基于终端行为特征的IRC僵尸网络检测

被引：16

作者：

王威 ^{[1
,2
]}

方滨兴 ^{[1
,2
]}

崔翔 ^{[2
]}

机构：

[1] 哈尔滨工业大学计算机网络与信息安全研究中心

[2] 中国科学院计算技术研究所信息安全研究中心

来源：

计算机学报 | 2009年 / 32卷 / 10期

关键词：

僵尸网络; IRC昵称; 命令序列; 相似性度量;

D O I：

暂无

中图分类号：

TP393.08 [];

学科分类号：

0839 ; 1402 ;

摘要：

目前已有的IRC僵尸网络检测算法存在两个问题:需要先验知识以获取匹配模式,无法满足实时处理需求.为解决这两个问题,文中提出了基于昵称和命令序列这两个终端行为特征的IRC僵尸网络检测算法.文中提出三种属性分别从内容、组成和结构三方面互补的刻画两个昵称的相似性,给出两个昵称相似性的量化因子,根据这量化因子生成弹性TRW算法以进行IRC僵尸网络实时检测.文中还在分析僵尸终端登录服务器的行为的基础上,提出了基于命令序列相似性的检测算法.算法评估实验证明两个算法行之有效.最后将这两个算法用于大规模网络环境中实时检测IRC僵尸网络,在两周内检测到162个僵尸频道.

引用

页码：1980 / 1988

页数：9

共 7 条

[1] HoneyBow:一个基于高交互式蜜罐技术的恶意代码自动捕获器 [J].

诸葛建伟 ;

韩心慧 ;

周勇林 ;

宋程昱 ;

郭晋鹏 ;

邹维 .

通信学报, 2007, (12) :8-13

[2] 支持IDS的高速网络信息获取体系结构 [J].

张兆心 ;

方滨兴 ;

胡铭曾 .

北京邮电大学学报 , 2006, (02) :118-122

[3] 僵尸网络及其启发 [J].

杜跃进 ;

崔翔 .

中国数据通信, 2005, (05) :9-13

[4] 多线程TCP/IP协议还原技术的研究 [J].

罗浩 ;

云晓春 ;

方滨兴 .

高技术通讯, 2003, (11) :15-19

[5] SEQUENTIAL TESTS OF STATISTICAL HYPOTHESES [J].

WALD, A .

ANNALS OF MATHEMATICAL STATISTICS, 1945, 16 (02) :117-186

[6]

Irc-based botnet detection on high speed routers. Chen Y. Proceedings of the ARO-DARPA-DHS Special Workshop on Botnets . 2006

[7]

BotMiner:Clustering analysis of network traffic for protocol-and structure-independent botnet detection. Gu G,Perdisct R,Zhang J, et al. Proceedings of the 17th USENIX Security Symposium （Security’’08） . 2008

← 1 →