来源：《A Survey on Botnets and Web-based Botnet　Characteristics》Maryam Rahimipour et al | International Journal of Computer Science Engineering and Technology( IJCSET) | November 2014 | Vol 4, Issue 11,282-286

近年来，僵尸网络使用HTTP作为通信协议来控制受害者。这里展示的web僵尸网络与以前的僵尸网络不同，它采用了HTTP协议来扩散病毒。尽管HTTP僵尸网络具有良好的自隐藏能力，但仍有一些特性使我们能够检测到僵尸网络[18]。

１、头信息

僵尸网络生成的HTTP头信息通常是不完整的，甚至是错误的，但是在正常的HTTP请求中必须有很多HTTP头信息[18]。

２、相似的通信密度

在僵尸网络生命周期的指挥和控制阶段，命令和控制服务器和机器人都有定期通信。这种通信可以增加网络流量的密度[18,19]。图4显示了攻击期间网络流量的增加。图5还显示了在命令和控制阶段的类似请求的计数。

３、相似行为

使用HTTP和集中式结构的僵尸网络具有本质和共同的关键特性。在僵尸网络的不同阶段有许多常见的和群体的行为，它们被列举如下:出现和传播阶段:通过扫描网络、传播蠕虫和发送恶意的电子邮件来感染其他受信任主机的机器人。同样，属于同一僵尸网络的机器人在一个时间窗口中也有类似的行为，在连续时间窗口中，这种相似性会继续存在，如图6[20]所示。

４、周期性的行为

由于僵尸的预编程行为，在僵尸网络中出现了周期性行为。在许多具有不同结构和通信协议的僵尸网络中，机器人经常在每一秒之间联系对方接收命令、更新数据和发送keepalive消息。这将导致Bot[21]所使用的传输端口号在主机流量中的周期性行为。图7显示了僵尸网络通信中类似请求的时间戳。

５、响应时间

机器人快速回复僵尸控制主机的命令。换句话说，人类对命令或请求的响应总是比机器人慢得多[22]。

６、命令大小

正常网页的上下文长度将会比较大。然而，为了防止来自大流量的服务器的压力，僵尸网络的指令往往很短[18]。命令包的长度通常非常小。尽管如此，普通的数据包的大小是无限的，一个典型的来自Botmaster的命令包的大小是1KB，甚至更少[22]。

７、立即执行的命令

僵尸可以在接收到Botmaster的命令后立即在受感染的主机上启动一个可执行的应用程序[22]。

８、隐藏的恶意流量

Botmasters使用HTTP协议将他们的活动隐藏在正常的web流中，并且很容易避免像防火墙这样的当前检测方法。由于使用的HTTP服务范围很广，不像IRC和P2P那样，阻止这项服务是不容易的。此外，该服务通常在Internet上的正常应用程序和服务中使用[23,12]。