计算机网络在全球范围内迅速普及同时,也带来了很多安全方面的问题,近年来,僵尸网络作为一种新型的攻击方式正在互联网中迅速蔓延,给互联网的安全造成了严重的威胁以及巨大的损失,对中国大陆造成的危害尤为严重,因而急需一种针对僵尸网络的准确高效的检测技术。目前互联网上比较流行的僵尸网络大多是基于IRC协议,所以本论文主要研究对象就是基于IRC协议的僵尸网络。僵尸网络检测所使用的主要研究方法大概分为三种,分别为设置蜜网蜜罐获得僵尸网络属性的检测方法、基于行为特征的检测方法以及基于流量特征的检测方法。基于流量特征的检测相对来讲没有前两种检测技术成熟,存在误报率较高的问题。本文深入研究了IRC协议以及基于IRC协议的僵尸网络的基本特征。首先,将原始流量数据包通过了过滤和分类等一系列的预处理阶段,得到了可用于检测的高质量的数据集。其次针对IRC协议僵尸网络的行为及流量进行了大量实验,通过对结果的统计分析,得到了如IRC命令比例、平均数据包大小和协同攻击时间等重要的流量特征,这些流量特征正是IRC协议僵尸网络检测的核心。并且,本文针对整个受控频道内的所有客户端进行僵尸网络特征的研究,而不是针对单个客户端,克服了以往误报率高的缺点,大大提高了僵尸网络检测的准确率。随后,本文提出了一种新的检测思路,即结合可疑端口与僵尸网络之间的协同攻击时间,并综合分析被检测网络与僵尸网络特征的符合情况,最终确定僵尸网络的存在,从而实现了基于流量的IRC僵尸网络检测功能。