基于節點行為的主動P2P 蠕蟲檢測

朱 暉，李偉華，史豪斌

西北工業大學 計算機學院，西安710129

隨著P2P 技術的發展和基于P2P 應用的日漸增多，P2P流量已經占據互聯網流量的70%，網絡蠕蟲找到了一種新的傳播途徑，得以相較于以往的傳統網絡蠕蟲更為快速和隱蔽地傳播。Zhou等[1]正式提出P2P 蠕蟲為通過發掘漏洞，利用P2P 網絡拓撲及其性質進行自主擴散的蠕蟲。并且指出，利用P2P 網絡拓撲進行傳播的P2P 蠕蟲免去了在網絡上大規模隨機掃描的過程，因此攻擊流量能夠方便地隱藏于P2P 流量中，使得傳播更加隱蔽，攻擊更加精確和高效，目前絕大多數針對掃描型蠕蟲的防御機制都難以有效控制這種新型蠕蟲。由于P2P 協議著重于性能，而相對忽視了對P2P 網絡的管理，以及P2P 軟件的多樣性，所以協議或者軟件的安全漏洞難以避免。一旦有漏洞被別有用心的黑客利用，數千萬的P2P 用戶主機安全將受到嚴重威脅，因此針對P2P 蠕蟲傳播檢測和遏制的研究迫在眉睫。

1 相關研究

1.1 P2P 蠕蟲分類

按照傳播方式P2P 蠕蟲一般分為三類[2]：主動型P2P 蠕蟲（Proactive P2P Worm）、反應型P2P 蠕蟲（Reactive P2P Worm）和被動型P2P 蠕蟲（Passive P2P Worm）。主動型和反應型P2P 蠕蟲都是利用P2P 協議或者P2P 客戶端的漏洞主動攻擊對等機的方式進行傳播。兩者的區別在于：主動型P2P 蠕蟲會通過P2P 協議主動獲取大量的節點信息表，并主動攻擊這些節點；而反應型P2P蠕蟲當且僅當受感染主機與對等機有正常連接時候才進行傳播，這樣蠕蟲流量隱藏于正常的P2P 數據流中，隱蔽性較好，但是傳播速度比主動型P2P 蠕蟲稍慢。被動型P2P 蠕蟲將自己偽裝成當前流行的資源，誘使用戶下載并執行，與傳統的蠕蟲傳播方式有較大的區別，更類似于一種社會工程學攻擊。其傳播依賴于用戶主動下載，所以傳播速度相對上兩種蠕蟲最慢，也沒有任何異常的網絡流量，最難在其傳播階段被檢測到。

1.2 蠕蟲傳播模型

理想的蠕蟲傳播模型可以為監控蠕蟲傳播，進而限制、消滅蠕蟲提供一個有力的參考。在長期的研究中發現，網絡蠕蟲的擴散與生物學病毒的擴散有許多相似之處，由于對后者的研究相對成熟，所以很多網絡蠕蟲傳播模型借鑒于生物學傳播模型，如SI（Susceptible-Infection）模 型、SIS（Susceptible-Infection-Susceptible）[3]模 型、SIR（Susceptible-Infection-Removed）模型、雙因素（Two Factor）模型[4]等等。

以上蠕蟲傳播模型主要適用于Internet 上的普通蠕蟲傳播。對于P2P 網絡上的蠕蟲傳播有人基于雙因素模型并結合P2P 網絡的特性，提出了四因素（Four Factor）[5]模型，總結了影響主動P2P 蠕蟲傳播的4 個因素：首先是用戶和ISP 采取的蠕蟲對抗措施；其次是P2P 網絡拓撲結構；再次是網絡中節點配置的差異程度；最后是攻防策略。

1.3 現有的P2P 蠕蟲檢測方法

基于蠕蟲特征碼的檢測技術是根據蠕蟲在傳播時發出大量相似報文，將這些相似的數據作為特征碼。

基于用戶正常網絡行為的分析[6]是通過對用戶網絡行為的學習建立用戶的習慣列表，將未知的通信行為作為蠕蟲傳播的依據。

基于連接變化點的檢測方法CCD（Connection Changepoint based Detection）[7]通過監測P2P 節點的入站或者出站連接數，認為突然的連接數變化可能代表著潛在的蠕蟲活動。

縱觀以上這些方法，發現基于特征碼的檢測技術對已知并提取特征碼的蠕蟲傳播的檢測比較有效，對于未知的蠕蟲無能為力。基于用戶正常網絡行為的分析檢測方法，因為用戶網絡行為具有不確定性，所以此方法誤報率較高。CCD 檢測方法只檢測節點的入站和出站連接，對節點行為的刻畫稍顯粗略，導致難以在檢測率和檢測速度以及漏檢率上同時達到相對優秀的結果。而且CCD 檢測對整個網絡的全局連接進行統計，檢測時計算壓力完全由幾個主要的服務器或者網絡上的路由器負擔，與P2P 網絡分散式的處理信息管理網絡的初衷相背。由此在以上分析的基礎上，提出一種基于節點行為的主動P2P 蠕蟲檢測方法。

2 基于節點行為的主動P2P 蠕蟲檢測方法PBD

2.1 節點行為分析

主動P2P 蠕蟲不需要大規模的掃描網絡，僅利用P2P網絡即可向鄰居節點實施攻擊，目標是用最快的傳播速度感染所有的易感節點。所以它必然需要采取積極、貪婪的傳播算法，即首先在嘗試感染完鄰居節點之余，進一步擴充P2P 路由表信息，只有這樣最大化地利用被感染的節點的計算能力和網絡資源，主動P2P 蠕蟲才能更快速地傳播。因此，被感染的節點會向網絡中發送大量的資源搜索和聯系人查找信息，以獲取更多的P2P 節點信息，并實施攻擊。

主動P2P 蠕蟲在獲取到大量P2P 網絡節點信息并實施攻擊時，必然會導致出站連接的增加。而且這種連接與正常的資源請求連接不同，攻擊節點只需要與被攻擊節點建立短暫的連接，隨著攻擊的結束即斷開與目的節點的持續連接，即可完成一次攻擊嘗試。這種大量、短暫的出站連接是主動P2P 蠕蟲進行傳播的典型特征。

為了后面表述方便，現在對長連接以及短連接進行定義。

定義1（長連接LTL（Long-Time Link））P2P 網絡中兩節點之間，為了完成P2P 網絡預訂任務（如資源傳輸、任務分配等），所建立的長時間的連接。

定義2（短連接STL（Short-Time Link））除了LTL 以外的，P2P 網絡中兩節點之間的所有信息傳輸動作（包括未真正建立連接的協議）。其中又分為短出站連接STOL（Short-Time Outbound Link）和短入站連接STIL（Short-Time Inbound Link）。

基于以上分析，提出一種基于節點行為的主動P2P 蠕蟲檢測方法PBD。上文分析的資源搜索信息、聯系人查找信息和攻擊流量都屬于STOL，所以通過檢測STOL 的數量變化可以發現P2P 蠕蟲的傳播。對于STOL 數量變化問題，可以應用連續檢測問題的解決方法予以解決。連續監測問題是對于連續的觀測量，如果有一個變化發生后要盡快地把這種變化檢測出來。由于P2P 網絡中節點數量龐大，所以采用平均運行長度相對較短的CUSUM 算法[8]，檢測主動P2P 蠕蟲的傳播。

在對P2P 軟件的正常使用過程中，節點加入P2P 網絡、資源搜索、資源發布和聯系人查找請求所產生的連接都可以歸于STOL。通過對P2P 協議的分析，可知節點加入P2P網絡和資源發布為P2P 軟件自動或者長周期性地進行，只會小規模產生STOL，正常情況下下一次產生此類信息與上一次沒有任何關聯，所以不可能通過積累而產生誤報。資源搜索和聯系人查找請求是由用戶搜索或者開始下載資源所產生的，在用戶正常的使用情況下，也不會大量持續產生STOL，在之后的參數選擇中通過合理設置參數，也不會產生誤報。

2.2 檢測算法

首先，將時間劃分為長度相同的離散觀測窗口，表示為Δn ，n=1，2，…在第n 個觀測窗口觀測到的整個P2P 網絡上的短出站連接STOL 數量表示為一個隨機序列C={cn}n∈N。希望在E（C）變化的時刻，通過檢測隨機序列C的CUSUM 統計量得知這個變化，從而確定主動P2P 蠕蟲的傳播。

令x1，x2，…，xθ為獨立同分布N（0，1）變量，而xθ+1，xθ+2，…為獨立同分布N（δ，1）變量，其中變點θ位置，對一列給定觀測值xθ+1，xθ+2，…，xn，備擇假設θ=ν（ν＜n）對原假設θ=∞（無變點）的對數似然比統計量為：

因為，目標是檢測出P2P 節點短連接的異常增大，即已知是單向檢測問題，δ＞0，則對上述對數似然比統計量等價于下述統計量：

經過變換可以得到Zn的遞推公式[8]：

由于未知P2P 蠕蟲的攻擊強度、傳播能力是未知的，而且P2P 網絡也處于發展和變化之中，所以難以事先知道δ的取值。可以采用一個不定參數k 代替δ/2，從而得到更一般的CUSUM 統計量：

假設事先選定一個門限值h（h＞0），如果Zi≤h ，i=1，2，…，n，說明在到時刻n 為止的過程中沒有證據顯示P2P節點STOL 數量異常增多，檢測繼續。若Zi≤h（i=1，2，…，n-1），且Zn＞h，則表示檢測到P2P 節點STOL 數量異常增多，可能該節點已經被P2P 蠕蟲感染，并且正在向外界傳播蠕蟲。記τn為檢測到主動P2P 蠕蟲的運行時間：

2.3 參數選擇

主動P2P 蠕蟲攻擊檢測系統有三個關鍵的指標：第一個是誤報率；第二個是漏報率；第三個是檢測時間。這三者是相互矛盾的，不可能使三個指標同時達到最優，所以參數的選擇必須有所取舍。

CUSUM統計式（3）由兩個參數（h，k）決定，其中h稱為門限值（Decision Boundary），k稱為信念值（Reference Value）。選擇的標準是用平均運行長度ARL，在ARL0滿足設定要求的條件下選擇使ARL1盡可能小的（h，k）對。這里ARL0=E（τn|網絡處于受控狀態），ARL1=E（τn|網絡開始就處于蠕蟲傳播狀態），其中τn如式（4）所定義，為檢測到攻擊的時間。

首先，定義攻擊反應時間ρ如下：

其中τs為攻擊開始的時間。

對于參數k的選擇，Hawkins[9]研究指出，若要求CUSUM在受控狀態下的ARL0滿足一定的條件下而在某個δ處的ARL1達到最小，則應取k=E（C）+δ/2，但是實際難以真正準確知道某個主動P2P 蠕蟲的傳播對P2P 網絡的影響。若δ和k取值過小，則會導致過高的誤報率。因為P2P蠕蟲若不能在初期廣泛快速傳播，使得用戶有足夠的時間來應對，其難以對整個P2P 網絡造成大的破壞，所以一定的低速P2P蠕蟲的漏報是可以容許的。綜上所述，參數k 應該在ARL0滿足設定要求前提下，盡可能取值小一些，以期盡可能檢測出更多的主動P2P 蠕蟲活動。

在實驗中發現對于所有的節點設定相同的k 難以獲得滿意的結果。因為P2P 節點的網絡條件具有很大的差別，所以傳播蠕蟲的能力也有很大的差異性，導致傳播蠕蟲時偏移量δ也各不相同。根據不同的網絡條件和不同的鄰居節點數量的節點設置不同的偏移量，能更好地檢測到主動P2P 蠕蟲的傳播。

同時參數k 是由于蠕蟲傳播，導致E（C）向上偏移所得，可以記k為：

其中α為一個正數，稱為偏移率。

由于蠕蟲傳播所導致的均值偏移預期為δ，所以cn=E(C)+δ。

可以得知在蠕蟲的傳播階段，Zn-Zn-1即每輪檢測CUSUM 統計量的增量為αE（C）。門限值h 從邏輯上可以理解為是由每輪的CUSUM 統計量增量經過攻擊反應時間ρ所累積出的，因此門限值h 可以記為：

當攻擊反應時間ρ設定得小的時候，可能導致過高的誤判率；反之將攻擊反應時間設定過大又需要很長的時間才能檢測到蠕蟲的傳播。

最后，E（C）可以由實驗預先得知，并根據觀測到的結果實時進行修正。主動P2P 蠕蟲可能降低傳播速度，以躲避系統的檢測，但是系統觀測到的E（C）將不可避免地高于傳播前的狀態，所以E（C）的提高也可以作為一個系統檢測主動P2P蠕蟲的輔助因素。對于傳播速度較慢的P2P蠕蟲，也可以通過檢測E（C）的變化而得知。

3 主動P2P 蠕蟲檢測系統PPWDS

P2P 網絡由不同的信息處理能力、貢獻率和網絡帶寬的節點組成，將信息處理能力強、貢獻率高以及網絡帶寬大的節點稱為超級節點。超級節點不僅是P2P 網絡正常運轉的基礎，在受到主動P2P 蠕蟲攻擊時，它們的安全也是能否遏制主動P2P 蠕蟲快速傳播的關鍵。因此，為了既能充分利用超級節點的處理能力，又能重點保護超級節點的安全，提出了PPWDS。

3.1 PPWDS 系統結構

圖1 主動P2P 蠕蟲檢測系統

如圖1 所示，PPWDS 分為兩層：（1）基本P2P 層BPL（Base P2P Layer），即設計要保護的P2P 層。本層的節點根據二元組（IP，Port）對每個節點進行編號，而且系統將阻止相同的IP 地址以不同的端口號加入網絡，這樣每個節點都可以得到一個惟一的編號。（2）上層P2P 層TPL（Top P2P Layer），是由底層P2P 網絡超級節點組成的新的結構化P2P網絡，組織方法可以采用Pastry、CAN、Chord 等。BPL 節點根據自身在BPL 的位置，從屬于多個附近的超級節點，即TPL 節點，這樣不僅可以抵抗TPL 節點正常或者不正常的離線，還能防止某一個TPL 節點被蠕蟲感染，偽造以及隱匿整個下層網絡的信息。

3.2 PPWDS 處理流程

PPWDS 對流量數據的處理分為以下4 步：

（1）BPL 節點收集自身節點的網絡信息，包括節點自身的長連接和短入站連接、短出站連接的連接對象編號和連接數量等。

（2）BPL 節點將收集的節點信息直接或者通過其他節點上傳給上級的TPL 節點。TPL 節點根據得到的信息執行檢測算法，檢測是否有節點正在傳播主動P2P 蠕蟲。

（3）TPL 節點收到BPL 節點信息并執行檢測后，首先將信息共享到附近的TPL節點，防止自身突然離線造成的損失，其次還要將信息共享到連接對象所屬的上層TPL 節點，目的在于防止感染P2P蠕蟲的節點偽造或者隱匿自身信息。

（4）TPL 根據檢測結果，對出現異常的BPL 節點直接或者間接進行處理。

4 實驗驗證

利用P2P 仿真工具PeerSim 對P2P 網絡進行模擬，在此基礎上對PBD 檢測主動P2P 蠕蟲進行了一系列的實驗。任取一個P2P 節點作為蠕蟲傳播起點，并對各種不同的參數各進行了50 次模擬實驗。

圖2 是α和ρ分別取3、4、5 的蠕蟲傳播以及PBD 的檢測結果。根據文獻[10]所測量的KAD 網絡，設定α=4 時，經過實驗系統沒有產生過誤報，可以使得ARL0達到預定的要求。檢測系統PBD 平均經過三個時間間隔第一次檢測到蠕蟲的傳播，此時P2P 網絡的感染率在3%～10%，滿足。但是可以明顯看出，在一段時間后，PBD 檢測時延明顯變大。原因在于設定節點擁有的鄰居越少，傳播蠕蟲的速度越慢，所以此類節點傳播蠕蟲時的偏移率要明顯小于擁有大量鄰居的節點，需要相對更長的時間才能檢測到這類節點的異常狀態。

圖2 固定α和ρ參數檢測結果

對比α=4，ρ=4 的數據，可以看出α=3，ρ=3 時檢測速度有了極大的提高，幾乎在傳播的時刻就能立刻檢測到P2P蠕蟲的傳播。但是在實驗中，可以發現檢測到的蠕蟲傳播數量甚至大于真實的蠕蟲傳播數量，明顯有誤報的情況發生。而且經過實驗，系統可能在P2P 節點上線并帶有大量未完成的下載任務情況下，以及P2P 節點有比較大量的搜索請求時產生誤報。通過α=5，ρ=5 的檢測曲線，可以看出檢測的時間間隔相比前兩者有明顯增加。以上實驗完全印證了之前的分析，即α、ρ取值大小與檢測的速度呈現出正相關的關系。

對于變換參數，記α=α基數+節點度系數×節點度數。圖3 是在ρ=4 的基礎上，分別取α基數為2、2.5、3 以及節點度系數為0.05、0.15 的蠕蟲傳播，以及PBD 的檢測結果。在α基數取值為2，節點度系數取0.05 時，較小的節點在進行資源搜索、聯系人查找時，會產生誤報。加大節點度系數至0.15，誤報的情況仍然未能解決，繼續增大節點度系數系統檢測速度會急劇降低，所以α基數不能設置得過小。稍微加大α基數后，實驗系統在α=2.5+0.05×節點度數以及α=3.0+0.05×節點度數情況下均沒有產生過誤報，也可以使得ARL0達到預定的要求。但是α基數設置越小，檢測到蠕蟲傳播的速度越快，越能及時獲得P2P 蠕蟲傳播的及時情況。所以在使得ARL0達到預定要求的情況下，盡量選取小的α基數能獲得更好的檢測效果。而節點度系數的作用在于能夠使用相對于固定參數的α更小的α基數，而不會因為資源搜索、聯系人查找等正常的P2P 行為產生誤報。

圖3 變換α和ρ參數檢測結果

對于變換參數的檢測方法，系統同樣能在蠕蟲開始傳播的三個時間間隔后檢測到蠕蟲的傳播，此時P2P 網絡的感染率依舊處于3%～15%之間，但是對于節點度數較小的節點傳播蠕蟲檢測速度也有很大的提高，可以及時準確地掌握整個P2P 網絡的情況。因此可以認為，變換參數的PBD 檢測方法相對于固定參數的檢測方法更為優秀。

實驗中還發現PBD 方法的一個缺點，也是大部分與連接點相關的方法共同的缺點，即如果有某個節點惡意發送大量的資源搜索信息和聯系人查找信息，系統會產生誤報。因為有惡意行為的節點較少，也不具有傳播性，PPWDS 檢測到僅有個別的節點有傳播P2P 蠕蟲的可能，可以認為P2P 網絡安全沒有P2P 蠕蟲的傳播。

對比CCD 檢測方法，兩者檢測到蠕蟲時的節點感染率分別為CCD 的2%～19%和3%～10%，可以認為兩個檢測方法的檢測速度相差不大。這里CCD 不存在誤檢率，經過實驗，可以認為在一個穩定、成熟的P2P 網絡中CCD 方法誤檢率幾乎為零。但是在一個快速發展或者不成熟的P2P 網絡中，CCD 可能由于P2P 網絡上某種流行資源的發布而使得整個網絡的流量陡增，從而使網絡上的持續連接在一個相對較長的時間內保持較高的狀態，而導致誤報。這種流行資源的發布，網絡上節點的搜索量會增大，但是不會有持續的搜索在某一個節點上發生，同時PBD 忽略時間較長連接，不會對此種狀況產生誤報。

5 總結

本文采用了CUSUM 算法來檢測P2P 網絡中節點的行為，通過檢測節點的出站短連接的變化情況，來獲知整體P2P 網絡是否有蠕蟲傳播以及蠕蟲傳播的及時信息。該算法相比僅僅檢測節點連接情況的算法，能得到相同的準確率和更低的誤報率，在檢測系統的結構上也符合P2P 的初衷。在提出算法的基礎上，還設計了一個主動P2P 蠕蟲檢測系統，該系統不僅適用于主動P2P 蠕蟲的檢測，還能適用于其他類型的P2P 蠕蟲檢測。接下來的工作，其一就是研究其他類型的P2P 蠕蟲傳播特征，使該系統的適用范圍更加廣泛；其二是研究該系統在遏制P2P 蠕蟲傳播時能起到的作用。

[1] Zhou Lidong，Zhang Lintao，McSherry F.A first look at peerto-peer worms：threats and defenses[C]//Proceedings of the 4th International Workshop on Peer-to-Peer Systems，2005：24-35.

[2] Chen Guanling，Gray R S.Simulating non-scanning worms on peer-to-peer networks[C]//Proceedings of the 1st International Conference on Scalable Information Systems，InfoScale’06.New York，NY，USA：ACM，2006.

[3] Wang Yang，Wang Chenxi.Modeling the effects of timing parameters on virus propagation[C]//Proceedings of the ACM Workshop on Rapid Malcode（WORM’03）.New York，NY，USA：ACM，2006.

[4] Zou Changchun，Gong Weibo.Code red worm propagation modeling and analysis[C]//Proceedings of the 9th ACM Conference on Computer and Communications Security（CCS’02）.Washington DC，USA：ACM，2002.

[5] Zhang Xiaosong，Chen Ting.Proactive worm propagation modeling and analysis in unstructured peer-to-peer networks[J].Zhejiang Univ-Sci C（Comput and Electron），2010，11（2）：119-129.

[6] 王平，方濱興，云曉春.基于用戶習慣的蠕蟲的早期發現[J].通信學報，2006（2）：56-65.

[7] 張治江.主動P2P 蠕蟲的檢測與防御技術研究[D].武漢：華中科技大學，2009.

[8] 濮曉龍.關于積累和（CUSUM）檢驗的改進[J].應用數學學報，2003，26（2）：226-241.

[9] Hawkins D M.Cumulative sum charts and charting for quality improvement[M].New York：Springer-Verlag，1997：31-32.

[10] 余杰.P2P 網絡測量與安全關鍵技術研究[D].長沙：國防科技大學，2010.