1.一種僵尸網絡檢測方法，包括以下步驟：

1)對主機在某段時間內的域名訪問數據進行數據抽取，形成主機-域名交互矩陣；

2)對主機-域名交互矩陣中出現的主機集合進行聚類，并根據聚類結果劃分主機集合；

3)將劃分后的各個主機集合與已知的受感染主機集合進行比對，判斷劃分后的各個主機集合是否感染僵尸網絡。

2.如權利要求1所述的僵尸網絡檢測方法，其特征在于，步驟1)中，設定經過抽取后的主機集合為U＝{u₁，u₂，...，u_M}，域名集合為D＝{d₁，d₂，...，d_N}，主機的域名訪問行為表示為主機與域名之間的M×N階共現矩陣UD：

UD＝[w(u_m，d_n)]M×N

其中w(u_m，d_n)表示該段時間內主機u_m與域名d_n的共現次數；m代表1，2，...，M；n代表1，2，...，N。

3.如權利要求1所述的僵尸網絡檢測方法，其特征在于，步驟2)中，利用PLSA聚類算法建立概率性類別模型，對主機-域名交互矩陣中出現的主機集合進行聚類。

4.如權利要求3所述的僵尸網絡檢測方法，其特征在于，通過聚類質量評估來選擇一個類別數量的最佳值，實現基于主機對域名興趣度的主機集合劃分。

5.如權利要求4所述的僵尸網絡檢測方法，其特征在于，所述聚類質量評估過程如下：

對于每個類別k，計算該類別的獨立程度C_k：

C_k＝C_ki/C_ko

其中C_ki用來表示類別k內部的域名集合和主機集合間的交互程度，C_ko用來表示類別k與其他類別間的交互程度；

Cki=1|Uk||Dk|Σi∈Uk,j∈Dkw(ui,dj)]]>

Cko=Σk′=1,k′≠kc1|Uk||Dk′|+|Uk′||Dk|Σk′=1,k′≠kc(Σi∈Uk,j∈Dk′w(ui,dj)+Σi∈Uk′,j∈Dkw(ui,dj))]]>

其中，U_k和D_k分別代表類別k中的主機集合和域名集合，k′代表除類別k以外的其他類別，w(ui，dj)代表一段時間內主機u_i對域名d_j的訪問次數；

則對于一個被劃分為類別總數為c的對象集合，其總體分類質量可以表示為：

CC=1cΣk=1cCk]]>

由此，對于不同的c，選擇一個能夠使C_C值達到最優的c作為類別的最終數量。