题目：基于异常行为特征的僵尸网络检测方法研究

僵尸网络(Botnet)是攻击者利用互联网秘密建立的可以集中控制的计算机群，并由此可以进行大范围的分布式拒绝服务攻击、发送垃圾邮件、网络仿冒等。快速有效的检测到僵尸网络，可以预防控制相关网络事件。但由于被控制计算机的覆盖面广、类型复杂多样，这为僵尸网络的检测提出了挑战。如何快速准确的检测出僵尸网络成为该领域的重要研究方向。
本文剖析了基于IRC协议僵尸网络的功能结构、工作机制及目前常见的几种僵尸网络检测算法的优缺点，从僵尸频道下主机对控制者的异常行为反应这一特点出发，提出一种基于异常行为特征的僵尸频道检测算法。设计实现了基于IRC僵尸网络异常行为特征的检测原型系统，并通过实验验证了该算法的有效性。本文的主要工作包括：
(1) 分析了僵尸网络传统的检测算法及其优缺点，提出了基于僵尸网络异常行为特征的检测框架。
(2) 将编译的僵尸程序植入到虚拟主机中，利用IRCd源码包构建的IRC服务器搭建了僵尸网络运行环境，并对僵尸频道下僵尸控制者的攻击行为进行了模拟分析，找出IRC僵尸频道和正常IRC聊天频道下主机响应的不同点。
(3) 提出基于异常行为特征的僵尸网络检测算法，主要思想是：将连接到相同IRC Server的主机进行分组，定义相同组中主机的消息和行为响应为一个响应集，某个响应集中响应超过一个预先设定阀值，则断定该响应集密集。通过TRW假设检验算法对每个时间窗口的响应集的密集度进行分析最后判断当前频道是否为僵尸频道。
(4) 针对本文算法设计实现了基于IRC僵尸网络异常行为特征的检测原型系统，分别针对正常IRC频道和植入了Bot的IRC频道两个方面进行了实验分析，验证了本文算法和框架的有效性。