本发明公开了一种僵尸网络控制节点的检测方法及装置，其中，方法包括：根据当前僵尸网络控制节点的IP生成高频网段，以快速定位可疑网络控制节点位置；根据高频网段IP的端口当前状态得到初始可疑网络控制节点集合，并与预设的常用端口列表得到可疑网络控制节点列表；根据可疑网络控制节点列表过滤获取高可疑网络控制节点列表；根据高可疑网络控制节点列表和僵尸网络家族的端口列表进行匹配和协议探测；根据分类结果对高可疑网络控制节点列表的高可疑网络控制节点进行协议校验；根据家族协议获取相应僵尸网络家族的网络控制节点。该方法对僵尸网络控制节点加速自动化主动分析探测，探测更多未知的僵尸网络控节点，提高探测效率，提高扫描效率。