而为以后的防御工作提供重要的理论和技术支持。在节点的选择机制方面,提出了基于IP地址相似性的超级节点选择邻居节点列表的算法,以及基于AHP算法的普通节点对超级节点的选取算法,重点考虑了超级节点的三个方面：在线时间、往返时间和硬件配置。最后验证,通过自适应算法和IP地址相似性算法的辅助以及使用层次分析法对超级节点的评估,增强了整个僵尸网络的鲁棒性和效率2.研究僵尸程序的主体个性和网络特性,提出一个全面的针对P2P僵尸网络的评估体系以及相应的评估指标：隐蔽性、效力、效率鲁棒性。隐蔽性方面主要包括主机自身的隐蔽性,以及终端植入后通信时的隐蔽性,主要包括以下几个方面：对抗查杀软件能力、通信加密机制、任务通信量、维护通信量。效力主要是用来评估僵尸网络可以产生的破坏能力,该指标在一定程度上等同于僵尸网络的大小,即可以控制的主机的数量。本文在对效力进行评估时,同时利用每台机器在线时间来估算在某一时刻可以利用的机器的总数量,从而评估其产生的效力。效率主要是用来评估僵尸网络执行命令的速度,从控制者下发命令到每个Bot都接收到命令所需要的时间,该指标和僵尸网络的直径密切相关。鲁棒性主要表示僵尸网络的架构的稳定性,bot上下线或者被破坏后对整个网络的影响。主要包括以下几个方面：是否存在单点失效节点,随机或者指定摧毁某些节点后对僵尸网络的影响。研究验证鲁棒性在一定程度上和僵尸节点的平均度数和度数差异有一定关系。在研究过程中,对评估模型中的重要指标以及相关的计算公式,同时对指标的提出给出实验结果。对于现有的P2P僵尸网络的通信机制可以归纳为两种模型:Send通信模型和Request通信模型,利用本章提出的评估指标对这两种模型进行评估和分析,研究它们与僵尸网络基本特征的关系。3.针对使用私有协议的P2P僵尸网络提出了一种防御策略。超级节点在P2P僵尸网络中起到非常重要的作用,它们不仅具有普通节点的执行命令的功能,同时还承担任务转发和传播的重要任务。本文研究的防御策略主要对P2P僵尸网络的超级节点中的关键节点进行研究,提出两种可行的方法探测出僵尸网络中的关键节点,通过实验验证对关键节点的摧毁可以对P2P僵尸网络的防御起到关键的作用。4.根据第二章的双层架构的P2P僵尸网络动态模型,实现了一个僵尸网络。为了加强僵尸网络的鲁棒性和隐蔽性,对命令控制机制中的关键技术,如时间同步机制、命令下发机制、加密认证机制、僵尸网络的管理以及通信过程中的消息类型做出了详细设计。并对僵尸网络的系统架构、功能模块和命令与控制机制进行了详细的描述。搭建真实环境,对该僵尸网络的通信量、鲁棒性和效率进行了测试,并对第二章提出的基于AHP的选择算法和基于IP地址相似性的选择算法进行了分析。