作为一种综合负载多种攻击手段的通用网络攻击平台，僵尸网络已成为最为严重的互联网安全威胁之一，不仅危害到用户、企业的利益，甚至对国家、军队的信息安全造成严重危害。因此，开展僵尸网络检测技术的研究工作，具有十分重要的意义。本文在对僵尸网络检测研究现状分析的基础上，从P2P僵尸网络检测、僵尸程序检测和Fast-Flux僵尸网络域名检测三方面开展研究。取得的主要成果有：1.提出了一种基于通信流量特征的P2P僵尸网络检测方法。分析了控制流簇的特点，提出基于聚类结果对控制流簇进行提取的过滤方案；分析并指出P2P僵尸网络控制流簇的平均包长分布具有相似性的特点，使用巴氏距离对该特征进行度量，并借鉴聚类系数的概念，提出依据流簇的相似系数辨别P2P僵尸网络控制流簇；基于前述工作，设计了P2P僵尸网络检测算法。实验结果表明，方法不依赖于恶意攻击行为，可以检测单个僵尸主机，具有较高的检测效率和准确率。2.提出了一种基于行为特征的僵尸程序检测方法。以僵尸程序的DNS查询活动作为切入点，提出将涉及DNS查询的网络连接与自运行特征结合进行人机网交互关系分析，实现初步过滤和报警触发；分析了进程的DNS反应行为模式，利用信息熵等提取特征，并采用支持向量机构建Bot_DNS反应检测分类器实现分类判决；提出了僵尸程序检测算法。实验结果表明，方法具有较低的假阳性率、较好的检测效率和效果，且可以突破僵尸网络所采用不同协议结构的限制。3.提出了一种Fast-Flux僵尸网络域名的检测方法。分析了Fast-Flux僵尸网络域名特点，选取了代理分布特征、域名结构特征和服务质量特征（TTL特征和代理状态特征）三类共四个特征；分别使用Moran指数、巴氏距离、代理在线率来度量代理分布特征、域名结构特征、代理状态特征；将提出的特征作为特征向量，采用支持向量机构建了Fast-Flux僵尸网络域名检测分类器；提出了Fast-Flux僵尸网络域名检测算法。实验结果表明，方法具有较好的检测效果。4.设计并实现了僵尸网络检测原型系统，主要对系统的总体结构、流程和核心模块进行了设计与实现。最后，总结本文的工作，对僵尸网络检测技术的发展进行了展望，指出未来的研究方向和构想。