目前,僵尸程序已经成为网络安全的重大隐患,人们尚无有效手段根除,主要原因有二:一、攻击者受经济利益的驱使,不断更新恶意代码技术,使得防御者被动应付;二、僵尸主机地域分布广泛,在小规模网络中检测达不到实际要求的检测效果,而大规模网络中的检测又存在较高的误报和漏报。因此,设计高度可信的僵尸检测算法,改变被动防御地位是亟待解决的重要安全问题。通过对国内外相关僵尸检测算法的分析研究,设计了一种基于多告警源关联分析的检测系统,旨在对僵尸主机的活动进行多方位的监测,并对监测产生的告警数据进行综合分析,去除单个告警源产生的大量冗余数据,极大提高检测结果的可信度。系统的数据采集包括数据包采集和NetFlow流数据采集,流采集使用Nprobe技术,回避了思科路由器流采集软件因采样而带来的数据丢失且效率更高;告警监测由三个部分组成:僵尸行为监测,恶意活动监测和异常行为监测。僵尸行为监测利用已有的P2P僵尸、IRC僵尸检测算法产生告警;恶意活动监测主要关注主机的扫描、垃圾邮件发送等行为;异常监测分析DNS查询、HTTP连接等异常活动。关联分析根据各告警源的特征,设计关联算法以确认僵尸主机并调整各告警源的可信度。系统在封闭的实验环境下能够准确的检测部署的IRC、P2P等多个僵尸样本主机;在实际千兆网络环境中,不仅能发现实验部署的样本主机,也能发现校园网内大规模疑似僵尸网络活动。相比僵尸行为检测算法,关联分析能够极大的消减冗余数据,降低漏报,提高告警的可信度。