僵尸网络危害着现有的网络安全,对企业和个人数据安全产生重大威胁。Fast-flux技术和Domain-flux技术的出现大大提高了僵尸网络的健壮性。僵尸网络域名也变得更加难以检测,现有检测方法存在诸多不足,所以研究对使用了 Domain-flux和Fast-flux技术的僵尸网络的检测方法迫在眉睫。现有针对Fast-flux域名和Domain-flux域名的检测方法可分为主动检测和被动检测、综合检测。我们调研了国内外研究现状,发现了现有方法存在对CDN域名产生误报、在真实流量中对正常域名误报较大的问题。本文提出了两个新特征并研究设计一个解决上述问题基于包含DNS记录的网络流量的检测方法。该方法是共包含两部分,一部分为基于集成学习的检测方法,一部分为基于异常属性组合的检测方法。针对Fast-flux检测,只使用集成学习的检测方法和我们提出的两个新特征--DNS请求响应时间DNS响应包大小。针对Domain-flux检测,我们先使用异常属性组合方法进行初筛,在对初筛之后的结果再使用基于集成学习的检测方法。本文对所提的上述的两种检测方法进行了实验验证,设计实验对比分析了本文中的检测方法、本文提出的特征和其它业界常用的算法。通过实验表明,本文提出的特征和方法在针对Fast-flux域名检测时可以很好地降低对CDN域名的误报率,大大提高整体检测性能,以及本文所提方法在真实网络流量下检测Domain-flux,可以降低对正常域名的误报。之后我们详细地介绍了根据提出的方法研究和设计的检测系统,该系统目前已经部署在校园网上并投入实际使用中。