针对伪装后僵尸网络主机难以检测的问题，提出一种基于图重构和子图挖掘的僵尸网络检测方法(GR-SGM)。首先，将网络数据转化为图数据，并对其进行重构以此增强主机节点特征表示；其次，基于重构图中拓扑结构、节点的特征和位置变化设计僵尸网络子图评分函数，以此捕捉伪装后的特征，提取出僵尸网络子图，并对原始图和重构图进行预检测，以提高检测的准确率和效率，减少重构误差；最后，对预检测结果和僵尸网络子图进行综合评分，以获取完整的僵尸网络信息。在ISCX2014僵尸网络数据集和CICIDS2017僵尸网络数据集上的实验结果表明：GR-SGM的检测准确率分别达到99.98%和99.91%,F1分别达到99.94%和99.65%,相较于其他僵尸网络检测模型，GR-SGM能更加高效准确地识别僵尸网络节点，同时具有更低的误报率。

• 单位
  合肥工业大学; 北方民族大学