基于通信特征曲线动态时间弯曲距离的IRC僵尸网络同源判别方法
IRC僵尸网络(botnet)是攻击者通过IRC服务器构建命令与控制信道方式控制大量主机(bot)组成的网络.IRC僵尸网络中IRC服务器与bot连接具有很强的动态特性.相关研究采用IRC僵尸网络的服务器域名、服务器IP、控制者ID等信息度量IRC僵尸网络的相似性,再根据相似性值检测同源IRC僵尸网络,但这些信息并不能代表IRC僵尸网络的本质特征,因此误差较大.为识别使用不同IRC控制服务器的同源僵尸网络,提取僵尸网络的通信量特征曲线、通信频率特征曲线,基于通信特征曲线的动态时间弯曲距离判别同源的僵尸网络.为了减小计算量和增加判别准确率,根据通信特征曲线的特点,提取并利用曲线的峰、谷特征点;并提出改进的LB PAA对动态时间弯曲距离的计算进行优化.实验验证了方法的有效性并计算了各类错误率.
僵尸网络、通信、动态时间弯曲距离、同源、特征点
49
TP393.08(计算技术、计算机技术)
国家"八六三"高技术研究发展计划基金项目2007AA010502,2007AA01Z474,2006AA01Z451;湖南省科技厅项目11C0076
2012-05-25(万方平台首次上网日期,不代表论文的发表时间)
共10页
481-490
