主動P2P蠕蟲的檢測與防御技術研究.pdf

1、當前，P2P網絡的流量已超過互聯網帶寬的60%，由此帶來的安全隱患也與日俱增。主動P2P 蠕蟲可以通過各種安全漏洞在P2P網絡中傳播，它通過獲取感染節(jié)點的鄰居信息，對部分或全部鄰居發(fā)起直接攻擊。與隨機掃描蠕蟲相比，它不需要通過隨機生成IP地址進行嗅探以發(fā)現目標，也不會產生大量的失敗連接，因而傳播更快更隱蔽，更難以檢測和防御。主動P2P蠕蟲已成為制約P2P網絡應用發(fā)展的嚴重安全威脅之一。
　　 構建了主動P2P蠕蟲傳播的離散遞歸模

2、型（P2P Worm Discrete Recursive Model，PWDRM）。主動P2P 蠕蟲的傳播是一種動態(tài)過程，在每個離散的時刻分析節(jié)點的狀態(tài)和行為，歸納相鄰時刻感染節(jié)點數量之間的關系，從而構建起遞歸數學模型。該模型引入P2P網絡規(guī)模、節(jié)點在線概率、節(jié)點感染概率和節(jié)點拓撲度等P2P網絡參數，以及攻擊速率和hit-list規(guī)模等蠕蟲參數。特別考慮了拓撲類型、節(jié)點平均拓撲度、無結構P2P網絡的冪律指數、感染策略、hit-list

3、拓撲度、鄰居節(jié)點選擇策略等對主動P2P蠕蟲傳播的影響。仿真表明該模型能有效描述主動P2P蠕蟲在無結構P2P網絡和結構化P2P網絡中的傳播現象，比現有的拓撲型傳染病微分模型更能真實反映主動P2P蠕蟲的傳播。
　　 提出了基于網絡、利用應用層知識的主動P2P 蠕蟲檢測方法。1）基于連接變化點的檢測方法（Connection Change-point based Detection，CCD）。使用隨機序列表示擁有不同“源-目”對的連接

4、總數，應用序列變化檢測理論對數據流進行統(tǒng)計檢測。2）基于異常多播特征的檢測方法（Abnormal Multicast based Detection，AMD）。構建主動P2P蠕蟲的多播樹，將它的傳播視為泊松過程，并檢測其可能出現的異常多播現象以發(fā)現蠕蟲。另外，該方法還可通過阻塞感染節(jié)點的蠕蟲多播行為，實現對主動P2P蠕蟲的防御。仿真表明上述方法能夠在較短的時間內發(fā)現主動P2P 蠕蟲，并遏制它的傳播。
　　 提出了主動P2P蠕蟲的

5、防御策略、防御方法，以及防御系統(tǒng)框架。1）選擇性靜態(tài)免疫方法（Selective Static Immunization，SSI）。通過對部分節(jié)點實施靜態(tài)免疫，以減緩或遏制主動P2P 蠕蟲的傳播速度。2）基于關鍵節(jié)點的本地隔離方法（Key Nodebased Local Containment，KNLC）。利用多層k 路分區(qū)算法將P2P網絡劃分為大小基本相同的若干區(qū)域，通過對關鍵（蠕蟲在不同區(qū)域之間傳播必須經過的）節(jié)點進行免疫，蠕蟲的傳

6、播將被限制在這些區(qū)域內，從而實現了與其它區(qū)域的隔離。另外，關鍵節(jié)點選擇算法還可以作為選擇性靜態(tài)免疫節(jié)點的依據。3）基于連通控制集的動態(tài)免疫方法（Connected Dominating Set based Dynamic Imunization，CDSDI）。構建P2P網絡的連通控制集，將疫苗推送至其中部分節(jié)點，在P2P網絡中快速分發(fā)。仿真表明：
　　 通過采取合適的節(jié)點選擇策略，SSI對于無結構P2P網絡相當有效；KNLC和C