僵尸网络自动检测系统的实现，是建立在对大量的僵尸网络服务器样本特征属性提取基础上的，同时为了能够逐渐提高判断的准确程度，在对判断条件的确立方面使用了自动调节理论。随着样本和用来判断的属性的逐渐增多，用来作为衡量尺度的判断概率以及每一个属性所占的比重也随之变化，这样就逐渐提高了系统的判断准确性。

　　在自动检测系统的测试过程中，检测的结果说明Botnet确实存在于我们的身边，确实对网络安全带来了威胁，安全领域对Botnet的研究还处于初级阶段，还无法有效地遏制Botnet的肆虐，希望通过我们对检测Botnet所做的工作，能够对Botnet的防范工作有所推进。

　　阈值的确定与调整
　　目前僵尸网络服务器(Botnet Server)样本库中共保存了僵尸网络服务器样本694个，正常IRC服务器样本527个。通过对这些样本的统计分析就得到了僵尸网络服务器各特征属性的条件概率，即P(A1|ti)。这样就形成了判断Botnet Server的规则库。要通过动态的变化判断概率值，得到漏报率和误报率的变化情况，最后得出最佳的判断概率值。

　　基于漏报率的阈值选取
　　自动检测系统实现后首先用样本库中的样本值进行了自测试。

　　本文中提到的漏报率是指对于Botnet服务器无法报告的概率。

　　在样本库中都存有用来判断的属性值，所以可以根据规则库直接计算出各服务器是Botnet的概率值，然后与设置好的判断概率值进行比较，得出不能报告的Botnet Server数量，与这次用来进行测试的Botnet Server的数量相除，得到漏报率。当判断概率值顺序变化时，就得到了漏报率曲线。

　　2006年5月25日，2006年6月1日三个时间测定的，这三个时间的样本数量是逐渐增加的。可以看出随着样本数的增加，漏报率在逐渐降低；而随着判断概率值的升高，漏报率在逐渐升高。在判断概率值为0.73和0.88时，漏报率会出现一个较快的升高。

　　基于误报率的阈值选取

　　本文中提到的误报率是指系统把正常样本当着Botnet服务器进行报警的概率。

　　误报率与漏报率的区别就在于使用正常样本进行测试，同样将判断概率值作为可变的标准，最后得到误报率变化曲线。

　　当不断加大样本数量时,误报率有小幅的下降，但并不明显。同时，当采用0.75 作为判断概率时误报率有明显的下降趋势。通过对漏报率和误报率的计算可以看出，当判断概率选为0.74时检测的效果比较好。

　　CERNET边界检测结果分析
　　在对CERNET边界数据的检测中使用0.74作为判断概率，进行Botnet Server的判断。检测方法为：定时在CERNET边界截取10000个不同的使用6667端口进行通信的数据报，并记录其中可连通的地址信息，作为检测的数据来源，然后通过检测器进行检测，最后得出判断结论。

　　采用这种方法从6月份开始，每日进行一次测试，然后将测试结果存入后台数据库，并形成日报表。

　　通过一段时间的检测，自动检测系统共检测出IRC服务器2409个，根据判断条件报告有Botnet 服务器160个。

　　下面从Botnet服务器分布地区，每日检测到的Botnet的平均规模，以及Botnet的规模分布三个方面对数据进行了分析，从而得到Botnet的规律。

　　Botnet服务器地区分布
　　从得到的地区分布数量上可以看出，目前Botnet服务器大部分分布在美国，而其他地区相对较少，原因是美国使用IRC协议聊天的用户比较多，有着较好的IRC环境基础，同时在美国的网络带宽比较丰富，便于控制大规模的Botnet。

　　在检测判断的160个Botnet服务器中，只有一个服务器是属于CERNET的，而其他的都来自于国外，同时这些数据均来自于CERNET边界，这说明在CERNET中被控的僵尸主机(bot)比较多，这需要引起我们足够的注意。

　　Botnet每日的平均规模
　　数量是为了观察当前Botnet的平均规模，从得到的数据可以看出，虽然出现过4次较高的峰值，但可以看出平均每日的Botnet规模并不是很大，一般都低于2500这样的规模，这说明超大规模的Botnet并不多见，黑客们更倾向于使用这样中等规模的Botnet，因为这种规模的Botnet更容易控制并且不易被发现。

　　Botnet的规模分布
　　从每个Botnet的角度出发，独立地看每一个Botnet的规模。小于4000的Botnet占到94%。从这点可以看出，中小规模的Botnet占了绝大多数，这和上面统计的每日平均的规模分布结果是一致的。

　　自动识别系统的不足
　　通过在CERNET中的测试，可以看到僵尸网络自动识别系统已经基本能够满足识别僵尸网络服务器的需求，但同时也存在着问题，还需要进一步的细化和完善工作。

　　服务器属性信息的准确性
　　自动检测系统的第一步就是要获取IRC服务器的特征属性信息，信息的准确性直接决定着判断条件和判断结果的准确性。但在获取这些属性时，由于网速等原因会存在时延，部分IRC服务器对服务区域也进行了限制，从而影响了服务器信息获取的准确性，也将在一定程度上误导下一步的判断结果。

　　特定端口的限制
　　在对Botnet样本进行统计时，发现基于IRC协议的Botnet使用其他端口进行通信的比例在加大。分析其原因，发现是Botnet为了控制的方便性而设置的，所以在对基于6667端口的数据进行评测时，Botnet所占的比率就会相对比较少一些。

　　判断阈值的调整
　　从目前的测试结果来看，用来判断的标准还是比较粗略，还需要进一步细化判断标准。