1.一種基于NICKNAME關聯規則挖掘的IRC僵尸網絡檢測方法，其特征在于，包括以下步驟：

步驟1：在honeywall上對進出honeynet的所有流量進行實時分析，從中獲取IRC協議的NICK字段的內容，即為IRC僵尸主機的NICKNAME樣本，并存入IRC?NICKNAME樣本庫；

步驟2：將NICKNAME按照多個項目進行分解，確定項目信息，其中所述多個項目包括國家、操作系統、分隔符、隨機數；

步驟3：從所有的IRC?NICKNAME樣本即交易數據集中找出所有的高頻項集，所述高頻是指某一項集出現的頻率相對于所有交易而言，達到預定水平；

步驟4：從步驟3生成的高頻項集中產生關聯規則，每一個規則都有一個信賴度，若某一規則所求得的信賴度大于等于預先設定的最小信賴度，則稱此規則為NICKNAME關聯規則；

步驟5：將生成的NICKNAME關聯規則實時加入到部署在網絡出口處的入侵檢測系統IDS特征庫中，如果所檢測的數據包內容中含有與關聯規則匹配的內容，則判定會話內容發起方為IRC僵尸主機，對端為C&C服務器，否則為正常流量。

2.根據權利要求1所述的方法，其特征在于，所述步驟1中，利用正則表達式“.*NICK(？<any>.*)/n”，從流量中獲取IRC協議的NICK字段內容，作為IRC僵尸主機的NICKNAME樣本，所述IRC?NICKNAME樣本庫的表結構為<TIME，honeypotIP，NICKNAME>。

3.根據權利要求1所述的系統，所述最小信賴度由用戶自行設定。