僵尸网络(Botnet)是通过入侵网络空间内一个或多个非配合计算终端构建的、可被攻击者远程控制的通用计算平台。其中，非配合指的是未经计算终端刚户明确授权；攻击者指的是掌握僵尸网络使刚方法的控制者；远程控制指的是攻击者可以通过网络(一对一或一对多地)控制非配合计算终端。僵尸网络造成包括DDos攻击、垃圾邮件等多种危害；同时也严重的威胁着用户资料、账号密码等私有信息。僵尸网络的出现，已经使得整个互联网世界都面临严重的挑战。本文针对僵尸网络的发现与追踪方法展开研究，讨论了僵尸网络的发现、僵尸程序的长期分析和网络行为模拟追踪的方法。主要研究内容包括：　　 (1)截获大量恶意代码的样本(包括Bot样本).研究现阶段主流的恶意代码样本获取技术和方法，搭建了主动蜜罐系统，实现自动获取可疑网页上的恶意代码样本，同时，通过实现自动爬虫系统，对目前公开的三个可疑恶意代码共享网站实现自动提取，最后，对收集的恶意代码样本建立特征库。　　 (2)恶意代码的网络行为特性分析。本文研究的重点主要关注恶意代码的网络行为的监控，辅助监控主机行为的变化情况，针对Bot样本在运行过程中产生的网络行为进行拦截和分析并基于Hook技术实现了对于Bot样本的网络行为的结构化提取。　　 (3)僵尸网络的网络通信行为的模拟追踪.目前具有网络行为的恶意代码绝多数为僵尸程序，针对目前僵尸程序类恶意代码，网络行为频繁的发生变化，实现一种长期的网络行为追踪机制，对于追踪僵尸网络的行为和进一步深入研究至关重要。本文开发了网络模拟程序实现对僵尸网络的的通信行为自动模拟追踪系统。　　 (4)僵尸网络的发现与追踪展示系统的实现.基于以上技术的实现，将实验结果通过Web方式动态的展示，同时对关注的重点信息作出明确的标记，包括Botnet活动情况、习惯、规模、生命周期等统计信息。　　 本文实现了大量数据的长期追踪和统计，为进一步研究可疑的僵尸程序和僵尸网络与Bot样本分类和僵尸网络预警提供有意义的实验数据。