基于IRC協(xié)議的網(wǎng)絡(luò)流量檢測(cè)方法研究與實(shí)現(xiàn).pdf

1、IRC協(xié)議(Internet Relay Chat)是一種基于Internet的通信協(xié)議，稱為互聯(lián)網(wǎng)中繼聊天協(xié)議。是由芬蘭人Jarkko Oikarinen于1988年設(shè)計(jì)的基于C/S結(jié)構(gòu)的一種網(wǎng)絡(luò)聊天協(xié)議。目前互聯(lián)網(wǎng)上越來(lái)越多的用戶(國(guó)外)通過(guò)IRC協(xié)議進(jìn)行實(shí)時(shí)在線交流。由于基于IRC協(xié)議的惡意樣本程序的出現(xiàn)，使越來(lái)越多具有弱點(diǎn)的主機(jī)感染此類基于IRC協(xié)議的惡意程序(Bot)，從而形成一個(gè)被惡意控制者所“指揮”的強(qiáng)大的C/S惡意網(wǎng)絡(luò)(

2、BotNet)。這一類網(wǎng)絡(luò)具有特殊的結(jié)構(gòu)，從它的形成、組織、破壞力度來(lái)看，其危害程度不小于任何一種網(wǎng)絡(luò)的威脅?；贗RC協(xié)議的BotNet主要的危害是發(fā)動(dòng)分布式拒絕服務(wù)攻擊DDOS、發(fā)送大量的垃圾郵件、破壞IRC聊天網(wǎng)絡(luò)以及竊取敏感信息等。 本文根據(jù)IRC協(xié)議的結(jié)構(gòu)特點(diǎn)、基于IRC協(xié)議的BotNet的工作機(jī)制，選取了一種Bot樣本(mIRCStorm)展開(kāi)對(duì)基于IRC協(xié)議的控制網(wǎng)絡(luò)(BotNet)檢測(cè)方法的研究。
　　 本文的工

3、作主要包括以下幾個(gè)方面:
　　 ①介紹IRC協(xié)議基本組件以及結(jié)構(gòu)、各組件之間的消息傳遞機(jī)制、IRC頻道管理機(jī)制以及服務(wù)端和客戶端的協(xié)議。
　　 ②分析基于IRC協(xié)議的惡意網(wǎng)絡(luò)(BotNet)結(jié)構(gòu)以及原理。
　　 ③構(gòu)建仿真實(shí)驗(yàn)環(huán)境，在環(huán)境中模擬惡意程序感染過(guò)程，分析目前基于IRC協(xié)議的惡意網(wǎng)絡(luò)的檢測(cè)方法。
　　 ④根據(jù)IRC協(xié)議的結(jié)構(gòu)以及通信特點(diǎn)，提出一種基于IRC協(xié)議網(wǎng)絡(luò)的流量檢測(cè)方法，同時(shí)與其他檢測(cè)方

4、法進(jìn)行比較。
　　 ⑤選取一種Bot程序樣本(mIRCStorm)作為樣本，在局域網(wǎng)內(nèi)搭建基于IRC協(xié)議BotNet的仿真平臺(tái)，通過(guò)平臺(tái)驗(yàn)證本文檢測(cè)方法的可行性。
　　 本文的檢測(cè)方法本質(zhì)上是基于流量的檢測(cè)方法，通過(guò)在局域網(wǎng)仿真環(huán)境中進(jìn)行檢測(cè)方法的實(shí)驗(yàn)，實(shí)驗(yàn)結(jié)果驗(yàn)證了此方法的可行性。本文檢測(cè)方法可以作為目前其他基于IRC協(xié)議的BotNet結(jié)構(gòu)的檢測(cè)方法參考，如Agobot、GTbot等等。同時(shí)此檢測(cè)方法的最終結(jié)果是溯源的