閆健恩，袁春陽，許海燕，張兆心

（1. 哈爾濱工業(yè)大學(xué) 計算機科學(xué)與技術(shù)學(xué)院，黑龍江 哈爾濱 150001；2. 國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心，北京 100029）

1 引言

僵尸網(wǎng)絡(luò)（Botnet）是從傳統(tǒng)惡意代碼形態(tài)的基礎(chǔ)上進化的，并通過相互融合發(fā)展而成為目前最為復(fù)雜的攻擊方式之一[1]。僵尸網(wǎng)絡(luò)作為一種新型的攻擊方式，給互聯(lián)網(wǎng)的安全造成了嚴重威脅和巨大損失。CNCERT 2012年11月監(jiān)測報告指出，我國有165萬余個 IP 地址對應(yīng)的主機被木馬或僵尸程序控制[2]。

從拓撲結(jié)構(gòu)上看，基于IRC協(xié)議的僵尸網(wǎng)絡(luò)是一種集中式僵尸網(wǎng)絡(luò)[3]。雖然分布式僵尸網(wǎng)絡(luò)比較流行，但IRC 僵尸網(wǎng)絡(luò)由于實現(xiàn)簡單、操控性靈活，目前在互聯(lián)網(wǎng)上仍然活躍。如何準確檢測僵尸網(wǎng)絡(luò)及其控制通信信道，是一個很大的挑戰(zhàn)。僵尸網(wǎng)絡(luò)檢測技術(shù)從數(shù)據(jù)來源可分為基于網(wǎng)絡(luò)流量數(shù)據(jù)和其他系統(tǒng)信息數(shù)據(jù)(如DNS日志數(shù)據(jù)、入侵檢測記錄數(shù)據(jù)等)；從異常模式分析可分為基于內(nèi)容特征分析(如通信端口、特殊二進制代碼等)和基于行為特征分析(如網(wǎng)絡(luò)行為特征或流量行為特征)。在分析和檢測研究中，最早開展跟蹤研究工作的團隊是德國蜜網(wǎng)項目組，他們對近100個Botnet活動進行了跟蹤和分析。此外，F(xiàn)EDYNYSHYN等[4]使用不同的分類算法，分析了正常網(wǎng)絡(luò)流量和僵尸網(wǎng)絡(luò)流量在發(fā)送和接收數(shù)據(jù)數(shù)量上的差異，結(jié)合域名和IP地址，實現(xiàn)了僵尸網(wǎng)絡(luò)的檢測，但其只分析了流量數(shù)量單一的特征，具有一定的缺陷。文獻[5]分析僵尸網(wǎng)絡(luò)發(fā)起攻擊時的異常TCP流量，以此進行僵尸網(wǎng)絡(luò)檢測，不過，此方法對非TCP流量的攻擊或者非攻擊活動的僵尸網(wǎng)絡(luò)檢測無效。另外，文獻[6]中使用惡意URL黑名單，分析了僵尸網(wǎng)絡(luò)使用域名的特性，從而實現(xiàn)了對僵尸網(wǎng)絡(luò)活動的追蹤，并對可疑 URL進行判別。文獻[7]利用僵尸網(wǎng)絡(luò)客戶端定期持續(xù)向控制者主動進行連接的特性，借助正常目的地址白名單，檢測僵尸網(wǎng)絡(luò)。還有 LU等[8]使用隱式馬爾可夫鏈模型對僵尸網(wǎng)絡(luò)的流量進行分析和檢測。文獻[9]中對僵尸網(wǎng)絡(luò)的整體情況和目前的檢測技術(shù)進行了較全面的介紹。文獻[10]介紹了基于智能手機短信技術(shù)構(gòu)建新型移動互聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)。

基于流量特征的檢測適應(yīng)于大規(guī)模數(shù)據(jù)量的情況，不進行數(shù)據(jù)內(nèi)容分析，相對執(zhí)行效率較高，能夠滿足實時分析的需求。不過，以往流量技術(shù)檢測僵尸網(wǎng)絡(luò)的方法中，關(guān)注的只是數(shù)據(jù)流的部分或局部時段屬性特征，從而不能全面刻畫僵尸網(wǎng)絡(luò)數(shù)據(jù)流的特點，故本文從多種僵尸網(wǎng)絡(luò)頻道數(shù)據(jù)流的特征出發(fā)，考慮不同周期內(nèi)數(shù)據(jù)流的特點，從而實現(xiàn)了對僵尸網(wǎng)絡(luò)頻道的檢測。

2 僵尸網(wǎng)絡(luò)頻道流量特征

由于正常的網(wǎng)絡(luò)活動可以看成是沒有主觀控制意識的隨機活動，而IRC僵尸網(wǎng)絡(luò)的活動具有人為控制的特點，因而從網(wǎng)絡(luò)數(shù)據(jù)流量角度看，正常的網(wǎng)絡(luò)流量隨機性較強，即使有突發(fā)流量變化，也不會出現(xiàn)規(guī)律性的周期變化。而僵尸網(wǎng)絡(luò)的數(shù)據(jù)流量由于人為主觀控制的原因，具有周期性和規(guī)律性特點，下面分析一下僵尸網(wǎng)絡(luò)流量的特征。

1) 聚類和相似性特征

同一頻道中的不同客戶端的流量存在聚類性質(zhì)和相似性。文獻[11]中，作者把同一頻道內(nèi)的正常主機和同一頻道內(nèi)的僵尸主機的數(shù)據(jù)流進行分析得到：同一僵尸頻道內(nèi)的僵尸主機與服務(wù)器之間形成的數(shù)據(jù)流具有很明顯的聚類和相似性特征，而同一正常頻道內(nèi)的正常主機與服務(wù)器之間的數(shù)據(jù)流差距較大，不具有聚類和相似性特征。產(chǎn)生這種特征原因是：處于同一個頻道的僵尸主機只能被動地接收來自服務(wù)器端的命令，執(zhí)行相應(yīng)的操作并返回操作結(jié)果，因此，同一頻道上的所有僵尸主機在與服務(wù)器交互組成的數(shù)據(jù)流之間具有聚類和相似性特征；并且不同僵尸頻道上的客戶端數(shù)據(jù)流之間不存在聚類和相似性特征。對于正常的頻道內(nèi)的客戶端數(shù)據(jù)流，由于客戶端交互內(nèi)容的隨意性，因此不存在聚類和相似性特征。

2) 命令反應(yīng)時間特征

僵尸程序內(nèi)置的命令執(zhí)行功能可以完成控制者通過服務(wù)器推送過來的命令，在較短的固定時間周期內(nèi)向服務(wù)器返回回饋信息，而正常的IRC用戶聊天，由于用戶隨機的思考時間和消息輸入時間，則會存在數(shù)據(jù)之間不固定的時間間隔，它與僵尸程序的反應(yīng)時間的特征差距很大。例如，正常IRC聊天過程中，用戶在登錄過程中需要人工輸入用戶名和密碼，在選擇頻道時也會需要一定時間，而僵尸程序中已經(jīng)內(nèi)置登錄過程中的一切信息，完成登錄頻道的時間僅需十幾到幾十毫秒。

3) 平均分組長度特征

在僵尸網(wǎng)絡(luò)沒有發(fā)動惡意行為時，絕大部分時間處于靜默期，在這段時間內(nèi)服務(wù)器和客戶端之間主要通過 PING/PONG分組維持網(wǎng)絡(luò)連通。因為PING/PING分組長度較小且發(fā)送的時間間隔較大，因此，僵尸網(wǎng)絡(luò)的平均分組長度通常較小，并且同一個服務(wù)器的PING/PONG數(shù)據(jù)分組的長度是固定不變的[12]。

4) 相鄰數(shù)據(jù)分組的時間間隔特征

由于處于靜默期的僵尸網(wǎng)絡(luò)通過 PING/PONG分組進行交互，而同一個服務(wù)器的相鄰 PING/PONG分組間的時間間隔相對穩(wěn)定，文獻[6]中對僵尸網(wǎng)絡(luò)中的相鄰PING/PONG數(shù)據(jù)分組之間的時間間隔進行測試，發(fā)現(xiàn)PING/PONG數(shù)據(jù)分組的時間間隔為90～110 s。因此，如果數(shù)據(jù)分組的到達時間間隔一直處在90～110 s，而且持續(xù)時間很長，則可以認為其處于僵尸網(wǎng)絡(luò)的靜默期。

5) 流量高峰和協(xié)同流量高峰特征

僵尸網(wǎng)絡(luò)不同時期內(nèi)，頻道數(shù)據(jù)流量的大小是不同的。處于靜默期的僵尸網(wǎng)絡(luò)，頻道上只有少量的 PING/PONG分組在服務(wù)器端和客戶端進行交互；而處于攻擊期的僵尸網(wǎng)絡(luò)，會通過服務(wù)器在短時間內(nèi)會發(fā)送大量的攻擊命令，隨后bot主機也會向服務(wù)器反饋其執(zhí)行命令的結(jié)果。由于這種行為，僵尸網(wǎng)絡(luò)在客戶端會存在流量高峰的特征，并且服務(wù)器端和客戶端會存在協(xié)同流量高峰特征。而正常IRC頻道中主機之間的交互流量一般比較平緩，很難出現(xiàn)較大的波幅。

利用以上介紹的僵尸網(wǎng)絡(luò)多種流量數(shù)據(jù)特征，本文提出了一個檢測IRC僵尸網(wǎng)絡(luò)頻道的方法，通過流量特征的分析，發(fā)現(xiàn)僵尸網(wǎng)絡(luò)活動。

3 基于多維流量特征的僵尸網(wǎng)絡(luò)流頻道檢測

數(shù)據(jù)流可以為2個IP地址之間的所有數(shù)據(jù)分組組成的流，也可以為2個主機的（IP,PORT）對組成的流。因此，需要在研究中給出明確的數(shù)據(jù)流定義。

定義 數(shù)據(jù)流S=(sip,sport,dip,dport,data)，其中sip是IRC服務(wù)器IP地址；sport是IRC服務(wù)器端口；dip是客戶端IP地址；dport為客戶端端口；data是滿足上述IP地址和端口條件的2個主機之間發(fā)送的所有數(shù)據(jù)分組。

僵尸網(wǎng)絡(luò)頻道數(shù)據(jù)的流量高峰和協(xié)同流量高峰、命令反應(yīng)時間、平均分組長度和相鄰數(shù)據(jù)分組的時間間隔這些特征，通過分析捕獲的數(shù)據(jù)流即可獲得，在此不做過多描述，下面主要講述分析數(shù)據(jù)流的聚類和相似性的方法。

3.1 數(shù)據(jù)流聚類算法

在實際應(yīng)用過程中，使用最大最小距離算法和k-means算法結(jié)合的方式進行數(shù)據(jù)流聚類分析，但是原始的聚類算法不能滿足要求，故對2種算法進行改進，從而滿足效率和性能的要求。原始的最大最小距離算法[13]和 k-means算法[14,15]在此不做描述，著重描述改進的算法。

1) 改進的最大最小距離算法

最大最小距離算法中的第一個聚類中心 c1是隨機產(chǎn)生的，這樣得到的距離|c2-c1|也具有隨機性。而在算法的最后需要判斷是否需要產(chǎn)生新的聚類中心時要對參數(shù) m進行設(shè)定，判斷公式為 max S{Dsj}＞m(|c2-c1|)。因此，對參數(shù)m設(shè)定一個固定值并得到很好的聚類效果是非常困難的。下面對最大最小聚類算法進行相關(guān)的改進以消減原始算法中的隨機性。改進的最大最小算法如下。

算法輸入：待聚類的數(shù)據(jù)集S= {s1,s2,…,sn}。

算法輸出：帶有類別標識的數(shù)據(jù)集合。

算法描述：

步驟1

步驟3

重復(fù)步驟2的方法直到?jīng)]有新的聚類中心產(chǎn)生。

算法步驟2中的threshold是設(shè)定的固定值，可以根據(jù)實驗數(shù)據(jù)和專業(yè)領(lǐng)域知識確定，這樣處理的優(yōu)點是聚類中心的產(chǎn)生不會因第一個聚類中心的產(chǎn)生而具有很大的隨機性。

由于 k-means算法需要事先設(shè)定聚類中心個數(shù)，如果任意設(shè)定該數(shù)量，那么可能得到的聚類結(jié)果不是十分精確，因此如果結(jié)合改進的最大最小距離算法，不僅可以按照需要的距離劃分聚類中心，同時也解決了k-means算法的聚類結(jié)果受初始凝聚點影響很大的缺點。改進的k-means算法如下。

2) 改進的k-means算法

算法輸入：待聚類的數(shù)據(jù)集S= {s1, s2,…,sn}。

算法輸出：帶有類別標識的數(shù)據(jù)集合Z。

算法描述：

步驟1

使用改進的最大最小距離算法得到最初的若干個聚類中心，C={c1, c2,…,ck}

步驟2

步驟3

計算每個Zj中新的均值作為聚類中心，重復(fù)步驟2和步驟3，直到初始分類的均值沒有變化。

3.2 數(shù)據(jù)流相似性分析

相似性分析是分析單位時間內(nèi)各條數(shù)據(jù)流在各個時間段內(nèi)的分組數(shù)和字節(jié)數(shù)特征。對聚類中的任意2條數(shù)據(jù)流，分別計算在對應(yīng)時間段內(nèi)的分組數(shù)之差的均值、分組數(shù)之差平方的均值、字節(jié)數(shù)之差的均值以及字節(jié)數(shù)之差平方的均值，采用歐式距離計算相似性。距離越小就說明2條數(shù)據(jù)流之間的相似性程度越大。相似性分析算法如下。

算法輸入：

3.3 僵尸網(wǎng)絡(luò)頻道檢測

通過對僵尸網(wǎng)絡(luò)頻道數(shù)據(jù)流特征的分析，本文使用流量聚類特征、相似性特征、平均分組長特征、流量高峰特征和協(xié)同流量高峰特征5個特征作為檢測依據(jù)。聚類特征和相似性特征可以通過頻道數(shù)據(jù)流分析判別。統(tǒng)計數(shù)據(jù)流中數(shù)據(jù)分組的平均長度，然后與給定的閾值進行對比，即可決定數(shù)據(jù)流是否滿足條件，平均分組長度閾值可以通過機器學(xué)習(xí)等方法確定。流量高峰特征和協(xié)同流量高峰特征通過單位時間的數(shù)據(jù)流對比分析即可判斷。檢測僵尸頻道時，根據(jù)5個流量特征計算檢測特征值，當特征值達到檢測閾值時，可以認為檢測到了僵尸網(wǎng)絡(luò)。下面給出檢測特征值函數(shù)f(x)的定義為

其中，ωi為影響力系數(shù)，0<ωi<1，且xi表示參與檢測的流量特征，當一個考察流量特征符合檢測條件時，xi=1，否則xi=0，n為檢測過程中流量特征數(shù)量。

影響力系數(shù)表明每種流量特性在IRC僵尸網(wǎng)絡(luò)頻道數(shù)據(jù)流中表現(xiàn)的強弱和重要性。IRC僵尸網(wǎng)絡(luò)活動的群體性和一致性是重要行為表現(xiàn)，尤其是相似性特點，故設(shè)置聚類特征影響系數(shù)ω1=0.2、相似性特征影響系數(shù)ω2=0.3，而靜默期的正常IRC頻道和僵尸頻道都使用PING/PONG分組維持通信，數(shù)據(jù)分組大小類似，只是在時間長短上有差異，因此設(shè)置平均分組長度特征影響系數(shù)ω3=0.1，同樣，流量高峰和協(xié)同流量高峰也是群體性和一致性是重要行為表現(xiàn)，所以，設(shè)置流量高峰特征影響系數(shù)ω4=0.2、協(xié)同流量高峰特征影響系數(shù)ω5=0.2。通過實驗數(shù)據(jù)統(tǒng)計分析，將僵尸網(wǎng)絡(luò)數(shù)據(jù)流檢測函數(shù)的閾值設(shè)定 0.5，當超過此閾值時可以判斷檢測到僵尸網(wǎng)絡(luò)流量。閾值的選取與檢測數(shù)據(jù)的數(shù)量、僵尸網(wǎng)絡(luò)的周期性有關(guān)聯(lián)，因此可以通過不斷的積累和自學(xué)習(xí)更新閾值，達到更好的檢測效果。

4 實驗及結(jié)果分析

在Windows XP環(huán)境搭建IRC測試環(huán)境，包括1臺部署IRC服務(wù)器、1臺部署正常IRC客戶端、6臺部署bot客戶端、1臺作為僵尸網(wǎng)絡(luò)控制者的主機。在IRC服務(wù)器上建立多個頻道。其中包括2個正常頻道normal1和normal2，normal1內(nèi)正常IRC客戶端保持靜默狀態(tài)，normal2內(nèi)正常IRC客戶端進行聊天活動，一臺IRC客戶端主機分別登錄這2個頻道；3個僵尸網(wǎng)絡(luò)頻道 botnet1、botnet2、botnet3，每個頻道中，有2臺包含bot客戶端的主機，其中botnet1內(nèi) bot客戶端保持僵尸網(wǎng)絡(luò)的靜默狀態(tài)，botnet2內(nèi)bot客戶端由攻擊期轉(zhuǎn)向靜默期，botnet3內(nèi)bot客戶端接收控制命令，執(zhí)行攻擊。使用wincap技術(shù)分別采集測試環(huán)境客戶端和服務(wù)器端 48 h的數(shù)據(jù)流量，由于normal1頻道保持靜默狀態(tài)，故使用了normal2中數(shù)據(jù)流s4作為正常頻道數(shù)據(jù)分析，8條數(shù)據(jù)流如表1所示。下面對數(shù)據(jù)流進行分析。

表1 數(shù)據(jù)流與頻道關(guān)系

4.1 數(shù)據(jù)流聚類分析

聚類分析結(jié)果如表2所示。從表中可以看到，8條數(shù)據(jù)流被分為5個類別，改進的k-means算法的聚類1中包含數(shù)據(jù)流s5和s6；聚類2包含數(shù)據(jù)流s1和 s2；聚類 4包含數(shù)據(jù)流 s7和 s8。因為它們分別處于僵尸頻道botnet1、botnet3和botnet2，接收控制者發(fā)送控制命令并將命令的執(zhí)行結(jié)果返回給控制者，或保持僵尸網(wǎng)絡(luò)靜默狀態(tài)，因此具有相同的特性，被聚類到一起。聚類3只有數(shù)據(jù)流s3，因為是控制者數(shù)據(jù)流，不同于其他頻道中的數(shù)據(jù)；聚類5只有數(shù)據(jù)流s4，由于處于正常頻道，與其他僵尸客戶端通信內(nèi)容不同。而原始k-means算法將s5、s7和 s6、s8聚集到一類，原因是初始中心數(shù)量的隨機選取產(chǎn)生的影響，并且s7和s8所在的頻道是從攻擊期進入靜默期，攻擊持續(xù)時間較短，流量也較小，從而影響了聚類的結(jié)果。另外，改進的k-means算法在收斂速度上也比原始方法快，尤其是在大量數(shù)據(jù)情況下，在本次實驗處理時，由于數(shù)據(jù)量較小，收斂速度差別不是很大。

表2 數(shù)據(jù)流聚類比較分析結(jié)果

4.2 數(shù)據(jù)流相似性分析

相似性分析的結(jié)果如表3所示?？梢钥吹骄垲?、2、4中的所有數(shù)據(jù)流具有很大的相似性。產(chǎn)生上述結(jié)果的原因是這 3個聚類中的數(shù)據(jù)流分別處于同一個僵尸頻道。每一個僵尸頻道中的所有數(shù)據(jù)流幾乎會在同一時間接收到控制者的控制命令并幾乎同時向控制者返回命令執(zhí)行結(jié)果信息。因此，僵尸頻道中的每個客戶端的數(shù)據(jù)流很相似，具有相似性特征。

4.3 數(shù)據(jù)分組平均長度分析

數(shù)據(jù)分組平均長度分析結(jié)果如表4所示。數(shù)據(jù)表明：由于s5和s6為botnet1中的僵尸流，處于靜默期，之間只有PING/PONG數(shù)據(jù)分組，平均分組大小最??；s7和s8為botnet2中的僵尸流，從攻擊期轉(zhuǎn)向靜默期，平均數(shù)據(jù)分組大小稍大；s4為normal1和normal2的正常聊天流，平均數(shù)據(jù)分組大小較大；而s3為控制者流，向僵尸主機發(fā)送控制命令，平均數(shù)據(jù)分組大小較s4大；流s1和s2為botnet3中的數(shù)據(jù)流處于攻擊期，不斷執(zhí)行控制命令并返回命令執(zhí)行結(jié)果，平均數(shù)據(jù)分組大小最大。

表3 數(shù)據(jù)流相似性分析結(jié)果

表4 平均分組長度分析結(jié)果

4.4 流量高峰和協(xié)同流量高峰分析

由于數(shù)據(jù)流 s1與 s2，s5與 s6，s7與 s8分別是同一僵尸頻道中的數(shù)據(jù)，具有相同的行為活動，因此，分別使用其中的一個來描述各條數(shù)據(jù)流的變化情況。數(shù)據(jù)流 s1和 s3的數(shù)據(jù)流量如圖 1所示，由于s1是botnet3中的數(shù)據(jù)流，且處于攻擊期，因此數(shù)據(jù)流量比較大；s3由于是控制者，它控制整個僵尸網(wǎng)絡(luò)的頻道，因此數(shù)據(jù)流量最大，另外，bot端接收攻擊命令后，要對其返回結(jié)果，故流量 s1和 s3具有基本同步的流量高峰。數(shù)據(jù)流 s4和 s5的數(shù)據(jù)流量情況如圖 2所示，s4為正常 IRC聊天頻道數(shù)據(jù)流，因此流量變化相對穩(wěn)定，沒有明顯的流量高峰，s5雖然是僵尸網(wǎng)絡(luò)頻道數(shù)據(jù)流，不過由于處于靜默期，數(shù)據(jù)流量較少，故高峰情況不明顯。圖 3中數(shù)據(jù)流 s7由于僵尸活動是從攻擊期轉(zhuǎn)向靜默期，在前期攻擊期出現(xiàn)流量的高峰，不過大部分時間數(shù)據(jù)量較少。從以上分析可知，處于攻擊期的僵尸網(wǎng)絡(luò)流量高峰特征明顯，如數(shù)據(jù)流s3、s1(s2)和s7(s8)，而正常頻道s4和靜默期的僵尸網(wǎng)絡(luò)流量s5(s6)，這個特征不明顯。

圖1 s1和s3流量高峰示意

圖2 s4和s5流量高峰示意

圖3 s5和s7流量高峰示意

接下來，分析總數(shù)據(jù)流和各條數(shù)據(jù)流之間的協(xié)同流量高峰。由于數(shù)據(jù)流 s1(s2)是處于攻擊期的botnet3的數(shù)據(jù)流，并且數(shù)據(jù)流s3為控制者數(shù)據(jù)流，它們會產(chǎn)生大量數(shù)據(jù)分組并明顯影響總的數(shù)據(jù)分組個數(shù)，因此，攻擊期間客戶端和服務(wù)器之間存在協(xié)同流量高峰特征，結(jié)果如圖4和圖5所示。數(shù)據(jù)流 s7(s8)的前段時間處于攻擊期，具有流量高峰特征，不過由于其發(fā)送數(shù)據(jù)分組較少，故與服務(wù)器間沒有明顯的協(xié)同流量高峰特征，結(jié)果如圖6所示。而數(shù)據(jù)流s4為正常聊天數(shù)據(jù)流，s5(s6)是處于靜默期的僵尸網(wǎng)絡(luò)數(shù)據(jù)流，因此與服務(wù)器不存在協(xié)同流量高峰特征，結(jié)果如圖7所示。

圖4 s1和IRC服務(wù)器協(xié)同流量高峰示意

圖5 s3和IRC服務(wù)器流量協(xié)同高峰示意

圖6 s7和IRC服務(wù)器流量協(xié)同高峰示意

圖7 s4 與s5和IRC服務(wù)器流量協(xié)同高峰示意

綜合上述實驗數(shù)據(jù)結(jié)果，使用定義的僵尸網(wǎng)絡(luò)頻道檢測特征值函數(shù)分別計算每個頻道數(shù)據(jù)流的特征值，結(jié)果如表5所示。可以看到，僵尸頻道中的數(shù)據(jù)流特征值都在給定閾值之上，故使用流量多特征的檢測方法，可以檢測出僵尸網(wǎng)絡(luò)的數(shù)據(jù)流，從而判斷僵尸網(wǎng)絡(luò)的存在。不過，由于IRC僵尸頻道中的bot是集體活動，流量特征比較明顯，便于從流量的角度發(fā)現(xiàn)其惡意活動，但控制者由于單獨存在或者利用中間跳板，其多種流量特征反映不盡相同，故檢測時可能需要更多的信息。

表5 數(shù)據(jù)流檢測特征值

5 結(jié)束語

本文對基于流量特征的IRC僵尸網(wǎng)絡(luò)頻道檢測方法進行了探索和研究，分析了僵尸網(wǎng)絡(luò)在不同活動階段所反映的流量特點，提出了基于多維僵尸網(wǎng)絡(luò)流量特征的IRC僵尸網(wǎng)絡(luò)頻道檢測方法，通過實驗表明，方法在檢測的有效性方面是可行的。不過方法也存在不足，例如，如果僵尸網(wǎng)絡(luò)處于非攻擊活動階段時，很難從流量特征進行檢測等，因此還需要其他的檢測方法輔助進行，從而更加準確地發(fā)現(xiàn)僵尸網(wǎng)絡(luò)活動。

[1] 諸葛建偉, 韓心慧, 周勇林等. 僵尸網(wǎng)絡(luò)研究[J]. 軟件學(xué)報, 2008(3)：702-715.ZHUGE J W, HAN X H, ZHOU Y L, et al. Research and development of Botnets[J]. Journal of Software, 2008(3)：702-715.

[2] CNCERT/CC互聯(lián)網(wǎng)安全威脅報告[EB/OL]. http：//www.cert.org.cn/publish/main/upload/File/20121227monthly11.pdf, 2012.CNCERT/CC Internet security threat report[EB/OL]. http：//www.cert.org.cn/publish/main/upload/File/20121227monthly11.pdf, 2012.

[3] 江健, 諸葛建偉, 段海新等. 僵尸網(wǎng)絡(luò)機理與防御技術(shù)[J]. 軟件學(xué)報, 2012, 23(1)： 82-96.JIANG J, ZHUGE J W, DUAN X H, et al. Research on Botnet mechanisms and defenses[J]. Journal of Software, 2012, 23(1)： 82-96.

[4] FEDYNYSHYN G, CHUAH M, TAN G. Detection and classification of different Botnet C&C channels[A]. Proceedings of the 8th International Conference[C]. Banff, Canada, 2011.228-242.

[5] BINKLEY J R, SINGH S. An algorithm for anomaly-based Botnet detection[A]. Proceedings of the 2nd Workshop on Steps to Reducing Unwanted Traffic on the Internet[C]. Berkeley, CA, USA, 2006.43-48.

[6] TSAI M H, CHANG K C, LIN C C, et al. C&C tracer： Botnet command and control behavior tracing[A]. Proceedings of the 2011 IEEE International Conference on Systems, Man and Cybernetics (SMC)[C].Anchorage, AK, 2011. 1859-1864.

[7] GIROIRE F, CHANDRASHEKAR J, TAFT N, et al. Exploiting temporal persistence to detect covert botnet channels[A]. Proceedings of the Recent Advances in Intrusion Detection[C]. Springer Berlin Heidelberg, Brittany, France, 2009. 326-345.

[8] LU C, BROOKS R. Botnet traffic detection using hidden Markova models[A]. Proceedings of the Seventh Annual Workshop on Cyber Security and Information Intelligence Research[C]. Oak Ridge, TN,USA, 2011. 31.

[9] BREZO F, SANTOS I, BRINGAS P G, et al. Challenges and limitations in current botnet detection[A]. Proceedings of the 22nd International Workshop on Database and Expert Systems Applications(DEXA)[C]. Toulouse, 2011. 95-101.

[10] HUA J, SAKURAI K. Botnet command & control based on short message service and human mobility[J]. Computer Networks, 2012(57)：579-597.

[11] AKIYAMA M, KAWAMOTO T, SHIMAMURA M, et al. A proposal of metrics for Botnet detection based on its cooperative behavior[A].Proceedings of Applications and the I nternet Workshops[C]. Hiroshima, Japan, 2007. 82.

[12] 王爽. 基于流量特征的IRC僵尸網(wǎng)絡(luò)檢測技術(shù)研究[D]. 哈爾濱：哈爾濱工業(yè)大學(xué), 2008.WANG S. Research of IRC Botnet D etection Technology Based on Traffic Flow Characteristics[D]. Harbin： Harbin Institute of Technology, 2008.

[13] 孫吉貴, 劉杰, 趙連宇. 聚類算法研究[J]. 軟件學(xué)報, 2008, 19(1)： 48-61.SUN J G, LIU J, ZHAO L Y. Clustering algorithms research[J]. Journal of Software, 2008, 19(1)：48-61.

[14] HANSEN P, NGAI E, CHEU NG B K, et al. Analysis of global k-means, an incremental heuristic for minimum sum-of-squares clustering[J]. Journal of Classification, 2005, 22(2)：287-310.

[15] 陳德軍, 羅金成, 張兵. 基于改進的 k-means聚類算法的分類評價方法[J]. 武漢理工大學(xué)學(xué)報, 2011,33(1)：32-35.CHEN D J, LUO J C, ZHANG B. Classification and evaluation on reviewers based on improved k-means clustering algorithm[J]. Journal of WUT(Information & Management Engineering), 2011, 33(1)：32-35.