對等網(wǎng)絡(luò)流量信息結(jié)構(gòu)異常的檢測技術(shù)探究

葉衛(wèi)華

【摘要】 當(dāng)前針對網(wǎng)絡(luò)流量信息的異常結(jié)構(gòu)展開的檢測技術(shù)還未取得統(tǒng)一完善的研究，本文在闡述對等網(wǎng)絡(luò)的相關(guān)概念后，著重就對等網(wǎng)絡(luò)的流量異常檢測技術(shù)進行了研究，提出了基于節(jié)點行為的對等網(wǎng)絡(luò)流量異常檢測方法。

【關(guān)鍵詞】 對等網(wǎng)絡(luò) 流量信息 異常檢測

當(dāng)前，許多來自互聯(lián)網(wǎng)的惡意攻擊會導(dǎo)致計算機用戶網(wǎng)絡(luò)癱瘓、配置失效、鏈路頻繁中斷等問題，久而久之，整個網(wǎng)絡(luò)環(huán)境被嚴重污染，網(wǎng)絡(luò)運營商的服務(wù)評價將日漸降低。只有積極針對網(wǎng)絡(luò)流量的異常信息進行檢測，才能確保網(wǎng)絡(luò)秩序的正常化。

一、對等網(wǎng)絡(luò)的概述

對等網(wǎng)絡(luò)的實質(zhì)也就是網(wǎng)絡(luò)的分布式規(guī)劃，這樣的網(wǎng)絡(luò)形式強調(diào)的是鏈接到網(wǎng)絡(luò)中每一個節(jié)點用戶都能夠共享到網(wǎng)絡(luò)的部分資源，這些可以共享的資源在網(wǎng)絡(luò)中可以被其他的節(jié)點用戶直接訪問并使用有關(guān)服務(wù)，而無需再次搭建不同對象之間的中間連接。整個網(wǎng)絡(luò)中的所有計算機都在提供或享受著不同的資源或服務(wù)，如實現(xiàn)信息共享、數(shù)據(jù)交換、計算及存儲資源、共享打印等。

二、對等網(wǎng)絡(luò)的流量異常檢測技術(shù)

不同的異常檢測系統(tǒng)對P2P網(wǎng)絡(luò)的流量異常檢測中，需要重視檢測精確度、運轉(zhuǎn)實時性、檢測全面性和新的網(wǎng)絡(luò)異常行為等幾個方面的關(guān)鍵性元素。每一種異常檢測技術(shù)都應(yīng)該考慮到網(wǎng)絡(luò)異常攻擊的全新形式、網(wǎng)絡(luò)病毒的全新變種、部分應(yīng)激噪聲流量可能出現(xiàn)的隱蔽性異常，才能讓技術(shù)的設(shè)計優(yōu)化更有針對性。

2.1 對等網(wǎng)絡(luò)流量的應(yīng)用分類

按照P2P網(wǎng)絡(luò)應(yīng)用的不同，可以將網(wǎng)絡(luò)流量分為以下幾種：（1）文件共享類，如專用下載軟件等；（2）網(wǎng)絡(luò)傳輸類，如網(wǎng)絡(luò)直播電視軟件等；（3）即時通信類；如QQ軟件等；（4）網(wǎng)絡(luò)電子游戲類，如QQ游戲等；（5）共享服務(wù)或其他處理類軟件。

在采用這樣的分類標準重新規(guī)劃對等網(wǎng)絡(luò)流量后，采用基于數(shù)據(jù)包內(nèi)容實現(xiàn)網(wǎng)絡(luò)流量異常的檢測方法就有些不合時宜。首先對于不斷更新升級的軟件，無法確保有效的高檢測準確率，無法做到檢測數(shù)據(jù)庫的同步更新。其次，一旦出現(xiàn)不同類型的新軟件，在無法確定該軟件應(yīng)用類型前，數(shù)據(jù)包檢測沒有匹配的流量范圍用于支持檢測。這些問題，也正是本文考慮基于計算機節(jié)點行為來改進對等網(wǎng)絡(luò)流量異常檢測的關(guān)鍵。

2.2 基于節(jié)點行為的對等網(wǎng)絡(luò)流量異常檢測方法

2.2.1 節(jié)點行為

我們使用以迅雷等專用下載軟件為代表的文件共享類 P2P應(yīng)用為案例進行節(jié)點行為分析。首先需要明確，P2P應(yīng)用中很多節(jié)點為從目標服務(wù)器上獲得資源，可能出現(xiàn)不同的鏈接情況。如迅雷在啟動后，程序初始化后的短時間內(nèi)軟件運行呈現(xiàn)穩(wěn)態(tài)，多節(jié)點時間連接有效進行數(shù)據(jù)服務(wù)。在這個短時間內(nèi)，申請資源的用戶計算機將以客戶端的身份發(fā)出請求，加入分布式哈希表等存儲列中，得到其他節(jié)點共享該資源的情況。文件共享類P2P應(yīng)用中這些節(jié)點行為，在初始化分布式哈希表后進行資源申請時，都會完成大量的互連節(jié)點通信，確保當(dāng)實現(xiàn)軟件運行穩(wěn)態(tài)后，新增節(jié)點不再變化。這樣用戶對于所需資源的搜索，基本可以靠幾個大流量的節(jié)點就能完成。基于節(jié)點行為的網(wǎng)絡(luò)流量異常檢測技術(shù)就是對初始狀態(tài)的所有數(shù)據(jù)流產(chǎn)生必要的解析，整理出于主機保持聯(lián)系的信息，從而觀察主機在網(wǎng)絡(luò)結(jié)構(gòu)的傳輸層中的行為反應(yīng)，并將行為反應(yīng)與眾多的應(yīng)用相互關(guān)聯(lián)，實現(xiàn)流量的檢測與異常識別。

2.2.2 思路建模

（1）主機網(wǎng)絡(luò)位置。應(yīng)該積極獲取所要觀察的主機與其他對象之間的通信行為，判斷是否具有不同樣的交互信息，大膽分析目標主機的IP地址，并確定不同主機之間的鏈接情況。（2）主機網(wǎng)絡(luò)功能。應(yīng)分析主機在網(wǎng)絡(luò)環(huán)境中的功能定位，區(qū)別屬于用戶還是服務(wù)器。（3）主機應(yīng)用行為。分析主機應(yīng)用行為，需要得到主機網(wǎng)絡(luò)傳輸層的交互數(shù)據(jù)。通過特定時長與通信節(jié)點數(shù)判斷數(shù)據(jù)流的應(yīng)用類型。

本文基于節(jié)點行為的網(wǎng)絡(luò)流量異常檢測方法可以按以下模型來予以表達：

結(jié)束語

對等網(wǎng)絡(luò)流量異常檢測需要不斷提供技術(shù)的可行性，才能發(fā)揮更好的作用。基于網(wǎng)絡(luò)節(jié)點行為的流量異常檢測，主要通過標識節(jié)點來進行異常檢測，提高對等網(wǎng)絡(luò)大數(shù)據(jù)環(huán)境中的檢查效果。

參 考 文 獻

[1] 王蛟. 基于行為的P2P流量及異常流量檢測技術(shù)研究[D]. 北京郵電大學(xué)， 2008.

[2] 朱應(yīng)武，楊家海，張金祥. 基于流量信息結(jié)構(gòu)的異常檢測[J]. 軟件學(xué)報， 2010， 21（10）：2573-2583.