[00078497]基于数据包序列特征的IRC僵尸网络检测系统和检测方法
技术详细介绍
本发明公开了一种基于数据包序列特征的IRC僵尸网络检测方法,该方法通过离线基础数据获取模块、在线数据实时分析模块、数据中心和检测策略控制模块四部分协同工作完成IRC僵尸网络的检测,其思想是利用IRC僵尸主机与C&C(Command&Control)控制服务器之间通信时的数据包大小序列的周期性和大小特征,通过识别获取网络出口处的IRC流量,判断IRC会话的周期度和数据包大小均值来检测IRC僵尸网络,本发明的主要创新点在于通过度量IRC僵尸主机与C&C服务器之间通信过程中数据包序列的周期度和均值,以区别IRC聊天应用和IRC僵尸网络,从而达到IRC僵尸网络检测的目的。
