半分布式P2P(peer-to-peer)僵尸网络因具有很高的隐蔽性和健壮性,正在成为新型的网络攻击平台,对互联网的安全造成越来越大的威胁。为逃避检测,一方面,半分布式P2P僵尸网络的构建者使用各种方法移植P2P协议,使得对此类型僵尸网络的检测越来越困难。另一方面,攻击者为使半分布式P2P僵尸网络长期发挥网络攻击平台的作用,正积极改变构建方法,寻求此类僵尸网络的变异体。因此,展开半分布式僵尸网络的构建和检测技术研究,对预防、反制和摧毁此类僵尸网络有重要意义。本文主要针对半分布式P2P僵尸网络开展以下四个方面的工作:1)详细研究了半分布式P2P僵尸网络的体系结构和工作机制。2)对半分布式P2P僵尸网络几种现有的检测方法(蜜罐技术、流量分析、SST钩子)做了分析和总结。3)提出了一种基于伪蜜罐的检测方法。即当用户发现自己的主机出现异常时,即刻关闭所有已知正常程序,并对主机简单部署,将主机伪装成蜜罐,再结合流量分析的方法来检测半分布式P2P僵尸网络。4)提出了一种新的半分布式P2P僵尸网络构建方法。该方法的核心是利用sensor认证层来阻止蜜罐加入僵尸网络,以躲避布局相对简单的蜜罐检测。依据两个度量函数C(p)、D(p)以及peer-list更新过程中使用不同数量的servent bots对鲁棒性的影响,重点剖析了此类僵尸网络的鲁棒性。然后,针对此类僵尸网络,提出一种双重蜜罐检测方法,即将高交互性蜜罐和低交互性蜜罐相结合,使其巧妙加入到僵尸网络中,以检测这种更具隐蔽性的僵尸程序。利用Matlab、Omnipeek和Wireshark等软件对提出的僵尸网络构建和检测方法进行了实验仿真。仿真结果表明:本文提出的伪蜜罐检测方法能有效检测半分布式P2P僵尸网络;基于蜜罐先知方法构建的半分布式P2P僵尸网络具有很高的鲁棒性,双重蜜罐检测方法有较高的检出率。