僵尸網(wǎng)絡(luò)（ Botnet）是攻擊者出于惡意目的，傳播受控僵尸程序控制大量主機(jī)，并通過(guò)一對(duì)多的命令控制信道所組成的網(wǎng)絡(luò)，例如IRC協(xié)議、P2P協(xié)議、HTTP協(xié)議。基于HTTP協(xié)議構(gòu)建僵尸網(wǎng)絡(luò)的C&C策略主要包含2個(gè)方面的優(yōu)點(diǎn)：1）IRC協(xié)議是僵尸網(wǎng)絡(luò)主流協(xié)議，安全研究領(lǐng)域?qū)τ贗RC協(xié)議關(guān)注已久，并進(jìn)行了深入的研究?；贖TTP協(xié)議構(gòu)建的僵尸網(wǎng)絡(luò)，其C&C通信可以隱藏在大量的互聯(lián)網(wǎng)Web應(yīng)用中，從而使得基于HTTP協(xié)議的僵尸網(wǎng)絡(luò)更難以被檢測(cè)。2）防火墻對(duì)于IRC協(xié)議的阻斷。由于IRC協(xié)議已經(jīng)不再是主流的協(xié)議，且被大量僵尸網(wǎng)絡(luò)利用，許多企業(yè)、機(jī)構(gòu)都在防火墻上過(guò)濾了該協(xié)議，而使用HTTP協(xié)議可以通過(guò)防火墻。

　　在僵尸網(wǎng)絡(luò)中，為保持服務(wù)器的可用性和隱蔽性，與域名關(guān)聯(lián)的Flux-Agent的IP地址需要不停地變動(dòng)，而黑名單策略對(duì)于阻止Fast-Flux僵尸網(wǎng)絡(luò)攻擊已經(jīng)失效。為解決該問(wèn)題，基于域名系統(tǒng)流量的分析和識(shí)別技術(shù)，提出一種新的Fast-Flux僵尸網(wǎng)絡(luò)檢測(cè)方法，用于檢測(cè)互聯(lián)網(wǎng)中使用Fast-Flux技術(shù)的僵尸網(wǎng)絡(luò)，且對(duì)域名的分析不局限于來(lái)自垃圾郵件、點(diǎn)擊欺詐或黑名單列表的可疑域名。實(shí)驗(yàn)結(jié)果表明，該方法能夠以較高的準(zhǔn)確率檢測(cè)Fast-Flux僵尸網(wǎng)絡(luò)，并且有利于完善黑名單列表。