第8卷第2期 智能系统学报 Vol.8 No.2 2013年4月 CAAI Transactions on Intelligent Systems Apr.2013 D0I:10.3969/i.issn.16734785.201210055 网络出版t地址：htp://www.cnki.net/kcma/detail/23.1538.TP.20130409.1436.002.html 基于神经网络的僵尸网络检测 蒋鸿玲，邵秀丽 (南开大学信息技术科学学院，天津300071) 摘要：目前主流的僵尸网络检测方法主要利用网络流量分析技术，这往往需要数据包的内部信息，或者依赖于外 部系统提供的信息或僵尸主机的恶意行为，并且大多数方法不能自动存储僵尸网络的流量特征，不具有联想记忆功 能.为此提出了一种基于BP神经网络的僵尸网络检测方法，通过大量的僵尸网络和正常流量样本训练BP神经网络 分类器，使其学会辨认僵尸网络的流量，自动记忆僵尸流量特征，从而有效检测出被感染的主机.该神经网络分类器 以主机对为分析对象，提取2个主机间通信的流量特征，将主机对的特征向量作为输入，有效地区分出正常主机和 僵尸主机.实验表明，该方法的检测率达到99%，误报率在1%以下，具有良好的性能， 关键词：僵尸网络；BP神经网络：特征向量：网络流量：检测算法 中图分类号：TP393文献标志码：A文章编号：16734785(2013)02011306 Botnet detection algorithm based on neural network JIANG Hongling,SHAO Xiuli (College of Information Technical Science,Nankai University,Tianjin 300071,China) Abstract:The most current botnet detection algorithm are typically based on network traffic analyzing technologies that usually need packet payload.The botnet detection algorithm also relies on information obtained by external sys- tems or malicious behaviors of bots that do not automatically store the features of botnet traffic and do not have the ability of associative memory.As a result,this paper proposes a botnet detection algorithm based on BP neural net- work which trains the BP neural network classifier through a lot of botnet and normal traffic samples and allows it to learn how to identify botnet traffic and automatically remember the features of botnet traffic and therefore,detect the infected hosts effectively.The neural network classifier takes the host-pairs as analysis objects,extracts the traffic features of communications between two hosts and takes the feature vectors of host-pairs as input,thus,effectively distinguishing the normal hosts and bots.The experimental results show that the detection rate of our algorithm can achieve to 99%and the false positive rate is below 1%and the algorithm has a good performance. Keywords:botnet;BP neural network;feature vector;network traffic;detection algorithm 近年来，僵尸网络的快速发展使因特网面临严 目前主流的僵尸网络检测方法是通过分析网络 重的安全威胁.僵尸网络是攻击者(botmaster)通过流量来检测.文献[3]通过呢称检测IRC僵尸网络； 传播僵尸程序控制大量主机，通过命令与控制信道 文献[4]通过PageRank算法计算主机级别，再根据 (command and control,.C&C)与僵尸主机通信并发 已知的僵尸网络信息进行检测；文献[5]通过网络 布命令[山.攻击者利用僵尸网络可发起多种攻击， 通信图识别P2P网络，再利用外部系统提供的信息 如分布式拒绝服务攻击、垃圾邮件、信息窃取等2]. 区分合法P2P网络与2P僵尸网络；文献[6-7]通 过识别僵尸主机的恶意行为检测僵尸网络.这些僵 收稿日期：2012-10-26.网络出版日期：20130409 尸网络检测方法或者需要数据包的内部信息，无法 基金项目：国家科技支撑计划基金资助项目(2012BAF12B00);天津 检测加密的僵尸网络；或者依赖外部系统提供信息， 市重点基金资助项目(11 jezdje28100). 通信作者：邵秀丽.E-mail:shaoxl@nankai.edu.cm. 不能独立进行检测；或者依赖僵尸主机的恶意行为