僵尸网络是攻击者出于恶意目的,传播僵尸程序控制大量主机,并通过一对多的命令与控制信道所组成的网络。传统的僵尸网络主要是基于IRC、HTTP协议的集中式结构,但近年来,越来越多的僵尸网络开始采用以P2P协议为基础的分布式结构,大大提高了网络的健壮性,可靠性和隐蔽性。利用僵尸网络发动的DDOS攻击,垃圾邮件攻击,信息窃取等事件层出不穷,严重危害了互联网的安全和发展。因此,加强对P2P僵尸网络的检测和破坏,是一项十分紧迫和艰巨的任务。之前的很多研究工作主要集中在基于IRC协议的僵尸网络上,对于分布式结构僵尸网络的检测工作还没有广泛展开。本文的主要工作就是在局域网环境中检测P2P僵尸网络主机的存在。文章首先在参考大量文献的基础上,对僵尸网络的分类,通信机制和攻击技术等做了比较详细的阐述。针对P2P僵尸网络,分析研究了其网络构建过程的详细步骤,从中找出P2P僵尸网络所具有的一些固有特点,特别是在网络流量上的特征。这些分析研究工作,是制定检测策略的重要依据。在介绍相关入侵检测技术的基础上,以一个开源的入侵检测系统Snort为原型,利用其提供的插件开发技术,提出了一种基于流量分析的P2P僵尸网络检测系统,对中小型局域网中的主机进行Bot的检测。该方法主要基于P2P僵尸网络在通信过程中的三个特点：一、Bots之间的通信流量具有P2P连接特性,因此可以把对网络流量的检测范围限定在P2P流上；二、Bots的默认连接列表具有重叠性,这使得不同Bot主机的网络连接地址会产生聚集；三、由相同Bot程序产生的流量具有很高的相似性。这三个重要特点是所有P2P僵尸网络都普遍具有的,因此该检测方法对于P2P僵尸网络具有普遍的适用性这种检测方法抓住了P2P僵尸网络通信过程的本质特点,并且由于检测过程中不需要对数据包的内容进行模式匹配,只需提取数据包头的相关协议信息,因此对于未知的和采取加密型的僵尸网络都可以进行检测。对数据包的快速处理,也大大提高了系统检测的速度和效率。经过实验表明,该方法能准确有效的检测到局域网中的P2P僵尸网络主机。