| 基于终端行为特征的IRC僵尸网络检测 |
| |
| 引用本文: | 王威,方滨兴,崔翔.基于终端行为特征的IRC僵尸网络检测[J].计算机学报,2009,32(10). |
| |
| 作者姓名: | 王威 方滨兴 崔翔 |
| |
| 作者单位: | 1. 哈尔滨工业大学计算机网络与信息安全研究中心,哈尔滨,150001;中国科学院计算技术研究所信息安全研究中心,北京,100190
2. 中国科学院计算技术研究所信息安全研究中心,北京,100190 |
| |
| 基金项目: | 国家"九七三"重点基础研究发展规划项目基金,国家"八六三"高技术研究发展计划项目基金 |
| |
| 摘 要: | 目前已有的IRC僵尸网络检测算法存在两个问题:需要先验知识以获取匹配模式,无法满足实时处理需求.为解决这两个问题,文中提出了基于昵称和命令序列这两个终端行为特征的IRC僵尸网络检测算法.文中提出三种属性分别从内容、组成和结构三方面互补的刻画两个昵称的相似性,给出两个昵称相似性的量化因子,根据这量化因子生成弹性TRW算法以进行IRC僵尸网络实时检测.文中还在分析僵尸终端登录服务器的行为的基础上,提出了基于命令序列相似性的检测算法.算法评估实验证明两个算法行之有效.最后将这两个算法用于大规模网络环境中实时检测IRC僵尸网络,在两周内检测到162个僵尸频道.
|
| 关 键 词: | 僵尸网络 IRC昵称 命令序列 相似性度量 |
IRC Botnet Detection Based on Host Behavior |
| |
| WANG Wei,FANG Bin-Xing,CUI Xiang.IRC Botnet Detection Based on Host Behavior[J].Chinese Journal of Computers,2009,32(10). |
| |
| Authors: | WANG Wei FANG Bin-Xing CUI Xiang |
| |
| Abstract: | |
| |
| Keywords: | |
| 本文献已被 万方数据 等数据库收录! |
|
