基于通信特征曲线动态时间弯曲距离的IRC僵尸网络同源判别方法

被引：5

作者：

金鑫 ^{[1
]}

李润恒 ^{[2
]}

甘亮 ^{[2
]}

李政仪 ^{[1
]}

机构：

[1] 长沙民政职业技术学院

[2] 国防科学技术大学计算机学院

来源：

计算机研究与发展 | 2012年 / 49卷 / 03期

关键词：

僵尸网络; 通信; 动态时间弯曲距离; 同源; 特征点;

D O I：

暂无

中图分类号：

TP393.08 [];

学科分类号：

0839 ; 1402 ;

摘要：

IRC僵尸网络(botnet)是攻击者通过IRC服务器构建命令与控制信道方式控制大量主机(bot)组成的网络.IRC僵尸网络中IRC服务器与bot连接具有很强的动态特性.相关研究采用IRC僵尸网络的服务器域名、服务器IP、控制者ID等信息度量IRC僵尸网络的相似性,再根据相似性值检测同源IRC僵尸网络,但这些信息并不能代表IRC僵尸网络的本质特征,因此误差较大.为识别使用不同IRC控制服务器的同源僵尸网络,提取僵尸网络的通信量特征曲线、通信频率特征曲线,基于通信特征曲线的动态时间弯曲距离判别同源的僵尸网络.为了减小计算量和增加判别准确率,根据通信特征曲线的特点,提取并利用曲线的峰、谷特征点;并提出改进的LB-PAA对动态时间弯曲距离的计算进行优化.实验验证了方法的有效性并计算了各类错误率.

引用

页码：481 / 490

页数：10

共 4 条

[1] 基于通信特征提取和IP聚集的僵尸网络相似性度量模型 [J].