終端行為特征的IRC僵尸網(wǎng)絡(luò)病毒檢測方案

【摘 要】目前的IRC僵尸網(wǎng)絡(luò)在我國的網(wǎng)絡(luò)安全問題中顯得尤為嚴重，但是由于我國的通訊技術(shù)高速發(fā)展，目前我國人民普遍開始使用互聯(lián)網(wǎng)，如果不能對IRC將是病毒進行很好的檢測也就不能夠?qū)ξ覈幕ヂ?lián)網(wǎng)安全進行保護。但是目前我國的IRC僵尸網(wǎng)絡(luò)病毒的檢測方法仍然采用傳統(tǒng)方法，這種方法需要先驗知識來將匹配模式獲取，不能夠?qū)崿F(xiàn)隨時進行處理的功能。因此就需要采取一種新的方法，即基于昵稱以及命令序列來對IRC僵尸網(wǎng)絡(luò)病毒進行檢測。

【關(guān)鍵詞】終端行為；IRC；僵尸網(wǎng)絡(luò)；病毒檢測

隨著我國經(jīng)濟與社會的不斷發(fā)展，互聯(lián)網(wǎng)在我國人民的生活工作和學習中扮演著越來越重要的角色。在使用互聯(lián)網(wǎng)的過程中，由于僵尸網(wǎng)絡(luò)病毒的存在對于我國人民正常使用互聯(lián)網(wǎng)產(chǎn)生了巨大困擾。而目前我國經(jīng)常受到的僵尸網(wǎng)絡(luò)病毒攻擊為IRC僵尸網(wǎng)絡(luò)病毒。因此為了保護我國人民能夠正常使用互聯(lián)網(wǎng)，就需要對IRC僵尸網(wǎng)絡(luò)病毒進行檢測。但是傳統(tǒng)的IRC僵尸網(wǎng)絡(luò)病毒的檢測方法需要先驗知識，而且也不能夠滿足隨時檢測的要求，不能很好地保護我國人民正常使用互聯(lián)網(wǎng)。通過對IRC僵尸網(wǎng)絡(luò)的分析，我們發(fā)現(xiàn)這種僵尸網(wǎng)絡(luò)擁有著為數(shù)眾多的僵尸終端，因此就可以使用一種全新的方法來進行IRC僵尸網(wǎng)絡(luò)病毒的檢測，即基于昵稱和命令序列，通過這樣的檢測方法對頻道進行逐一的分析就可以將僵尸網(wǎng)絡(luò)檢測出來，不僅節(jié)省了大量時間而且還可以滿足大規(guī)模的網(wǎng)絡(luò)在線檢測。

一、使用終端行為特征檢測IRC僵尸網(wǎng)絡(luò)病毒的概念

利用終端行為特征來對IRC僵尸網(wǎng)絡(luò)病毒的檢測主要是一種基于用戶昵稱的IRC僵尸網(wǎng)絡(luò)病毒的檢測方法。這種檢測方法不同于傳統(tǒng)的IRC僵尸網(wǎng)絡(luò)病毒檢測方法，傳統(tǒng)的IRC僵尸網(wǎng)絡(luò)病毒的檢測方法主要是使用了正則表達式來對僵尸昵稱來進行描述，并且使用評分函數(shù)來對這些僵尸昵稱進行分析。而使用終端行為特征來檢測IRC僵尸網(wǎng)絡(luò)病毒的方法只需要在同一個頻道下來將昵稱的相似度進行關(guān)注，并不需要先驗知識，而且可以檢驗未知的僵尸網(wǎng)絡(luò)。這種方法主要試運行在一個高性能的網(wǎng)絡(luò)捕包分析平臺上，并且使用一種基于用戶昵稱長度的相似性的IRC僵尸網(wǎng)絡(luò)病毒檢測方法。這種算法利用用戶昵稱的長度來將相似性進行檢測，能夠十分有效的將IRC僵尸網(wǎng)絡(luò)病毒檢測出來，而且這種方法的攻擊性不強，適用于我國人民的日常工作和生活中的IRC僵尸網(wǎng)絡(luò)病毒的檢測。

二、如何使用終端行為特征來對IRC僵尸網(wǎng)絡(luò)病毒進行檢測

在IRC用戶登錄了客戶端后，發(fā)送給服務(wù)器的第一條命令就是參數(shù)和昵稱。昵稱是IRC客戶端用戶的標識。而且ICR協(xié)議中規(guī)定了如果實在相同的IRC網(wǎng)絡(luò)中，那么昵稱不能相同。由于僵尸網(wǎng)絡(luò)的客戶端是有攻擊者使用的程序自動生成的昵稱，因此在這種情況下程序就會采取一些措施來避免相同昵稱的出現(xiàn)。目前的僵尸網(wǎng)絡(luò)昵稱生成程序一般都是使用固定字符+特殊字符+隨機字符的方法來避免相同昵稱。由此我們可以發(fā)現(xiàn)，IRC僵尸網(wǎng)絡(luò)的用戶昵稱雖然不相同，但是仍然具有一定的規(guī)律，找到了這些規(guī)律就可以使用這些規(guī)律來進行IRC僵尸網(wǎng)絡(luò)昵稱的檢測，來判斷頻道是否為僵尸頻道。

（一）檢測IRC昵稱相似性的度量屬性

為了真實而且準確地將昵稱的相似性進行檢測，我們需要設(shè)置出參數(shù)公共字串比率。目前很多的僵尸程序的組成是將昵稱的固定字符與隨機生成的字符串進行組合，在這樣的情況下固定字符串就可以為僵尸網(wǎng)絡(luò)的檢測提供有利的檢查機制，如果出現(xiàn)了太多的擁有相同固定字符串的昵稱，那么就可以將其踢出頻道或者直接拒絕為其服務(wù)。公共字符串的比率直接反映了字符串是否包含了公共字符串，如果在頻道中的昵稱擁有較高的公共字符串比率，那么這些昵稱是僵尸網(wǎng)絡(luò)昵稱的比率就很高。不僅是要檢測公共字符串的比率，對于昵稱的組成距離也要進行檢測。昵稱主要是由字母和數(shù)字組成，大部分的昵稱還含有一些特殊字符。通過對目前已知的僵尸網(wǎng)絡(luò)昵稱進行分析后可以發(fā)現(xiàn)，目前的僵尸網(wǎng)絡(luò)昵稱雖然組成的字母數(shù)字和特殊字符是不同的，但是這些昵稱的長度卻基本相同。通過這一特點我們也可以對僵尸網(wǎng)絡(luò)的昵稱進行檢測。我們將昵稱的長度使用四元向量來表示，四元向量主要是指昵稱，字母，數(shù)字，特殊字符的長度。如果某個頻道中的一些昵稱長度四元向量是相同的，那么這些昵稱就很有可能是僵尸網(wǎng)絡(luò)的昵稱。

（二）檢測IRC僵尸網(wǎng)絡(luò)昵稱的算法

通過對僵尸網(wǎng)絡(luò)昵稱的屬性分析，我們知道了具有相似性的IRC僵尸網(wǎng)絡(luò)昵稱可以通過昵稱組成內(nèi)容的相似性以及長度來進行檢測，從而可以得出在網(wǎng)絡(luò)中是否有IRC僵尸網(wǎng)絡(luò)病毒。但是在具體的檢測過程中需要一種算法來對頻道中的昵稱長度和內(nèi)容進行計算。在具體的計算方法方面，我們主要是使用了TRW算法。這種算法通過對頻道中的昵稱進行觀察來檢測判斷出在頻道中的昵稱是否為僵尸網(wǎng)絡(luò)的昵稱。在這種算法下可以先假定一個頻道為正常頻道，假定另一個頻道為僵尸頻道，然后在對頻道中所擁有的各種昵稱進行檢測，如果檢測的頻道是正常頻道，那么頻道內(nèi)的昵稱相似性低的概率比較高。在將假設(shè)給出之后，就會有輸出的四種可能，一種為漏報的僵尸頻道，一種為誤報的正常頻道，一種為正確的正常頻道，一種為正確的僵尸頻道。另一種算法為彈性TRW算法，這種算法主要是在傳統(tǒng)的TRW算法中引入了彈性因子，利用彈性因子就可以在頻道內(nèi)的各種昵稱進行彈性的分析，從而減少檢測錯誤的產(chǎn)生，與傳統(tǒng)的TRW算法比較要準確很多。

三、結(jié)語

目前我國由于通訊技術(shù)的不斷發(fā)展，很多人都在使用互聯(lián)網(wǎng)來學習和工作。在此過程中IRC網(wǎng)絡(luò)被許多人所使用。但是在使用IRC網(wǎng)絡(luò)的過程中，許多使用者發(fā)現(xiàn)會遭受到IRC僵尸網(wǎng)絡(luò)病毒的攻擊。而IRC僵尸網(wǎng)絡(luò)病毒一般都是使用僵尸昵稱存在的，因此如果可以將IRC僵尸昵稱檢測出來，也就能夠檢測出IRC僵尸網(wǎng)絡(luò)病毒。在檢測IRC僵尸網(wǎng)絡(luò)昵稱時可以采用基于終端行為特征的檢測方法，檢測昵稱的長度以及內(nèi)容，從而使用TRW算法來將這些因素進行計算，也就能夠?qū)崟r的將IRC僵尸網(wǎng)絡(luò)昵稱進行檢測，保證我國人民能夠安全的使用互聯(lián)網(wǎng)進行工作和學習。

參考文獻：

[1] 閆健恩，袁春陽，許海燕等.基于多維流量特征的IRC僵尸網(wǎng)絡(luò)頻道檢測[J].通信學報 ，2013，（10）：49-55，64.

[2] 金鑫，李潤恒，甘亮等.基于通信特征曲線動態(tài)時間彎曲距離的IRC僵尸網(wǎng)絡(luò)同源判別方法[J].計算機研究與發(fā)展，2012，49（3）：481-490.

[3] 劉建波.基于動態(tài)聚類算法的IRC僵尸網(wǎng)絡(luò)檢測[J].哈爾濱商業(yè)大學學報（自然科學版），2011，27（5）：713-716.

[4] 倪懿.聚類分析技術(shù)在IRC僵尸網(wǎng)絡(luò)檢測系統(tǒng)中的應(yīng)用[J].計算機光盤軟件與應(yīng)用 ，2013，（10）：88-90.

[5] 胡瑄，李芝棠，李冬等.基于關(guān)鍵字的IRC僵尸網(wǎng)絡(luò)檢測系統(tǒng)的設(shè)計與實現(xiàn)[C].//中國教育和科研計算機網(wǎng)CERNET第十七屆學術(shù)年會論文集.2010：173-176.