| 摘要 |
一种僵屍网路侦测系统,其包括:一突发流量特征萃取器,接收一侦测对象网路中一网际网路中继聊天(IRC)封包的栏位值,并据以计算一突发流量特征值;一模型参数估算器,依据该突发流量特征值,决定混合隐藏式马可夫模型(Hybrid Hidden Markov Model,HHMM)所需之机率参数值;一模型产生器,依据该机率参数值,并配合预先定义的网路行为状态类别,建立混合隐藏式马可夫模型之机率时序模型;及一可疑状态侦测器,当接收到一新的IRC封包,并由突发流量特征萃取器据以产生突发流量特征值之后,该可疑状态侦测器将该突发流量特征值输入该混合隐藏式马可夫模型之机率时序模型中,据以判断该侦测对象网路的中继聊天流量状态是否为可疑流量状态,若是,则产生相对的警告讯息。 |
