返回
终端行为特征的irc僵尸网络病毒检测方案

终端行为特征的irc僵尸网络病毒检测方案

ID:13889217

大小:25.00 KB

页数:5页

时间:2018-07-24

终端行为特征的irc僵尸网络病毒检测方案_第1页
终端行为特征的irc僵尸网络病毒检测方案_第2页
终端行为特征的irc僵尸网络病毒检测方案_第3页
终端行为特征的irc僵尸网络病毒检测方案_第4页
终端行为特征的irc僵尸网络病毒检测方案_第5页
资源描述:

《终端行为特征的irc僵尸网络病毒检测方案》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、终端行为特征的IRC僵尸网络病毒检测方案  【摘要】目前的IRC僵尸网络在我国的网络安全问题中显得尤为严重,但是由于我国的通讯技术高速发展,目前我国人民普遍开始使用互联网,如果不能对IRC将是病毒进行很好的检测也就不能够对我国的互联网安全进行保护。但是目前我国的IRC僵尸网络病毒的检测方法仍然采用传统方法,这种方法需要先验知识来将匹配模式获取,不能够实现随时进行处理的功能。因此就需要采取一种新的方法,即基于昵称以及命令序列来对IRC僵尸网络病毒进行检测。  【关键词】终端行为;IRC;僵尸网络;病毒检测

2、  随着我国经济与社会的不断发展,互联网在我国人民的生活工作和学习中扮演着越来越重要的角色。在使用互联网的过程中,由于僵尸网络病毒的存在对于我国人民正常使用互联网产生了巨大困扰。而目前我国经常受到的僵尸网络病毒攻击为IRC僵尸网络病毒。因此为了保护我国人民能够正常使用互联网,就需要对IRC僵尸网络病毒进行检测。但是传统的IRC僵尸网络病毒的检测方法需要先验知识,而且也不能够满足随时检测的要求,不能很好地保护我国人民正常使用互联网。通过对IRC僵尸网络的分析,我们发现这种僵尸网络拥有着为数众多的僵尸终端,

3、因此就可以使用一种全新的方法来进行IRC僵尸网络病毒的检测,即基于昵称和命令序列,通过这样的检测方法对频道进行逐一的分析就可以将僵尸网络检测出来,不仅节省了大量时间而且还可以满足大规模的网络在线检测。  一、使用终端行为特征检测IRC僵尸网络病毒的概念  利用终端行为特征来对IRC僵尸网络病毒的检测主要是一种基于用户昵称的IRC僵尸网络病毒的检测方法。这种检测方法不同于传统的IRC僵尸网络病毒检测方法,传统的IRC僵尸网络病毒的检测方法主要是使用了正则表达式来对僵尸昵称来进行描述,并且使用评分函数来对这

4、些僵尸昵称进行分析。而使用终端行为特征来检测IRC僵尸网络病毒的方法只需要在同一个频道下来将昵称的相似度进行关注,并不需要先验知识,而且可以检验未知的僵尸网络。这种方法主要试运行在一个高性能的网络捕包分析平台上,并且使用一种基于用户昵称长度的相似性的IRC僵尸网络病毒检测方法。这种算法利用用户昵称的长度来将相似性进行检测,能够十分有效的将IRC僵尸网络病毒检测出来,而且这种方法的攻击性不强,适用于我国人民的日常工作和生活中的IRC僵尸网络病毒的检测。  二、如何使用终端行为特征来对IRC僵尸网络病毒进行

5、检测  在IRC用户登录了客户端后,发送给服务器的第一条命令就是参数和昵称。昵称是IRC客户端用户的标识。而且ICR协议中规定了如果实在相同的IRC网络中,那么昵称不能相同。由于僵尸网络的客户端是有攻击者使用的程序自动生成的昵称,因此在这种情况下程序就会采取一些措施来避免相同昵称的出现。目前的僵尸网络昵称生成程序一般都是使用固定字符+特殊字符+随机字符的方法来避免相同昵称。由此我们可以发现,IRC僵尸网络的用户昵称虽然不相同,但是仍然具有一定的规律,找到了这些规律就可以使用这些规律来进行IRC僵尸网络昵

6、称的检测,来判断频道是否为僵尸频道。  (一)检测IRC昵称相似性的度量属性  为了真实而且准确地将昵称的相似性进行检测,我们需要设置出参数公共字串比率。目前很多的僵尸程序的组成是将昵称的固定字符与随机生成的字符串进行组合,在这样的情况下固定字符串就可以为僵尸网络的检测提供有利的检查机制,如果出现了太多的拥有相同固定字符串的昵称,那么就可以将其踢出频道或者直接拒绝为其服务。公共字符串的比率直接反映了字符串是否包含了公共字符串,如果在频道中的昵称拥有较高的公共字符串比率,那么这些昵称是僵尸网络昵称的比率就

7、很高。不仅是要检测公共字符串的比率,对于昵称的组成距离也要进行检测。昵称主要是由字母和数字组成,大部分的昵称还含有一些特殊字符。通过对目前已知的僵尸网络昵称进行分析后可以发现,目前的僵尸网络昵称虽然组成的字母数字和特殊字符是不同的,但是这些昵称的长度却基本相同。通过这一特点我们也可以对僵尸网络的昵称进行检测。我们将昵称的长度使用四元向量来表示,四元向量主要是指昵称,字母,数字,特殊字符的长度。如果某个频道中的一些昵称长度四元向量是相同的,那么这些昵称就很有可能是僵尸网络的昵称。  (二)检测IRC僵尸网

8、络昵称的算法  通过对僵尸网络昵称的属性分析,我们知道了具有相似性的IRC僵尸网络昵称可以通过昵称组成内容的相似性以及长度来进行检测,从而可以得出在网络中是否有IRC僵尸网络病毒。但是在具体的检测过程中需要一种算法来对频道中的昵称长度和内容进行计算。在具体的计算方法方面,我们主要是使用了TRW算法。这种算法通过对频道中的昵称进行观察来检测判断出在频道中的昵称是否为僵尸网络的昵称。在这种算法下可以先假定一个频道为正常频道,假定另一个频道为僵尸

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。