基于聚类分析的irc僵尸网络检测系统分析及实现-analysis and implementation of irc botnet detection system based on cluster analysis.docx

下载文档 降价啦

8
0
约4.78万字
约 78页
2018-06-05 发布于上海
举报
版权申诉
保障服务

基于聚类分析的irc僵尸网络检测系统分析及实现-analysis and implementation of irc botnet detection system based on cluster analysis.docx

1、本文档共78页，可阅读全部内容。
2、有哪些信誉好的足球投注网站（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。
3、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。

基于聚类分析的irc僵尸网络检测系统分析及实现-analysis and implementation of irc botnet detection system based on cluster analysis

基于聚类分析的IRC僵尸网络检测系统研究及实现摘要僵尸网络是一种由黑客控制的，包含若干台受到僵尸病毒程序感染的计算机的网络系统。黑客通过在网络中传播僵尸病毒程序，将大量的正常计算机变成自己的僵尸计算机并实现远程控制，从而实现向互联网中的目标计算机和服务器发起大规模的DDoS攻击、发送垃圾邮件、盗取隐私机密或者感染更多的计算机等非法目的，危害巨大。在种类繁多的僵尸网络中，基于互联网中继聊天IRC(InternetRelayChat)协议的僵尸网络危害性尤其大。IRC僵尸网络的特点是黑客与僵尸计算机之间基于IRC协议进行通信和发送控制指令，IRC服务器是网络的中心节点。当前的IRC僵尸网络检测方法，还主要是以特征码的对比检测以及基于流量的检测等，存在实时性较差、分析未知样本的难度较高等问题，检测准确率不高。针对上述问题，本文以分析IRC僵尸计算机的昵称命名规律和异常通信行为特征为切入点，主要完成了以下工作：1、深入剖析了IRC僵尸网络的原理和工作机制，通过对IRC僵尸病毒样本的分析，总结出IRC僵尸计算机在昵称的字符串长度、字母、数字、符号个数和网络中的IRC协议数据包总量、总字节数、使用的端口数等方面的规律；2、在聚类分析技术中的马氏距离及欧氏距离算法的基础上，结合文中分析出的IRC僵尸计算机昵称特征规律和异常行为特征规律，提出了两种新的算法，同时明确了通过两种算法分别检测、共同命中的检测方案，从而实现有效提升检测的准确率以及降低误报率的目的；3、设计出基于新算法的且具有良好普适性的IRC僵尸网络检测原型系统，详细阐述了系统中数据采集、算法检测、算法接口、参数管理、系统保护模块的设计，从而达到正确识别网络中的僵尸计算机、降低检测误报率的目标；4、通过测试，验证了基于聚类分析的IRC僵尸网络检测系统的运行效果，证实了该系统的可行性，并就实际运用过程中出现的问题进行了总结和分析。关键词：IRC僵尸网络，恶意攻击，特征向量检测，聚类技术THEIRCBOTNETDETECTIONSYSTEMBASEDONCLUSTERANALYSISTECHNIQUESABSTRACTBotnetisaninternetsystem,controlledbyhackers,containingseveralbotprograminfectedcomputers.Hackersspreadbotprogramviainternettoturnnumbersofnormalcomputersintobotones.RemotecontrolisrealizedbybotprogramtolaunchlargescaleDDosattacks,sendspam,stealconfidentialinformation,infectmorecomputersorotherillegalpurposes.Thedamagewillbeimmensity.Withinawidevarietyofbotnets,thebotnet,basedonIRC(InternetRelayChat)protocolisparticularlyharmful.ThecharacteristicsofIRCbotnetisthathackerscommunicateandsendcontrolinstructiontobotnetcomputerbyIRCprotocol.TheIRCserveristhecentralpointofthebotnet.CurrentlymainIRCbotnetdetectmethodisthedetectionofconditioncodecontrastandflowrate,whichliestheproblemofreal-timeabsence,highdifficultyforanalyzingundefinedsampleetc.Theaccuracyfordetectionisquitelow.Inresponsetotheformerproblems,thearticletakesthepenetrationpointofanalyzingIRCcomputernicknamenamingrulesandabnormalcommunicationbehaviortoaccomplishmainlythefollowingtasks:1、In-depthanalysisoftheIRCbotnetprincipleandworkingmechanism,accordingtotheIRCbotsvirussamples,conclusionismadefortheIRCbotsnicknamestringlength,lette