1.基于HTTP首個問答包聚類分析的僵尸網絡檢測裝置，其特征在于由HTTP頭部字段統計特征提取模塊、僵尸網絡流量記錄模塊、請求包及響應包內容獲取模塊、特征向量提取模塊、聚類模塊、特征碼生成模塊和規則生成器組成；其中特征碼生成模塊由單特征碼生成器、特征碼合并器和特征碼修剪器組成；

HTTP頭部字段統計特征提取模塊，輸入截獲的HTTP流量，對以IP四元組為標識的HTTP請求包和HTTP響應包中的四種參數進行比較，四種參數包括：請求行路徑長度、請求參數、路徑層數、參數數目；將四種參數完全一致的HTTP流量判斷為同一僵尸網絡的流量；

HTTP頭部字段統計特征提取模塊，輸入截獲的HTTP流量，對以IP四元組為標識的HTTP請求包和HTTP響應包中的響應碼進行記錄，當同一IP四元組為標識的HTTP請求包和HTTP響應包的響應碼分布在301，403，404的狀態碼上時，并且響應包Content-Type字段值為text類內容，并且User-Agent字段值長度在50至70之間，判斷截獲的HTTP流量為僵尸網絡流量；

僵尸網絡流量記錄模塊，記錄由HTTP頭部字段統計特征提取模塊判斷為僵尸網絡流量的僵尸網絡HTTP頭部的內容；

請求包及響應包內容獲取模塊，完成讀取截獲的HTTP流量的工作，在截獲的HTTP流量中選取同一IP四元組的首個HTTP請求包和對應的首個HTTP應答包，并記錄同一IP四元組的首個HTTP請求包的內容和對應的首個HTTP應答包的內容，生成以IP四元組做標識的HTTP請求及應答內容；

特征向量提取模塊，完成從IP四元組做標識的HTTP請求及應答內容中提取特征向量的工作，特征向量包括：包數量、平均包大小、第一個請求包頭部長度、請求行參數、請求行長度、User-Agent內容長度、Content-Type內容長度，得到IP四元組做標識特征向量集合；

聚類模塊，采用X-Means聚類算法，將IP四元組做標識特征向量集合輸入聚類模塊，經過X-Means聚類算法將通信模式相似的惡意HTTP流量聚集在一起，得到聚類結果；

特征碼生成模塊，輸入聚類結果和僵尸網絡HTTP頭部內容，對各聚類簇分別生成特征碼；特征碼的生成方式為對聚類簇中的各HTTP流分別提取請求參數、請求路徑、User-Agent的值UA、Content-Type的值CT；

由單特征碼生成器對任意一條僵尸網絡流量生成標識子序列，標識子序列是一種最長公共子序列的變形，各子序列之間通過.*連接，代表匹配任意長度任意字符，得到集合；

由特征碼合并器，過濾掉總長度小于25的特征碼，然后進行去重計算，去重計算完畢后對特征碼進行合并，借助Smith-Waterman算法進行子序列集合計算，產生新的合并特征碼，算法的懲罰系數設為0.8，合并判斷表達式如下式：，

對于長度比大于θ和生成長度大于的兩個特征碼予以合并，合并完后在特征碼池中剔除原有特征碼，重復合并過程，直到沒有滿足合并條件的特征碼存在時，合并終止；

由特征碼合并器合并特征碼后得到特征碼集合，對于來自不同聚類的特征碼和存在高度相似的情況，由特征碼修剪器對其進行修剪：1）如果兩者相同，則直接去重合并；2）如果是匹配的真子集，選取；

經由特征碼修剪器修剪過的特征碼集合輸入規則生成器，當判別一個截取流量是否來自于僵尸網絡，只要讀取截取流量的請求參數、請求路徑、User-Agent的值UA、Content-Type的值CT，對比修剪過特征碼集合，當截取流量的請求參數、請求路徑、User-Agent的值UA、Content-Type的值CT不匹配修剪過特征碼集合則截取的流量不屬于僵尸網絡。