随着越来越多智能终端设备接入互联网,僵尸网络对互联网环境造成的威胁也随之越来越大,利用僵尸网络,攻击者可以做到轻而易举的对上万台主机进行控制,对任意站点发送大量垃圾邮件、发起分布式拒绝服务攻击、或进行点击欺诈牟取经济利益等非法行为。僵尸网络使用命令与控制信道进行通信,不同类型的僵尸网络的命令与控制信道所使用的结构和协议均有所差异。本文针对僵尸网络流量命令与控制信道不同工作阶段进行特征分析,从恶意域名特征和基于HTTP网络协议行为特征层面进行特征提取,从两个不同维度提取了12个具有代表性的特征,针对基于时间的网络行为特征通过三个时间窗口(30秒/60秒/120秒)进行特征裂变至22个有效特征,增加了检测结果的准确率,为了解决海量数据提取处理过程中所带来的大量计算以及存储开销问题,文中提出基于Bloom-Filter算法的轻量级特征提取框架,成功解决了实际网络环境中可能出现的恶意攻击带来的内存溢出问题。此外,本文提出一种基于信誉评分算法的网络流量异常检测算法,该算法无需进行数据标记,而是从未标记的数据集中自动选择可疑事件,并同步输出可疑程度最高的事件。利用此算法可以有效降低安全人员的工作量,提高对僵尸网络的检测效果。在实验阶段,本文利用真实的僵尸网络数据流量进行系统测试,数据集既包含僵尸网络流量数据与恶意域名DGA(Domain Generation Algorithm,域名生成算法)数据,同时也包含正常流量数据。实验表明,本文方法对僵尸网络的检测率最高可达99.963%,误报率最低仅为0.321%,证实了本文方法的有效性。