基于数据包序列特征的IRC僵尸网络检测系统和检测方法技术方案

本发明专利技术公开了一种基于数据包序列特征的IRC僵尸网络检测方法，该方法通过离线基础数据获取模块、在线数据实时分析模块、数据中心和检测策略控制模块四部分协同工作完成IRC僵尸网络的检测，其思想是利用IRC僵尸主机与C&C(Command??&??Control)控制服务器之间通信时的数据包大小序列的周期性和大小特征，通过识别获取网络出口处的IRC流量，判断IRC会话的周期度和数据包大小均值来检测IRC僵尸网络，本发明专利技术的主要创新点在于通过度量IRC僵尸主机与C&C服务器之间通信过程中数据包序列的周期度和均值，以区别IRC聊天应用和IRC僵尸网络，从而达到IRC僵尸网络检测的目的。

【技术实现步骤摘要】

【技术保护点】
一种基于数据包序列特征的ＩＲＣ僵尸网络检测系统，其特征在于，包括以下模块：离线基础数据获取模块，负责从被监控网络出口流量镜像的ＴＣＰ流量中，利用ＩＲＣ协议的ＮＩＣＫ、ＵＳＥＲ、ＰＡＳＳＷＯＲＤ、ＰＲＩＶＭＳＧ、ＰＵＢＭＳＧ、ＮＯＴＩＣＥ协议关键特征字段对其进行协议的离线内容匹配，从中识别和发现基于ＩＲＣ协议的服务器的ＩＰ地址和端口，并将这些信息写入数据中心，建立ＩＲＣ服务器的ＩＰ地址和端口数据库，为在线数据实时分析模块提供基础的数据准备；在线数据实时分析模块，负责从ＩＲＣ服务相关的ＴＣＰ流量中在线实时分析出ＩＲＣ僵尸网络命令与控制服务器及相应的被控ＩＲＣ僵尸主机，本模块利用已知的僵尸网络Ｃ＆Ｃ服务器黑白名单进行ＩＲＣ被控僵尸主机的检测，如果与Ｃ＆Ｃ服务器白名单匹配，则与该Ｃ＆Ｃ服务器通信的ＩＲＣ客户端为一个正常聊天用户；若与Ｃ＆Ｃ服务器黑名单匹配，则与该Ｃ＆Ｃ服务器通信的ＩＲＣ客户端为一个被控ＩＲＣ僵尸主机；针对未能与Ｃ＆Ｃ服务器黑白名单匹配的ＩＲＣ服务相关的ＴＣＰ流量，本模块继续基于数据包序列特征进行分析，将待检测的原始ＴＣＰ流量转化为ＩＲＣ客户端与ＩＲＣ服务器通信过程中的数据包大小序列，对每一个数据包大小序列进行周期度和大小均值的计算，若同时满足“周期度大于事先设定的阈值”和“大小均值小于事先设定的阈值”，相应的ＩＲＣ客户端被判定为ＩＲＣ被控僵尸主机，否则相应的ＩＲＣ客户端被判定为ＩＲＣ正常聊天用户，其中周期度的阈值范围为０．５～０．８，大小均值的阈值范围为６０～９０字节，基于这一结果，利用ＩＲＣ服务器的ＩＰ地址和端口信息分别更新Ｃ＆Ｃ服务器黑名单和Ｃ＆Ｃ服务器白名单；数据中心模块，数据中心存放三种数据：Ｃ＆Ｃ服务器黑名单、Ｃ＆Ｃ服务器白名单、ＩＲＣ僵尸网络检测结果，其中，Ｃ＆Ｃ服务器黑名单存放僵尸网络命令与控制服务器的ＩＰ地址和端口信息以及最后确认时间，Ｃ＆Ｃ服务器白名单存放ＩＲＣ聊天服务器的ＩＰ地址和端口信息以及最后确认时间，ＩＲＣ僵尸网络检测结果存放已检测出的ＩＲＣ僵尸主机ＩＰ地址、对应的Ｃ＆Ｃ服务器信息及检测时间；检测策略控制模块，对“被监控网络出口ＴＣＰ流量镜像”、“在线数据实时分析模块”、“离线基础数据提取模块”三者进行控制，其中，对“被监控网络出口ＴＣＰ流量镜像”的控制包括协议、ＩＰ地址范围、存储策略的控制；对“在线数据实时分析模块”的控制包括对周期度阈值和大小均值阈值的设置，对“离线基础数据提取模块”的控制包括对ＩＲＣ协议关键词的增加、删除、修改，所述周期度阈值的设置范围为０．５～０．８，大小均值阈值的设置范围为６０～９０字节。...

【技术特征摘要】

【专利技术属性】
技术研发人员：管晓宏，郑庆华，马小博，陶敬，赵双，刘璐，李剑锋，
申请(专利权)人：西安交通大学，
类型：发明
国别省市：87