聚类分析技术在 IRC 僵尸网络检测系统中的应用
摘 要:僵尸网络是当前互联网中重大安全威胁之一,黑客通过在互联网中传播僵尸
病毒,将大量计算机变成自己可控制的僵尸计算机,从而实现攻击。本文以僵尸网络中最
常见的 IRC 僵尸网络为例,分析了 IRC 僵尸网络的工作原理,提出利用聚类分析技术中的
马氏距离算法和欧氏距离算法对 IRC 僵尸网络进行检测。
关键词:僵尸网络;
IRC;
聚类分析
中图分类号:TP309.5
学术界自 2003 年开始关注僵尸网络这一新型的网络安全威胁,和以往的病毒、蠕虫
等威胁不同,僵尸网络是一种从传统恶意代码形态进化而来的新型攻击方式,控制者在成
功完成攻击后,在受攻击的系统上植入一个具有远程控制功能的小程序(bot),并将这
些攻陷的机器(僵尸计算机)组成了一个具备一定规模的网络,由一台或多台控制端控制
[1]。僵尸网络为攻击者提供了较为隐匿、并且灵活、高效的一对多命令与控制的机制,
可以控制大量的僵尸计算机以达到窃取信息、分布式拒绝服务攻击(DDos)和垃圾邮件发
送等攻击的目的。
僵尸网络主要分为三类:IRC 僵尸网络、HTTP 僵尸网络和 P2P 僵尸网络。IRC 僵尸网
络是最早产生的,由于 IRC 网络结构简单、灵活、容易控制,因此直到现在仍然是僵尸网
络的主流类型。IRC 僵尸网络是基于互联网在线聊天协议 IRC,IRC 协议是一种常用的实时
网络聊天协议,应用很广泛,目前大部分聊天软件都使用的是 IRC 协议,而这也为黑客带
来了可乘之机,他们以 IRC 协议为基础建立了他们可控制的 IRC 僵尸网络。如何鉴别网络
中的计算机是否感染僵尸病毒是网络安全的重要任务之一,本文通过分析研究 IRC 僵尸网
络通信数据的特征,提出使用聚类分析的技术来对 IRC 僵尸网络进行检测。
1 IRC 僵尸网络的工作原理