本发明实施例提供了一种僵尸网络检测方法、装置和系统，其中僵尸网络检测方法，包括：利用自爆发环境获取僵尸工具样本的控制主机的地址信息；向流量分析设备发送用于获取与所述控制主机连接的僵尸主机的地址信息的查询请求消息，该查询请求消息包括所述控制主机的地址信息；接收所述流量分析设备返回的查询响应消息，所述查询响应消息包括与所述控制主机连接的僵尸主机的地址信息。僵尸网络检测装置包括：地址获取模块、发送模块和接收模块。本发明实施还提供了一种僵尸网络检测系统包括上述的僵尸网络检测装置以及流量分析设备。本发明实施例提供的僵尸网络检测方法、装置和系统，能够实时的获取僵尸网络的相关信息，构建僵尸网络的拓扑结构。