基于终端行为特征的IRC僵尸网络检测被引量：16

IRC Botnet Detection Based on Host Behavior

下载PDF

导出

摘要目前已有的IRC僵尸网络检测算法存在两个问题:需要先验知识以获取匹配模式,无法满足实时处理需求.为解决这两个问题,文中提出了基于昵称和命令序列这两个终端行为特征的IRC僵尸网络检测算法.文中提出三种属性分别从内容、组成和结构三方面互补的刻画两个昵称的相似性,给出两个昵称相似性的量化因子,根据这量化因子生成弹性TRW算法以进行IRC僵尸网络实时检测.文中还在分析僵尸终端登录服务器的行为的基础上,提出了基于命令序列相似性的检测算法.算法评估实验证明两个算法行之有效.最后将这两个算法用于大规模网络环境中实时检测IRC僵尸网络,在两周内检测到162个僵尸频道. There are two problems in current algorithms for IRC botnets detection. One is that detection algorithms require some prior knowledge of botnets to generate matching patterns. The other is that algorithms can not perform detection online. To solve these problems, this paper proposes two IRC botnet detection algorithms based on host behavior. Three attributes, LCS rate, compositive distance and RN_dice coefficient, are discussed to quantify the similarity of nicknames from three aspects： content, composition and structure. To detect IRC hornets on- line, extended TRW algorithm based on the similarity of nicknames is proposed. This paper also proposes a detection algorithm based on the command sequence of IRC clients. Evaluations of these algorithms indicate that the two algorithms are correct and valid. At last, detection algo- rithms are used in large-scale network to detect IRC botnets and detect 162 bot channels within two weeks.

作者王威方滨兴崔翔

机构地区哈尔滨工业大学计算机网络与信息安全研究中心中国科学院计算技术研究所信息安全研究中心

出处《计算机学报》 EI CSCD 北大核心 2009年第10期1980-1988,共9页 Chinese Journal of Computers

基金国家"九七三"重点基础研究发展规划项目基金(2007CB311100) 国家"八六三"高技术研究发展计划项目基金(2009AA01Z437 2007AA010501 2007AA01Z474)资助

关键词僵尸网络 IRC昵称命令序列相似性度量 botnet IRC nickname command sequence similarity measurement

分类号 TP393 [自动化与计算机技术—计算机应用技术]

引文网络
相关文献

参考文献20

1杜跃进,崔翔.僵尸网络及其启发[J].中国数据通信,2005,7(5):9-13. 被引量：14
2Oikarinen J, Reed D. Internet relay chat protocol. Request for Comments (RFC) 1459, IETF, May, 1993.
3诸葛建伟,韩心慧,周勇林,宋程昱,郭晋鹏,邹维.HoneyBow:一个基于高交互式蜜罐技术的恶意代码自动捕获器[J].通信学报,2007,28(12):8-13. 被引量：44
4Malan D J. Rapid detection of botnets through collaborative networks of peers [Ph. D. dissertation]. Harvard University, Cambridge, Massachusetts, 2007.
5Al-Hammadi Y, Aickelin U. Detecting bomets through log correlation//Proceedings of the IEEE/IST Workshop on Monitoring, Attack Detection and Mitigation. Tuebingen, Germany, 2006: 97-100.
6Binkley J R, Singh S. An algorithm for anomaly-based botnet detection//Proceedings of the 2nd Workshop on Steps to Reducing Unwanted Traffic on the Internet. San Jose, CA, 2006:43-48.
7Strayer W T, Walsh R et al. Detecting botnets with tight command and control//Proceedings of the 31st IEEE Conference on Local Computer Networks. Tampa, FL, 2006:195-202.
8Goebel J et al. Rishi: Identify bot contaminated hosts by IRC nickname evaluation//Proceedings of the HotBots' 07, First Workshop on Hot Topics in Understanding Botnets. Cambridge, MA, 2007.
9Karasaridis A, Rexroad B et al. Wide-scale hotnet detection and characterization//Proceedings of the HotBots' 07, First Workshop Cambridge, in Understanding Botnets.
10Gu G, Porras P, Yegneswaran V et al. BotHunter: Detecting malware infection through ids driven dialog correlation// Proceedings of the 16th USENIX Security Symposium(Security'07). Boston, Massachusetts, 2007:167-182.

二级参考文献35

1杨武,方滨兴,云晓春,张宏莉,胡铭曾.一种高性能分布式入侵检测系统的研究与实现[J].北京邮电大学学报,2004,27(4):83-86. 被引量：14
2胡希明毛德操.Linux内核源代码情景分析[M].杭州：浙江大学出版社,2001..
3[1]Libnids. An implementation of an E-component of network intrusion detection system. http: //www. packetfactory.net/Proj ects/Libnids/
4[2]Chesson G. UNIX Review,1987,5(9):70
5[3]Goldberg M, Neufeld G. The raven protocol framework.Univ Tech Rep TR-92-15, British Columbia, Vancouver,BC, Canada: 1992
6[4]Goldberg M, Neufeld G, Ito M. A parallel approach to OSI connection-oriented protocols. In: Proc 3rd IFIP Workshop Protocols for High-Speed Networks, Stockholm,Sweden: 1992. 225
7[5]Jain N, Schwartz M, Bashkow T. Transport protocols processing at GBPS rates. In: Proc ACM SIGCOMM'90,Philadelphia, PA: 1990. 188
8[6]Yates D, Nahum E, Kurose J, et al. Networking support for large scale multiprocessor servers. In: Proc SIGMETRICS'96, Philadelphia, PA: 1996. 116
9[7]Bjorkman M,Gunningberg P. IEEE/ACM Transctions on Networking, 1998,6(3): 262
10[8]tcpdump. Dump traffic on a network. http://www. tcpdump. org

共引文献60

1于志刚,陈强.网络空间中的帮助违法行为及其入罪化[J].北京人民警察学院学报,2008(5):38-44. 被引量：15
2张志斌,郭莉,方滨兴,陈小军.一种基于自动机分解的网络协议并行处理策略[J].计算机学报,2006,29(8):1496-1504. 被引量：4
3诸葛建伟,韩心慧,周勇林,叶志远,邹维.僵尸网络研究[J].软件学报,2008,19(3):702-715. 被引量：157
4翟健宏,王彦,李超.基于PFADS的网络数据获取平台的研究与实现[J].信息安全与通信保密,2008,30(3):49-51.
5张冰,杜跃进,段海新,焦绪录.僵尸网络(BOTNET)监控技术研究[J].微计算机信息,2008,24(21):51-53. 被引量：6
6张宇翔,孙继银.基于HoneyNet的军事信息网络主动防御能力实现[J].电脑与信息技术,2008,16(5):17-19.
7毅,方滨兴,云晓春,胡振宇.基于P2P的网络恶意代码检测技术研究[J].高技术通讯,2008,18(10):1029-1034. 被引量：2
8王东滨,胡铭曾,智慧,余翔湛.面向网络数据实时检测的多线程内存管理技术[J].高技术通讯,2008,18(12):1231-1235. 被引量：2
9吴莉娅.关于僵尸网络若干问题的探讨[J].惠州学院学报,2009,29(3):74-76.
10孔雪辉,王述洋,黎粤华.面向网络安全的关于僵尸网络的研究[J].中国安全科学学报,2009,19(7):110-118. 被引量：5

同被引文献158

1陈明奇,崔翔.“僵尸网络”的威胁及应对策略[J].信息网络安全,2005(5):55-56. 被引量：3
2杜跃进,崔翔.僵尸网络及其启发[J].中国数据通信,2005,7(5):9-13. 被引量：14
3孙彦东,李东.僵尸网络综述[J].计算机应用,2006,26(7):1628-1630. 被引量：29
4唐勇,卢锡城,胡华平,朱培栋.基于多序列联配的攻击特征自动提取技术研究[J].计算机学报,2006,29(9):1533-1541. 被引量：25
5安德智.僵尸网络的攻击原理及其对策[J].计算机安全,2007(5):73-76. 被引量：3
6张鹏,唐世渭.朴素贝叶斯分类中的隐私保护方法研究[J].计算机学报,2007,30(8):1267-1276. 被引量：19
7GU G F, PERDISCI R, ZHANG J J, et al.BotMiner : clustering analysis of network traffic for protocol-and structure- independent botnet detection[C].In Proc.of USENIX Security' 08, July 2008.
8GU G, ZHANG J, LEE W. BotSniffer : detecting Botnet command and control channels in network traffic[C].In Proc.of the 15th Annual Network and Distributed System Security Symposium(NDSS ' 08), 2008.
9KANG J, ZHANG J, LI Q, et al.Detecting new P2P Botnet with multi-chart CUSUM[C].In 2009 International Conference on Networks Security, Wirelsss Communications and Trusted Computing. 2009.
10NOH S, OH J, LEE J,et al.Detecting P2P Botnets using a multi-phased flow model[C].In Third International Conference on Digital Society.2009.

引证文献16

1关琳.基于垃圾邮件发送模型的僵尸网络监测[J].网络安全技术与应用,2010(2):25-27.
2周振吉,吴礼发,梁其川,李华波.一种混合式僵尸主机检测算法的设计与实现[J].微型机与应用,2010,29(16):57-60.
3龙人杰,赵国峰,李亚兵.僵尸网络检测研究[J].现代电信科技,2010(10):44-49. 被引量：1
4吕新荣,陆世伟.基于聚类技术的僵尸网络检测方案[J].计算机工程,2011,37(7):166-167. 被引量：1
5方滨兴,崔翔,王威.僵尸网络综述[J].计算机研究与发展,2011,48(8):1315-1331. 被引量：63
6刘建波.基于动态聚类算法的IRC僵尸网络检测[J].哈尔滨商业大学学报（自然科学版）,2011,27(5):713-716. 被引量：1
7王海龙,唐勇,龚正虎.僵尸网络命令与控制信道的特征提取模型研究[J].计算机工程与科学,2013,35(2):62-67. 被引量：9
8邓婵.僵尸网络检测及防御技术研究[J].计算机光盘软件与应用,2012,15(21):109-110.
9倪懿.聚类分析技术在IRC僵尸网络检测系统中的应用[J].计算机光盘软件与应用,2013,16(10):88-90.
10蔡君,赵慧民.基于用户社团变化的大型网络异常群体行为检测[J].西北大学学报（自然科学版）,2013,43(3):383-389.

二级引证文献87

1李跃,翟立东,王宏霞,时金桥.一种基于社交网络的移动僵尸网络研究[J].计算机研究与发展,2012,49(S2):1-8. 被引量：10
2李世淙,云晓春,张永铮.一种基于分层聚类方法的木马通信行为检测模型[J].计算机研究与发展,2012,49(S2):9-16. 被引量：13
3王钟梅,殷新春,袁秋宇.僵尸网络检测技术研究[J].计算机安全,2011(8):43-46. 被引量：1
4陈向东,李静蕾.僵尸网络攻击原理及检测技术研究[J].济南职业学院学报,2012(1):86-89.
5邢婷,邢治国.FCM算法的一种数据智能预处理策略[J].哈尔滨商业大学学报（自然科学版）,2011,27(6):845-848.
6张敏,张阳.基于分布式防火墙控制僵尸网络的研究与设计[J].西南民族大学学报（自然科学版）,2012,38(4):648-653.
7黄萍.手机僵尸网络综述[J].现代计算机,2012,18(15):27-29.
8冯丽萍,韩琦,王鸿斌,康苏明.P2P僵尸网络的有效免疫措施[J].计算机应用,2012,32(9):2617-2619. 被引量：7
9Chen Wei,Yu Le,Yang Geng.Detecting Encrypted Botnet Traffic Using Spatial-Temporal Correlation[J].China Communications,2012,9(10):49-59. 被引量：3
10冯丽萍,韩琦,王鸿斌.具有变化感染率的僵尸网络传播模型[J].计算机科学,2012,39(11):51-53. 被引量：11

1田新广,高立志,张尔扬.新的基于机器学习的入侵检测方法[J].通信学报,2006,27(6):108-114. 被引量：15
2邵萍,班世敏,彭勤科.一种计算机网络信息安全模型及其应用[J].微电子学与计算机,2003,20(4):28-31. 被引量：5
3赵丽琴.浅谈VBA在Excel2000中的应用[J].成都教育学院学报,2004,18(7):59-59. 被引量：2
4王淑江.用户状态虚拟化[J].网管员世界,2012(6):55-58.
5赖英旭,刘静,王一沛.基于隐马尔科夫模型的用户行为异常检测方法[J].电子技术应用,2011,37(7):156-158. 被引量：3
6信息安全专利[J].高科技与产业化,2013,19(2):74-75.
7任传成,潘东静,孙志卓.基于Visual FoxPro中表复制技术的研究[J].电脑知识与技术,2005(11):13-14.
8许伟涛,王乘.FFT旋转因子生成算法研究[J].微机发展,2005,15(6):42-44.
9刘芳.计算机应用软件中的宏[J].辽宁高职学报,2002,4(3):109-111.
10宋运祁.怎样在终端上实现多屏联机[J].中国金融电脑,1996(3):13-15.

计算机学报

2009年第10期

浏览历史

内容加载中请稍等...

基于终端行为特征的IRC僵尸网络检测被引量：16

参考文献20

二级参考文献35

共引文献60

同被引文献158

引证文献16

二级引证文献87

相关作者

相关机构

相关主题

浏览历史

基于终端行为特征的IRC僵尸网络检测 被引量：16

参考文献20

二级参考文献35

共引文献60

同被引文献158

引证文献16

二级引证文献87

相关作者

相关机构

相关主题

浏览历史

基于终端行为特征的IRC僵尸网络检测被引量：16