僵尸网络检测技术

本书研究了四种僵尸网络检测方法，首先是基于DPI技术的IRC僵尸网络检测方法，本文采用rishi算法与昵称相似性方法同时评估昵称，比单一使用其中之一更为有效；其次是基于DNS的僵尸网络检测方法，本文通过识别和解析DNS协议，采用DNS请求的周期性和群体相似性方法检测僵尸网络；然后是基于流序列行为的非DPI僵尸网络检测方法，本文通过研究僵尸客户端与C&C服务器交互时产生的流量特性，以流序列为研究对象，提取流间隔时间、流持续时间、流字节数、交互频率等特征，采用一维聚类及与之对应的评分机制，与未知流量进行匹配，从而达到检测僵尸网络的目的；最后是基于关联分析的僵尸网络检测方法，作为一种辅助方法，本书同时采用snort协助检测僵尸网络，进行了规则筛选，去除了与僵尸网络无关的规则，并修改snort源码，提高了snort的性能，使snort能处理更高速的流量。