随着互联网技术的不断发展,网络的安全性和可靠性正在越来越多的受到人们的关注。作为网络安全的重要组成部分,僵尸网络的检测技术也受到日益的重视。目前僵尸网络的检测方法分为两类,分别为基于蜜网系统的检测和基于网络流量的监视与分析。第二类的检测方法分为四种：1)基于签名的检测,2)基于异常的检测,3)基于DNS的检测,4)基于数据挖掘的检测。基于网络异常的检测技术由于其实时性,以及其检测过程中无需先验知识来进行规则匹配,而在僵尸网络的检测中得到广泛应用。本文的重点研究目标就是利用僵尸终端的网络特性,采用异常检测算法,对在局域网内的疑似主机进行多方面检测,从而达到准确判断僵尸终端的目的。为解决僵尸终端检测中需先对其进行规则匹配和无法对其恶意行为进行防范的问题,本文在首先研究了不同种类僵尸程序特征的基础上,利用僵尸网络内部通讯特征流量,标记出监控范围,从而实现对疑似僵尸终端的监控。然后,提出了用输入报文有效载荷的相似性,输入输出报文对的时间距离来刻画疑似僵尸终端之间的整体相似度,并通过这个相似度来静态的描绘这些监控范围内主机在某一时间段内的通讯特征是否符合僵尸终端的特征。最后,把所得到整体相似度代入改进后的TRW算法,将每一个时间窗内的静态相似性的度量值作为该算法每一步运行的输入,多轮次的(多时间窗)的对监控范围内的僵尸终端进行检测判断,确定阈值,并最终标记出局域网内的僵尸终端。本文的以上工作为检测僵尸终端、防范僵尸网络提供了一个新的方法。实验证明该方法成功的实现了对僵尸终端的异常检测,无需规则匹配,并对其在执行恶意行为之前成功进行发现,提高了僵尸终端检测的准确度,对进一步研究防范僵尸网络奠定了基础。