[发明专利]僵尸网络的检测方法、装置及检测系统

权利要求书

1.一种僵尸网络的检测方法，其特征在于，包括：

获取网络流量中部分或全部互联网中继聊天IRC通信频道的报文；

查找所述获取的各个IRC通信频道的报文包含的异常关键字；

分别统计对应各个IRC通信频道查找出的所述异常关键字的数量，将在设定时长内统计出的异常关键字的数量超过设定阈值的IRC通信频道，确定为疑似IRC僵尸网络频道；

验证所述疑似IRC僵尸网络频道是否为IRC僵尸网络频道。

2.根据权利要求1所述的方法，其特征在于，所述查找所述获取的各个IRC通信频道的报文包含的异常关键字，包括：

采用模式配置的方式，查找所述获取的各个IRC通信频道的报文包含的异常关键字。

3.根据权利要求1或2所述的方法，其特征在于，所述验证所述疑似IRC僵尸网络频道是否为IRC僵尸网络频道，包括：

登录到所述疑似IRC僵尸网络频道；

监测所述疑似IRC僵尸网络频道的行为模式，根据监测到的所述行为模式，验证所述疑似IRC僵尸网络频道是否为IRC僵尸网络频道。

4.根据权利要求3所述的方法，其特征在于，

所述监测所述疑似IRC僵尸网络频道的行为模式，根据监测到的所述行为模式，验证所述疑似IRC僵尸网络频道是否为IRC僵尸网络频道，包括：

获取所述疑似IRC僵尸网络频道的聊天列表；

计算聊天列表中记录的用户昵称的相似度；

若计算出的所述相似度大于设定的阈值，确定所述疑似IRC僵尸网络频道为IRC僵尸网络频道。

5.根据权利要求3所述的方法，其特征在于，

所述监测所述疑似IRC僵尸网络频道的行为模式，根据监测到的所述行为模式，验证所述疑似IRC僵尸网络频道是否为IRC僵尸网络频道，包括：

在所述疑似IRC僵尸网络频道发布查询指令；

监测在设定的时长内是否接收到所述查询指令的正常响应；

若否，确定所述疑似IRC僵尸网络频道为IRC僵尸网络频道。

6.根据权利要求3所述的方法，其特征在于，

所述监测所述疑似IRC僵尸网络频道的行为模式，根据监测到的所述行为模式，验证所述疑似IRC僵尸网络频道是否为IRC僵尸网络频道，包括：

监测所述疑似IRC僵尸网络频道的在线用户的聊天状态；

若监测到超过设定比例的在线用户在设定时长内都处于静默状态，确定所述疑似IRC僵尸网络频道为IRC僵尸网络频道。

7.一种僵尸网络的检测装置，其特征在于，包括：

获取模块，用于获取网络流量中部分或全部IRC通信频道的报文；

查找模块，用于查找所述获取模块获取的各个IRC通信频道的报文包含的异常关键字；

统计确定模块，用于分别统计所述查找模块对应各个IRC通信频道查找出的所述异常关键字的数量，将在设定时长内统计出的异常关键字的数量超过设定阈值的IRC通信频道，确定为疑似IRC僵尸网络频道；

验证模块，用于验证所述统计确定模块确定的所述疑似IRC僵尸网络频道是否为IRC僵尸网络频道。

8.根据权利要求7所述装置，其特征在于，所述验证模块包括：

频道登录模块，用于登录到所述疑似IRC僵尸网络频道；

监测验证模块，用于监测所述疑似IRC僵尸网络频道的行为模式，根据监测到的所述行为模式，验证所述疑似IRC僵尸网络频道是否为僵尸网络频道。

9.根据权利要求8所述装置，其特征在于，所述监测验证模块包括：

获取子模块，用于获取所述疑似IRC僵尸网络频道的聊天列表；

计算子模块，用于计算聊天列表中记录的用户昵称的相似度；

第一确定子模块，用于在所述计算子模块计算出的所述相似度大于设定的阈值时，确定所述疑似IRC僵尸网络频道为IRC僵尸网络频道。