具体实现是这样的：

　　P(ti|A1) i=1,2,3,4,5,6为该服务器为Botnet服务器的事件发生时，即已知为Botnet服务器时存在ti属性的概率，计算方法为(A1是Botnet服务器这个事件的发生):

　　P(ti|A1)=存在ti的Botnet服务器数/总的Botnet服务器数；
　　P(ti|A2) i=1,2,3,4,5,6 为该服务器不是Botnet服务器的事件发生时，即已知该服务器为正常IRC服务器时存在ti属性的概率，计算方法为(A2为不是Botnet服务器的事件发生时)：
　　P(ti|A2)=存在ti属性的正常样本的服务器数/总的正常服务器数；
　　根据贝叶斯公式：
　　P(A1|ti)= P(ti|A1)*P(A1)/[P(ti|A1)*P(A1)+P(ti|A2)*P(A2)]
　　假定先验概率P(A1)=P(A2)=50%，这样就可以计算出P(A1|ti)，就形成了判断列表。当给定一个服务器地址后，根据获取的属性特征，得到可判断的概率，公式为：
　　P(A|t)=P1*P2*P3….*Pn/P1*P2*P3…Pn+(1-P1)(1-P2)(1-P3)*…(1-Pn)
　　其中Pi=P(A1|ti)。

　　系统优缺点分析

　　系统具备如下优点。
　　第一，从网关数据出发，直接找到用于Botnet控制的核心服务器。在一个网关中有着大量的基于IRC协议的通信信息，可以为我们提供很好的IRC Server地址，通过上面的识别判断方法可以对这些Server地址进行过滤，将Botnet Server从这些信息中挑选出来。

　　第二，判断方法明确简单，误报率低。这些用来判断的属性都是从真正的在网络中存在的Botnet样本中挑选出来的，所以比较直接明了，可以很快将具有这些属性的Server与普通的IRC Server区分开来。

　　第三，具有可扩展性，可以不断地通过添加用来判断的属性和样本数量，不断提高判断的准确性。随着对IRC协议的深入分析，以及对Botnet特征的全面理解，可以加强判断的条件，使系统由可判断有较明显差别的Botnet Server到细致地区分有较小差别的Botnet。

　　但是，系统还存在如下局限性。
　　第一，漏报率比较高。Botnet服务器按照生成的形式粗略地分为两类：一类是依托大的IRC Servers，在这样的服务器上建立恶意频道，以便形成可控的Botnet。这种Botnet的优势是规模庞大，攻击力强，同时还可以节省自身的资源，但被发现的几率也比较大，而且一旦被发现，Botnet就会被IRC Server的系统管理员所控制，损失严重。另外一类Botnet是独自建立的IRC Server，由黑客自己控制，这种Botnet规模虽然小，但容易控制，随时可以隐藏自身，并且有着很好的可迁移性。

　　对于第一类Botnet，本系统目前存在较大误差，还需要获得Botnet更详细的登录信息，做进一步的判断，才能够得出更好的识别效果。

　　第二，该系统的检测对象是针对IRC协议的Botnet，也可以扩展到基于这种集中控制的Botnet。但是对于目前已经存在的基于P2P结构的Botnet，由于不存在核心控制的服务器，无法利用本识别系统进行判别。

　　任何一种检测方法都不是万能的，比较有效的方法是将几种各有所长的方法集中起来，形成一个整体，这样才能够最大限度地提高判断的准确性。我们下一步的工作就是着重解决对依托合法的IRC Server建立的Botnet的判断，同时研究逐渐发展起来的基于P2P结构的Botnet，找到行之有效的判断方法。