一、僵尸网络的检测方法
    1.流量检测技术
    传统的基于特征的检测方法由于只关注僵尸网络表面呈现的特殊性，并没有深入挖掘僵尸网络的本质，往往随着僵尸网络所使用的协议不断变化而失效，而且通常是等到僵尸网络爆发后，才开始提取特征，不能有效遏制僵尸网络。因此流量检测技术成为对抗僵尸网络的热点。有关专家提出针对IRC信道的同步性特征使用基于响应性和动态性的IRC网络流量检测方式。该思想是基于僵尸主机对于攻击者的命令响应是瞬时的，而合法的IRC客户交谈需要一个思考的时间，并做了大量的实验，给出了以时间为X轴，网络流量为Y轴，僵尸主机/合法IRC客户为Z轴的曲面图，突出了僵尸主机与合法用户在网络流量上的显著区别。 
    流量检测技术能较好的检测高度中心化的僵尸网络，但由于不同的僵尸网络往往具有不同的异构性，且基于P2P的僵尸网络中心化机制被攻击者弱化，因此流量检测方法并不能有效发现P2P结构僵尸网络。 
    2.路由黑洞与DNS检测技术 
    通过DNS和路由器摧毁和破坏僵尸网络是一种有效手段。黑洞路由技术主要是通过宣告BGP最优路由改变原有流量的流向，将流量引入到空接口并丢弃。从路由层面看，在网络中形成了路由“黑洞”，吞噬这些异常流量的数据包。由于僵尸网络的控制和命令（C&C）模式需要一个中心服务器支持，而僵尸网络控制者往往使用动态域名建立控制服务器，使用DNS服务器控制可以进一步瓦解僵尸网络。针对僵尸网络的C&C模式需要一个中心服务器支持，而僵尸网络控制者往往使用动态域名建立控制服务器，国外相关学者开始研究利用DNS流量检测僵尸网络，以及使用DNS服务器进一步瓦解僵尸网络。 
    3.利用蜜罐 
    蜜罐是收集恶意软件的一种新方法。一般是将未打补丁的蜜罐放置于网络中并密切监察被感染情况。蜜罐能有效获得恶意软件执行操作的详细信息，其中包括获得木马的有效载荷和监测僵尸网络的C&C流量。最早开展僵尸网络跟踪研究工作的团队是德国蜜网项目组，Bacher和Holz等人通过部署包含有Windows 蜜罐主机的第二代蜜网捕获了互联网上实际传播的大量僵尸程序，还进一步研究并开发了基于低交互式蜜罐技术的恶意代码捕获器Nepenthes，从而支持大规模的僵尸程序样本采集和进一步的僵尸网络跟踪。McAfee公司的Thomas 等人在相关文献中设计了一种基于Honeypot的IRC僵尸网络追踪策略，使用DMZ (DeMilitarized Zone)网络部署蜜罐，并设置防火墙规则，确保在僵尸主机连接IRC服务器频道之前收集到必要信息。 
    4.安装网络入侵检测系统 
    检测僵尸网络的一个很好的入侵检测系统是利用对域名服务器查询的分析来找到行为异常的主机。这是因为僵尸网络通常使用DNS来寻找控制者的IP地址，这使控制者能够迅速地移动到先前断开的新的主机。一个基于域名服务器的入侵检测系统能够查找异常的DNS询问并将其记录下来。这些异常可以是已知的僵尸网络服务器、异常热门查询，或查询非正规格式，如使用大量MX 命令查询一台并不运行SMTP服务的主机。

(责任编辑：adminadmin2008)