僵尸网络自动检测系统的实现，是建立在对大量的僵尸网络服务器样本特征属性提取基础上的，同时为了能够逐渐提高判断的准确程度，在对判断条件的确立方面使用了自动调节理论。随着样本和用来判断的属性的逐渐增多，用来作为衡量尺度的判断概率以及每一个属性所占的比重也随之变化，这样就逐渐提高了系统的判断准确性。

在自动检测系统的测试过程中，检测的结果说明Botnet确实存在于我们的身边，确实对网络安全带来了威胁，安全领域对Botnet的研究还处于初级阶段，还无法有效地遏制Botnet的肆虐，希望通过我们对检测Botnet所做的工作，能够对Botnet的防范工作有所推进。

阈值的确定与调整

目前僵尸网络服务器（Botnet Server）样本库中共保存了僵尸网络服务器样本694个，正常IRC服务器样本527个。通过对这些样本的统计分析就得到了僵尸网络服务器各特征属性的条件概率，即P(A1|ti)。这样就形成了判断Botnet Server的规则库。要通过动态的变化判断概率值，得到漏报率和误报率的变化情况，最后得出最佳的判断概率值。

基于漏报率的阈值选取

自动检测系统实现后首先用样本库中的样本值进行了自测试，漏报率测试方法,本文中提到的漏报率是指对于Botnet服务器无法报告的概率，在样本库中都存有用来判断的属性值，所以可以根据规则库直接计算出各服务器是Botnet的概率值，然后与设置好的判断概率值进行比较，得出不能报告的Botnet Server数量，与这次用来进行测试的Botnet Server的数量相除，得到漏报率。当判断概率值顺序变化时，就得到了漏报率曲线，三条漏报率曲线分别为2006年5月10日，2006年5月25日，2006年6月1日三个时间测定的，这三个时间的样本数量是逐渐增加的。可以看出随着样本数的增加，漏报率在逐渐降低；而随着判断概率值的升高，漏报率在逐渐升高。在判断概率值为0.73和0.88时，漏报率会出现一个较快的升高。