基于组特征过滤器的僵尸主机检测方法的研究.pdfVIP

第3l卷第2期 通信学报 Vbl．3lNo．2 JournalOil 2010 2010年2月 Communications February 基于组特征过滤器的僵尸主机检测方法的研究 王劲松1,2，刘帆1,2张健3 (1．天津理工大学计算机视觉与系统省部共建教育部重点实验室，天津300191； 2．天津理工大学智能计算及软件新技术天津市重点实验室，天津300191；3．国家计算机病毒应急处理中心，天津300457) 摘要：提出了一种基于组特征过滤器的检测方法，使用多个成员特征对内网主机数据分组进行过滤，以O(tmn) 的空间开销为代价，应对短特征串和特征串的分组分散『“J题，并能与传统的特征匹配算法相兼容。模拟实验证明 了该检测算法的正确性和有效性。 关键词：网络安全；僵尸检测；组特征；DPI：P2P 中图分类号：TP393．1 文献标识码：A on filter Botnet methodbased detecting group-signature wANG Fanl”，ZHANGJio Jin．son91”，LIU (1．KeyLaboratoryofComputerVisionandSystem，Ministry 300191，China； 2．TianjinKeyLabofIntelligentComputing＆Novel 3．National Vhus EmergencyResponseCenter,Tianjin300457，China) Computer Abstract：Abotnet methodwas basedon forthetraditional filter,suitable detecting presentedgroup—signature signatures member tOfilterthe ofhostsfrom methodis Intranet，the matchingalgorithm．Usingmultiple signatures packets proposed tohandle and ata simulated the able theshortenedscattered of signaturesspaceexpenseO(tmn)．The experimentproves of correctnessand the method． validitydetecting Keywords：network security；botnetdetection；groupsignature；DPI；P2P