僵尸网络是当前面临的一个最严重的互联网安全威胁，近年来，僵尸网络的拓扑结构、命令控制协议与传播途径都呈现多样化发展的趋势，给僵尸网络检测与传播抑制带来重大挑战。为此，本文提出从网络流量分析的角度来检测僵尸网络并抑制其传播，主要包括以下三个不同层次：　　 首先，从应用层HTTP会话统计特征检测网页挂马攻击。网页挂马攻击是目前僵尸网络传播的主要手段。现有对网页挂马攻击的检测手段主要有网页代码特征匹配与高交互虚拟蜜罐技术，前者难以对抗代码加密与混淆变形技术，后者资源消耗较大难以在客户端直接部署。本文提出一种新型的基于HTTP会话统计特征的网页挂马攻击实时检测方案。文中分析了用户访问正常网页与挂马网页时，HTTP会话过程所表现的统计特征，包括请求-响应的头部特征与引用的域名特征等。基于会话特征及采用有监督的机器学习技术，建立了能有效识别挂马网页的分类模型。　　 其次，从网络流量特征来分析僵尸网络。大规模网络范围内针对所有应用类型的流量进行僵尸网络检测会带来繁重的系统负担。为了有效减小检测僵尸网络所需搜索的流量空间、提高检测效率，本文提出一种无关应用端口与载荷、基于流量特征与有监督支持向量机学习的流量分类方法。实验证明，此流量分类方法具有较高的分类准确率与稳定性，能有效对几种常见的僵尸网络命令与控制协议类型的流量进行有效分类，较大程度上缩减僵尸网络流量搜索空间。　　 最后，从僵尸主机群体行为特征来分析僵尸网络。中心式结构僵尸网络因控制简单、高效且规模大而被广泛利用。当前大多数研究只是针对某种特定协议的僵尸网络提出检测方法，往往缺乏通用性与灵活性。本文提出一种通用的、基于僵尸主机群体行为的中心式结构僵尸网络检测方法。此检测方法主要基于僵尸网络的本质特征：属于同一僵尸网络的僵尸主机的网络行为具有高度的空-时关联性，即其网络行为的相似性与同步性。通过计算评价大规模网络范围内监控到的汇聚流的流量载荷群体相似性以及流量序列群体相关性，检测出可疑的僵尸网络命令与控制流量。基于实际网络流的实验表明，本方法能够有效检测当前流行的中心式结构僵尸网络。