隨著電腦硬體技術和網路速度的提升,被攻擊的電腦已經從攻擊伺服器轉為個人電腦使用者。駭客藉由散布電腦病毒、蠕蟲和木馬程式,在網路上大量控制受害者的電腦主機,竊取電腦上的私人機密資料,並透過命令控制這些主機來發送大量的攻擊。而這些被控制的電腦所形成的網路即稱為殭屍網路。受害的電腦主機可稱為殭屍主機,駭客從遠端來控制這些電腦。殭屍網路是目前網路上嚴重的資訊安全問題,如何有效的找出受害主機,使其免於受殭屍網路的控制,是現今網路安全上急需解決的問題。在本論文中,我們利用網路連線失敗來區分出正常流量、P2P流量和感染殭屍網路的流量。依據我們的觀察,受感染的電腦由於需要連線到駭客下指令的控制伺服器,在伺服器IP位置分散且動態改變下,感染的主機必然會產生失敗的連線。藉由觀察正常流量、P2P和殭屍主機內網向外網失敗的連線,從中取出相關特徵屬性值,再將這些特徵值透過機器學習創造出偵測模型,利用偵測模型來區分不同類型的流量。我們所提出的偵測方法,從模擬的實驗結果中顯示可得到高的偵測準確率和召回率。對於真實流量上做偵測,被偵測出的電腦主機,有96%以上證實為真的有遭受感染。我們所提出的偵測方法,對於網路的管理者而言,能有效地判斷出遭受感染的主機,在幫助殭屍網路偵測上,亦具有遏止更多主機免於受害的功效。