目前以僵尸网络为载体的各种网络攻击活动是互联网所面临的最为严重的安全威胁之一。由于僵尸网络不断演化且僵尸网络行为学上的相关研究尚不完善,如何将行为学上的一些问题应用于僵尸网络研究,且将操纵者的心理结合分析僵尸网络的未来趋势等仍是一项持续而有挑战性的问题。针对以上问题,本文开展对僵尸网络行为学的分析研究。主要工作包含两个方面:在空间方面,提出基于Apriori算法的僵尸网络传播行为研究,设计四层哈希存储结构并将传播行为分为扫描行为和渗透行为。在扫描行为中,基于Apriori算法的僵尸网络控制器挖掘算法,将流数据过滤,按照扫描流模式生成模型设计实时脚印计算算法分析僵尸网络脚印增长行为;在渗透行为中,使用Apriori算法的渗透行为挖掘,分析僵尸网络指令控制行为。实验表明,上述方法能够高效工作,准确定位数据流中的僵尸网络流数据,且为行为学分析提供准确的模型图。在时间方面,提出基于ARIMA时间序列模型的僵尸网络通信活动行为研究,使用控制器归并算法和傅里叶变换将预处理过的流数据做进一步聚类,并将通信活动行为分为周期行为和隐蔽性行为。在周期行为中,使用ARIMA模型的僵尸网络通信周期挖掘算法,对僵尸网络活动做出预判;在隐蔽性行为中,通过三角拟合公式预判僵尸网络周期性传播规律,分析僵尸网络在增长情况下的隐蔽性特征。实验表明,此方法的预测模型可精准定位僵尸网络未来通信趋势,提供更准确的行为学分析方法。