隨著電腦硬體技術和網路速度的提升，被攻擊的電腦已經從攻擊伺服器轉為個人電腦使用者。駭客藉由散布電腦病毒、蠕蟲和木馬程式，在網路上大量控制受害者的電腦主機，竊取電腦上的私人機密資料，並透過命令控制這些主機來發送大量的攻擊。而這些被控制的電腦所形成的網路即稱為殭屍網路。受害的電腦主機可稱為殭屍主機，駭客從遠端來控制這些電腦。殭屍網路是目前網路上嚴重的資訊安全問題，如何有效的找出受害主機，使其免於受殭屍網路的控制，是現今網路安全上急需解決的問題。在本論文中，我們利用網路連線失敗來區分出正常流量、P2P流量和感染殭屍網路的流量。依據我們的觀察，受感染的電腦由於需要連線到駭客下指令的控制伺服器，在伺服器IP位置分散且動態改變下，感染的主機必然會產生失敗的連線。藉由觀察正常流量、P2P和殭屍主機內網向外網失敗的連線，從中取出相關特徵屬性值，再將這些特徵值透過機器學習創造出偵測模型，利用偵測模型來區分不同類型的流量。我們所提出的偵測方法，從模擬的實驗結果中顯示可得到高的偵測準確率和召回率。對於真實流量上做偵測，被偵測出的電腦主機，有96%以上證實為真的有遭受感染。我們所提出的偵測方法，對於網路的管理者而言，能有效地判斷出遭受感染的主機，在幫助殭屍網路偵測上，亦具有遏止更多主機免於受害的功效。