1.一種僵尸網絡檢測方法，其特征在于，包括：

根據待檢測網絡中的主機發送的第一數據包中的關鍵字信息獲得疑似僵尸主機信息和疑似僵尸控制主機信息；

對疑似僵尸主機的行為特性進行分析以識別僵尸主機和僵尸控制主機。

2.根據權利要求1所述的僵尸網絡檢測方法，其特征在于，所述根據待檢測網絡中的主機發送的第一數據包中的關鍵字信息獲得疑似僵尸主機信息和疑似僵尸控制主機信息包括：

獲取待檢測網絡中的主機發送的第一數據包中的關鍵字信息；

對所述關鍵字信息和預先存儲的關鍵字列表進行匹配處理；

當所述匹配結果超過預設的閾值時，識別所述用戶設備為疑似僵尸主機，所述第一數據包的目標主機為疑似僵尸控制主機。

3.根據權利要求2所述的僵尸網絡檢測方法，其特征在于，所述關鍵字列表中至少包括一種如下的關鍵字類型：

操作系統平臺、CPU類型、內存、MAC地址。

4.根據權利要求1所述的僵尸網絡檢測方法，其特征在于，所述對疑似僵尸主機的行為特性進行分析以識別僵尸主機包括：

對疑似僵尸主機的行為特征進行監測，若疑似僵尸主機實施了僵尸主機行為則識別所述疑似僵尸主機為僵尸主機。

5.根據權利要求1所述的僵尸網絡檢測方法，其特征在于，僵尸主機行為包括分布式拒絕服務攻擊DDOS行為、垃圾郵件SPAM行為、掃描行為或惡意下載行為中的至少一項，

6.一種僵尸網絡檢測裝置，其特征在于，包括：

獲取模塊，用于根據待檢測網絡中的主機發送的第一數據包中的關鍵字信息獲得疑似僵尸主機信息和疑似僵尸控制主機信息；

行為分析模塊，用于對疑似僵尸主機的行為特性進行分析以識別僵尸主機和僵尸控制主機。

7.根據權利要求6所述的僵尸網絡檢測裝置，其特征在于，所述獲取模塊包括：

第一獲取單元，用于獲得待檢測網絡中的主機發送的第一數據包中的關鍵字信息；

匹配單元，用于對所述關鍵字信息和預先存儲的關鍵字列表進行匹配處理；

第一識別單元，用于當所述匹配結果超過預設的閾值時，識別所述用戶設備為疑似僵尸主機，所述第一數據包的目標主機為疑似僵尸控制主機。

8.根據權利要求6所述的僵尸網絡檢測裝置，其特征在于，所述行為分析模塊包括：

監控單元，用于對疑似僵尸主機的行為特征進行監測；

第二識別單元，用于當疑似僵尸主機實施了僵尸主機行為時，識別所述疑似僵尸主機為僵尸主機，所述僵尸主機行為包括分布式拒絕服務攻擊DDOS行為、垃圾郵件SPAM行為、掃描行為或惡意下載行為中的至少一項。

9.一種網絡安全防護設備，其特征在于，包括權利要求6-8任一所述的僵尸網絡檢測裝置。

10.根據權利要求9所述的網絡安全防護設備，其特征在于，所述網絡安全防護設備為深度報文檢測DPI設備、統一威脅管理UTM設備或防火墻FW設備。