一种基于数据包大小序列的IRC僵尸网络检测方法
僵尸网络(botnet)已成为黑客产业链的主要基础技术平台之一,黑客社区利用它可控制互联网上规模庞大的僵尸主机群,进行DDoS、信息窃取、垃圾邮件等多种非法活动,干扰了正常的社会秩序并造成了严重的经济损失。僵尸网络常滥用IRC(Internet Relay Chat)协议作为其命令控制(Command and Control,C&C)协议,向僵尸主机传达各种攻击指令,同时接收来自僵尸主机的响应。本文通过对比分析IRC僵尸网络与IRC聊天的数据包大小特征,发现:二者数据包大小序列在周期性方面存在不同特征,基于此,本文采用Ukkonen算法设计了IRC僵尸网络检测方法。经过验证测试,证明了该方法有较好的IRC僵尸网络检测效果。
数据包序列 僵尸网络 检测方法 命令控制协议
马小博 陶敬 管晓宏 郑庆华 郭云 刘璐 赵双
西安交通大学智能网络与网络安全教育部重点实验室、机械制造系统工程国家重点实验室,西安 710049 西安交通大学智能网络与网络安全教育部重点实验室、机械制造系统工程国家重点实验室,西安 710049 清华大学智能与网络化系统研究中心、清华信息科学与技术国家实验室,北京 100084
国内会议
天津
中文
300-307
2009-10-23(万方平台首次上网日期,不代表论文的发表时间)