基于IRC協(xié)議的網(wǎng)絡(luò)流量檢測方法研究與實現(xiàn).pdf

1、IRC協(xié)議(Internet Relay Chat)是一種基于Internet的通信協(xié)議，稱為互聯(lián)網(wǎng)中繼聊天協(xié)議。是由芬蘭人Jarkko Oikarinen于1988年設(shè)計的基于C/S結(jié)構(gòu)的一種網(wǎng)絡(luò)聊天協(xié)議。目前互聯(lián)網(wǎng)上越來越多的用戶(國外)通過IRC協(xié)議進行實時在線交流。由于基于IRC協(xié)議的惡意樣本程序的出現(xiàn)，使越來越多具有弱點的主機感染此類基于IRC協(xié)議的惡意程序(Bot)，從而形成一個被惡意控制者所“指揮”的強大的C/S惡意網(wǎng)絡(luò)(

2、BotNet)。這一類網(wǎng)絡(luò)具有特殊的結(jié)構(gòu)，從它的形成、組織、破壞力度來看，其危害程度不小于任何一種網(wǎng)絡(luò)的威脅?；贗RC協(xié)議的BotNet主要的危害是發(fā)動分布式拒絕服務(wù)攻擊DDOS、發(fā)送大量的垃圾郵件、破壞IRC聊天網(wǎng)絡(luò)以及竊取敏感信息等。 本文根據(jù)IRC協(xié)議的結(jié)構(gòu)特點、基于IRC協(xié)議的BotNet的工作機制，選取了一種Bot樣本(mIRCStorm)展開對基于IRC協(xié)議的控制網(wǎng)絡(luò)(BotNet)檢測方法的研究。
　　 本文的工

3、作主要包括以下幾個方面:
　　 ①介紹IRC協(xié)議基本組件以及結(jié)構(gòu)、各組件之間的消息傳遞機制、IRC頻道管理機制以及服務(wù)端和客戶端的協(xié)議。
　　 ②分析基于IRC協(xié)議的惡意網(wǎng)絡(luò)(BotNet)結(jié)構(gòu)以及原理。
　　 ③構(gòu)建仿真實驗環(huán)境，在環(huán)境中模擬惡意程序感染過程，分析目前基于IRC協(xié)議的惡意網(wǎng)絡(luò)的檢測方法。
　　 ④根據(jù)IRC協(xié)議的結(jié)構(gòu)以及通信特點，提出一種基于IRC協(xié)議網(wǎng)絡(luò)的流量檢測方法，同時與其他檢測方

4、法進行比較。
　　 ⑤選取一種Bot程序樣本(mIRCStorm)作為樣本，在局域網(wǎng)內(nèi)搭建基于IRC協(xié)議BotNet的仿真平臺，通過平臺驗證本文檢測方法的可行性。
　　 本文的檢測方法本質(zhì)上是基于流量的檢測方法，通過在局域網(wǎng)仿真環(huán)境中進行檢測方法的實驗，實驗結(jié)果驗證了此方法的可行性。本文檢測方法可以作為目前其他基于IRC協(xié)議的BotNet結(jié)構(gòu)的檢測方法參考，如Agobot、GTbot等等。同時此檢測方法的最終結(jié)果是溯源的