僵尸网络是被攻击者远程控制,而其用户尚无感知的一群计算机组成的综合攻击平台,僵尸网络区别于传统木马、蠕虫等恶意攻击方式的基本特性是,攻击者使用了一对多的命令与控制机制(Command and Control, C&C)实现对多台主机的完全控制,指挥僵尸相互协作发起恶意活动,利用它们轻而易举地发起各类大规模的网络攻击,如分布式拒绝服务攻击、发送海量垃圾邮件等等,僵尸网络是目前国际网络安全领域最为关注的威胁之一。本文首先介绍了僵尸网络的定义和相关概念,剖析了不同协议类别僵尸网络的命令与控制机制,对僵尸网络的传播方法和检测方法进行了总结。在此基础上重点分析了几种典型的基于IRC、HTTP和P2P的僵尸网络的工作机制,深入研究IRC僵尸程序的源码并提取检测特征。为更好地研究僵尸网络的工作原理,搭建了僵尸网络的实验环境,测试了多种基于私有协议的僵尸网络控制工具,对其活动各过程网络流量进行采集并提取流量特征,以上兴远程控制为例进行了全面的分析。为实现僵尸网络的有效检测,参考现有的BotHunter系统的设计原理,根据证据链关联思想,将僵尸网络的入侵过程用状态转移进行了描述,在开源入侵检测系统Snort的基础上,添加相关预处理器模块和关联分析器模块,设计并实现了一套僵尸网络检测系统,在单机离线模式下进行了初步的测试工作,验证了其有效性。