6.如權利要求1所述的方法，其特征在于，所述得出確認受控僵尸主機和可疑受控僵尸主機的步驟包括；

構建主機關系鏈實時子單元基于Spark Stream分布式流處理引擎和實時的Netflow信息建立實時多級主機訪問關系鏈；

構建主機Netflow圖譜實時子單元基于所述Spark Stream分布式流處理引擎和所述實時的Netflow信息，建立實時主機Netflow圖譜；

基于統計的特征提取實時子單元分析所述實時主機訪問關系鏈、所述實時主機Netflow圖譜和所述實時的Netflow信息，提取多個所述檢測特征，組成檢測特征向量；

僵尸主機檢測單元將獲取的待檢測的所述檢測特征向量的每個分量與所述檢測模型進行比較，并根據所述每個分量對檢測精度的影響不同給予不同的權重，根據比較結果命中的分量和所述權重計算所述檢測特征向量的總體評分；判斷所述總體評分是否超過預定的閾值，如果超過所述閾值，發出包括所述檢測對象標識符的告警信息；否則，標注正常，進行下一輪的檢測；

黑白名單子單元將所述告警信息中的所述檢測對象標識符與白名單進行比較，刪除與所述白名單相匹配的主機，過濾誤報主機；還用于將所述告警信息中的所述檢測對象標識符與黑名單進行比較，檢測出與所述黑名單相匹配的主機，確認為所述受控僵尸主機；將與所述白名單和所述黑名單都不匹配的主機確認為所述可疑受控僵尸主機；并且根據確認結果，更新所述黑名單和所述白名單的內容。