计算机研究与发展
計算機研究與髮展
계산궤연구여발전
JOURNAL OF COMPUTER RESEARCH AND DEVELOPMENT
2012年
3期
481-490
,共10页
金鑫%李润恒%甘亮%李政仪
金鑫%李潤恆%甘亮%李政儀
금흠%리윤항%감량%리정의
僵尸网络%通信%动态时间弯曲距离%同源%特征点
僵尸網絡%通信%動態時間彎麯距離%同源%特徵點
강시망락%통신%동태시간만곡거리%동원%특정점
IRC僵尸网络(botnet)是攻击者通过IRC服务器构建命令与控制信道方式控制大量主机(bot)组成的网络.IRC僵尸网络中IRC服务器与bot连接具有很强的动态特性.相关研究采用IRC僵尸网络的服务器域名、服务器IP、控制者ID等信息度量IRC僵尸网络的相似性,再根据相似性值检测同源IRC僵尸网络,但这些信息并不能代表IRC僵尸网络的本质特征,因此误差较大.为识别使用不同IRC控制服务器的同源僵尸网络,提取僵尸网络的通信量特征曲线、通信频率特征曲线,基于通信特征曲线的动态时间弯曲距离判别同源的僵尸网络.为了减小计算量和增加判别准确率,根据通信特征曲线的特点,提取并利用曲线的峰、谷特征点;并提出改进的LB PAA对动态时间弯曲距离的计算进行优化.实验验证了方法的有效性并计算了各类错误率.
IRC僵尸網絡(botnet)是攻擊者通過IRC服務器構建命令與控製信道方式控製大量主機(bot)組成的網絡.IRC僵尸網絡中IRC服務器與bot連接具有很彊的動態特性.相關研究採用IRC僵尸網絡的服務器域名、服務器IP、控製者ID等信息度量IRC僵尸網絡的相似性,再根據相似性值檢測同源IRC僵尸網絡,但這些信息併不能代錶IRC僵尸網絡的本質特徵,因此誤差較大.為識彆使用不同IRC控製服務器的同源僵尸網絡,提取僵尸網絡的通信量特徵麯線、通信頻率特徵麯線,基于通信特徵麯線的動態時間彎麯距離判彆同源的僵尸網絡.為瞭減小計算量和增加判彆準確率,根據通信特徵麯線的特點,提取併利用麯線的峰、穀特徵點;併提齣改進的LB PAA對動態時間彎麯距離的計算進行優化.實驗驗證瞭方法的有效性併計算瞭各類錯誤率.
IRC강시망락(botnet)시공격자통과IRC복무기구건명령여공제신도방식공제대량주궤(bot)조성적망락.IRC강시망락중IRC복무기여bot련접구유흔강적동태특성.상관연구채용IRC강시망락적복무기역명、복무기IP、공제자ID등신식도량IRC강시망락적상사성,재근거상사성치검측동원IRC강시망락,단저사신식병불능대표IRC강시망락적본질특정,인차오차교대.위식별사용불동IRC공제복무기적동원강시망락,제취강시망락적통신량특정곡선、통신빈솔특정곡선,기우통신특정곡선적동태시간만곡거리판별동원적강시망락.위료감소계산량화증가판별준학솔,근거통신특정곡선적특점,제취병이용곡선적봉、곡특정점;병제출개진적LB PAA대동태시간만곡거리적계산진행우화.실험험증료방법적유효성병계산료각류착오솔.
