僵尸网络是由大量受控主机组成的一个攻击平台,攻击者利用它可以发起分布式拒绝服务攻击、垃圾邮件、网络仿冒等各种攻击,对网络安全构成了严重的威胁。因此,如何准确、高效的检测出僵尸网络已成为国内外研究的热点问题。僵尸网络为了躲避检测和封堵,提高自身的生存能力采取各种规避技术,其中应用最为广泛的是基于DNS的规避技术。目前针对DNS规避技术的僵尸网络检测方法中存在以下问题:首先每种检测方法只针对某一种类型的僵尸网络,只对指定类型的僵尸网络有较高的检测效率,无法应用到实际环境的僵尸网络检测中去;其次每种检测方法都是独立整体,无法与其他僵尸网络检测方法进行关联分析。对此,本文提出了一种基于模糊聚类的僵尸网络反规避技术,较好地解决了目前针对DNS规避技术的僵尸网络检测方法中存在的问题。主要工作包括:(1)为了有效地对基于DNS规避技术的僵尸网络进行检测,本文对僵尸网络域名与正常网络域名的DNS查询特征进行对比分析,提取了 22个可以明显区别僵尸网络域名与正常网络域名的特征,同时考虑到不同僵尸网络之间特征的重叠性与高维特征在运算过程中存在的“维数灾难”问题,提出了一种前向选择与后向消除结合的特征选择方法。该方法通过组排除和特征包含两个部分进行特征选择。组排除部分的目的是评估组的功能,删除那些对整体精度贡献最小的分组。特征包含部分分析了最差执行组中的每个特征,逐个选择能够增加整体精度的单个特征。最终通过实验选择出检测效率最高的13个特征。(2)提出了一种基于改进模糊聚类的僵尸网络反规避技术,该方法针对目前流行的三种DNS规避技术,采用改进的基于类内距离与类间距离相结合的模糊c-means算法对僵尸网络进行检测。在算法执行过程中,算法的目标函数使用类内距离和类间距离之差代替传统模糊聚类中的样本到聚类中心的距离,并优化隶属度矩阵和聚类中心表达式,实现了类内聚合、类间离散的聚类效果。最后通过ISCX僵尸网络数据集验证本文所提出的僵尸网络检测方法在真实网络环境下也有较高的检测率,可以用于实际应用。