里希 swMATH ID: 21756 软件作者: J.戈贝尔、T.霍尔茨。 描述: Rishi:通过irc昵称评估识别受bot污染的主机。在本文中,我们描述了一种简单而有效的方法,用于检测给定网络中受僵尸感染的机器,该方法依赖于检测机器人与指挥控制服务器(C&C服务器)之间的通信通道。提出的技术主要基于被动监测网络流量,以发现不寻常或可疑的IRC昵称、IRC服务器和不寻常的服务器端口。通过使用n-gram分析和评分系统,我们能够检测到使用不常见通信通道的机器人,而经典入侵检测系统通常无法检测到这些通道。检测到后,可以确定C&C服务器的IP地址,以及机器人加入的通道和设置的其他参数。Rishi软件实现了上述功能,能够自动生成警告电子邮件,向管理员报告受感染的机器。在亚琛RWTH大学的10GBit网络中,我们在两周内检测到82台感染僵尸的机器,其中一些使用其他入侵检测系统未检测到的通信通道。 主页: https://dl.acm.org/citation.cfm?id=1323128.1323136 相关软件: BotMiner公司;EMD公司;BotGraph(机器人程序图);BotSniffer程序;博特亨特;底部赛车手 引用于: 1文件 3位作者引用 1 权钟焕 1 Lee,Heejo先生 1 李杰云 0连载引用 在2个字段中引用 1 计算机科学(68至XX) 1 信息与通信理论、电路(94-XX) 按年份列出的引文