随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。过去几年中,僵尸网络是互联网上发起攻击最常用的手段,已成为网络安全专业人员所面临的最大难题之一。僵尸网络的主要恶意攻击技术和传播手段已经相对比较完善,新出现的僵尸程序可以在此基础上,不断加入新的攻击技术和传播手段。当前,僵尸网络已经逐渐发展为规模庞大、功能复杂、传播广泛的恶意网络,成为互联网最为严重的网络威胁之一。当前国内外的研究工作在僵尸网络检测方面已经有很多成果,但还不能够满足僵尸网络泛滥成灾、快速发展的现状。目前僵尸网络检测技术大多集中在针对历史数据的离线检测上,没有考虑检测的效率问题。同时,现有技术大都针对集中式结构的IRC (Internet Relay Chat)僵尸网络,没有考虑P2P僵尸网络检测问题。并且,可以适用于各种类型僵尸网络的通用在线检测技术还没有出现。针对以上情况,本文对僵尸网络在线检测技术进行了深入研究,主要研究针对IRC以及P2P僵尸网络的在线检测技术,除了保证僵尸网络的检测精度,更加专注于检测的效率问题。同时,针对各种类型的僵尸网络提出通用的在线检测策略。本文对僵尸网络在线检测的关键技术进行了深入研究,主要研究内容包括如下几个方面：(1)提出网络流量数据流模型的构建方法。根据僵尸网络在线检测的需求,将网络流量数据抽象为数据流模型；并根据检测的不同需求,利用网络流量数据的不同特征构建不同类型的数据流。(2)提出基于高相似性搜索的IRC僵尸网络在线检测技术。首先将网络流量数据转换为特征数据流,利用增量式离散傅立叶变换技术,搜索特征流之间的高相似性,作为僵尸流量存在的依据,最后通过拓扑分析构建IRC僵尸网络结构。(3)提出基于周期性分析和相似性分析的P2P僵尸网络在线检测技术。首先将网络流量数据转换为通信流,利用布尔自相关技术快速搜索通信流的周期性模式,利用增量聚类技术搜索多个通信流的高相似性,实现可疑P2P僵尸主机的在线检测。通过现有的入侵检测系统对其进行重点跟踪,如果发现该主机具有恶意行为特征,则可确认P2P僵尸主机身份。(4)提出基于主机行为异常的P2P僵尸网络在线检测技术。首先构建主机行为流模型,并抽象出主机行为流的典型行为特征,然后利用统计学中的假设检验技术,确定主机的异常行为,作为可疑P2P僵尸主机存在的依据。采用一种预处理策略,利用信息熵技术确定网络流量中的异常点。当不存在异常点时,不启动检测引擎,过滤掉大量的正常网络流量。通过该策略,可以大大降低系统的开销,从而满足在线检测的效率问题。(5)提出独立于协议类型的僵尸网络在线检测技术。首先采用增量式分类技术实现网络流量数据的群组划分,识别出不同僵尸协议类型的网络流量,分类过程对决策规则进行修正,从而保证后期检测的精度要求。然后利用动态聚类技术实现可疑僵尸主机的通用检测,聚类过程可以进行自适应调整,避免了复杂的重复聚类操作,大大降低了计算开销,可以从海量网络流量数据中快速检测各种类型的可疑僵尸主机。总之,本文研究了基于网络流量分析的僵尸网络在线检测技术。实验表明这些方法能够有效的实现僵尸网络在线检测的需求,在检测精度和检测效率上具有明显的优势,希望这些方法和技术对于未来开发高性能僵尸网络在线检测系统具有一定的参考价值。