僵尸網(wǎng)絡(luò)（ Botnet）是攻擊者出于惡意目的，傳播受控僵尸程序控制大量主機，并通過一對多的命令控制信道所組成的網(wǎng)絡(luò)，例如IRC協(xié)議、P2P協(xié)議、HTTP協(xié)議?；贖TTP協(xié)議構(gòu)建僵尸網(wǎng)絡(luò)的C&C策略主要包含2個方面的優(yōu)點：1）IRC協(xié)議是僵尸網(wǎng)絡(luò)主流協(xié)議，安全研究領(lǐng)域?qū)τ贗RC協(xié)議關(guān)注已久，并進(jìn)行了深入的研究?；贖TTP協(xié)議構(gòu)建的僵尸網(wǎng)絡(luò)，其C&C通信可以隱藏在大量的互聯(lián)網(wǎng)Web應(yīng)用中，從而使得基于HTTP協(xié)議的僵尸網(wǎng)絡(luò)更難以被檢測。2）防火墻對于IRC協(xié)議的阻斷。由于IRC協(xié)議已經(jīng)不再是主流的協(xié)議，且被大量僵尸網(wǎng)絡(luò)利用，許多企業(yè)、機構(gòu)都在防火墻上過濾了該協(xié)議，而使用HTTP協(xié)議可以通過防火墻。

　　在僵尸網(wǎng)絡(luò)中，為保持服務(wù)器的可用性和隱蔽性，與域名關(guān)聯(lián)的Flux-Agent的IP地址需要不停地變動，而黑名單策略對于阻止Fast-Flux僵尸網(wǎng)絡(luò)攻擊已經(jīng)失效。為解決該問題，基于域名系統(tǒng)流量的分析和識別技術(shù)，提出一種新的Fast-Flux僵尸網(wǎng)絡(luò)檢測方法，用于檢測互聯(lián)網(wǎng)中使用Fast-Flux技術(shù)的僵尸網(wǎng)絡(luò)，且對域名的分析不局限于來自垃圾郵件、點擊欺詐或黑名單列表的可疑域名。實驗結(jié)果表明，該方法能夠以較高的準(zhǔn)確率檢測Fast-Flux僵尸網(wǎng)絡(luò)，并且有利于完善黑名單列表。