專利名稱:多特征對等網(wǎng)絡(luò)監(jiān)測體系和策略的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及電子信息安全和網(wǎng)絡(luò)信息安全領(lǐng)域��,具體涉及一種多特征對等網(wǎng)絡(luò) (Peer-to-Peer Networking, P2P)監(jiān)測體系和策略�。
背景技術(shù):
對等網(wǎng)絡(luò)攻擊防范和監(jiān)控技術(shù)是近年來網(wǎng)絡(luò)信息安全鄰域的一個熱點方向。對等網(wǎng)絡(luò)是建立在Internet之上的大規(guī)模�、自組織、高度動態(tài)的分布式協(xié)作網(wǎng)絡(luò)�,對等網(wǎng)絡(luò)監(jiān)測主要是指對等網(wǎng)絡(luò)系統(tǒng)運行信息的搜集和特征識別分析,研究關(guān)于對等網(wǎng)絡(luò)在網(wǎng)絡(luò)結(jié)構(gòu)���、流量行為�、用戶行為等方面的高效數(shù)據(jù)采集、特征分析���、以及業(yè)務(wù)流量識別分類算法�。其中的關(guān)鍵技術(shù)問題包括統(tǒng)一測量分析模型框架的探索研究��;測量指標(biāo)體系和評價方法的研究��;對等網(wǎng)絡(luò)綜合特征分析算法模型探索研究等�。面向?qū)Φ葢?yīng)用的網(wǎng)絡(luò)監(jiān)測根據(jù)研究內(nèi)容的不同可以劃分為3類(1)對等網(wǎng)絡(luò)拓?fù)涮卣鞅O(jiān)測測量不同的對等網(wǎng)絡(luò)應(yīng)用拓?fù)鋱D,分析相應(yīng)拓?fù)涞膱D屬性和動態(tài)屬性���,探索鄰居選擇策略和用戶行為對網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的影響�����,從而優(yōu)化對等網(wǎng)絡(luò)應(yīng)用��,提高系統(tǒng)性能�����,主要包括①對等網(wǎng)絡(luò)拓?fù)鋱D屬性測量與分析�����。通常��,利用圖論中的結(jié)論�,分析測量獲取的對等網(wǎng)絡(luò)圖的各項指標(biāo)�,主要包括節(jié)點連通度分布、節(jié)點對距離分布����、網(wǎng)絡(luò)圖小世界特性、節(jié)點間連接偏好特性���、網(wǎng)絡(luò)彈性等����。隨著復(fù)雜網(wǎng)絡(luò)理論研究的深入���,更多的圖屬性指標(biāo)將會引入到圖屬性分析中����。②對等網(wǎng)絡(luò)拓?fù)鋭討B(tài)屬性測量分析���。由于對等連接的持續(xù)變化��,其網(wǎng)絡(luò)拓?fù)渚哂刑焐膭討B(tài)性����,這些動態(tài)性會對整個對等網(wǎng)絡(luò)的性能造成顯著的影響。目前���,對等網(wǎng)絡(luò)拓?fù)鋭討B(tài)特性的研究還處于起步階段�,尤其在國內(nèi)����,對等網(wǎng)絡(luò)的測量研究還不多見,一方面的原因在于對等網(wǎng)絡(luò)研究剛剛起步����,測量對等網(wǎng)絡(luò)還比較困難;另一方面��,相應(yīng)的網(wǎng)絡(luò)測量技術(shù)���、分析方法和理論都還不成熟����。(2)對等網(wǎng)絡(luò)流量監(jiān)測獲取對等應(yīng)用流量的各項統(tǒng)計信息,分析對等網(wǎng)絡(luò)應(yīng)用流量的空間特性和時間特性���,構(gòu)建對等網(wǎng)絡(luò)流量模型����,尋求有效的對等網(wǎng)絡(luò)流量控制策略�����。其中���,對等網(wǎng)絡(luò)流量空間特性監(jiān)測主要從宏觀上觀察對等網(wǎng)絡(luò)流量在地域分布上的差異性,以及對等網(wǎng)絡(luò)流量在網(wǎng)絡(luò)中不同節(jié)點之間分布的非均勻性���;對等網(wǎng)絡(luò)流量時間特性監(jiān)測主要關(guān)注對等網(wǎng)絡(luò)流量在時間上的演變特點���,如晝行性(time of day),流量的自相似性等?����,F(xiàn)有技術(shù)實驗結(jié)論已經(jīng)表明,在對等網(wǎng)絡(luò)中�����,不同節(jié)點之間整體流量分布存在不均勻性��,不同節(jié)點間流量的上傳/ 下載比也存在著相當(dāng)?shù)牟町?���。另外,主要的對等網(wǎng)絡(luò)應(yīng)用的流量在傍晚和凌晨之間也存在著顯著的差異���。(3)對等網(wǎng)絡(luò)應(yīng)用可用性監(jiān)測對等網(wǎng)絡(luò)應(yīng)用可用性監(jiān)測描述了對等網(wǎng)絡(luò)應(yīng)用提供給用戶的服務(wù)水平�����,分析用戶行為�����、服務(wù)內(nèi)容�、以及系統(tǒng)可用性之間的相互影響���,發(fā)現(xiàn)對等網(wǎng)絡(luò)應(yīng)用網(wǎng)絡(luò)中諸如垃圾信息����、惡意代碼等不良因素,尋找合理的對等網(wǎng)絡(luò)應(yīng)用優(yōu)化����、管理和贏利模式。包括①主機可用性的測量����。對等網(wǎng)絡(luò)中主機可用性主要通過主機活躍時間以及活躍主機的比例來反映。通常的測量方法是在特定對等網(wǎng)絡(luò)中隨機選擇一個待測主機集合�����,周期性地向這些主機發(fā)送探測消息�,并統(tǒng)計響應(yīng)的數(shù)量���?���;钴S主機的比例K等于收到響應(yīng)數(shù)量 η和待測主機數(shù)量N的比值�����。②內(nèi)容可用性測量。內(nèi)容可用性主要用于描述用戶從對等網(wǎng)絡(luò)系統(tǒng)中獲得目標(biāo)資源的難易程度�����,即用戶查詢和下載資源的難易程度���。內(nèi)容可用性的相關(guān)因素比主機可用性更為復(fù)雜�����,因此只能通過對查詢返回數(shù)量����、查詢響應(yīng)時間�����、內(nèi)容穩(wěn)定性�、內(nèi)容重復(fù)度(當(dāng)前節(jié)點發(fā)起的搜索中,特定文件重復(fù)出現(xiàn)的數(shù)量)���、下載完成時間等量化指標(biāo)的測量來間接反映����。在實際中,對等網(wǎng)絡(luò)流媒體網(wǎng)絡(luò)經(jīng)常會受到信息污染的嚴(yán)重威脅���,而目前的主要防御對策���,都還不能有效的治理這些信息污染的擴散。另一方面��,目前單純的黑名單、信任系統(tǒng)等策略不能有效抑制污染的擴散。
發(fā)明內(nèi)容
該發(fā)明探索了一種新型實用的多特征融合的對等網(wǎng)絡(luò)攻擊監(jiān)測方案��,基于該方案提出了一種多層次的對等網(wǎng)絡(luò)監(jiān)測體系和策略。該檢測體系和策略在分析歸類當(dāng)前主流對等網(wǎng)絡(luò)的基礎(chǔ)上,采用主動、被動相結(jié)合的方式�,從宏觀網(wǎng)絡(luò)結(jié)構(gòu)�、流量特性、微觀用戶行為特征�����、內(nèi)容特征等多個層面上�����,針對對等網(wǎng)絡(luò)的結(jié)構(gòu)特征����、流量特征、以及用戶行為特征等����, 實現(xiàn)對Ρ2Ρ網(wǎng)絡(luò)的多層次、多特征的監(jiān)測和分析��。在監(jiān)測體系的設(shè)計上�,該發(fā)明將協(xié)議分析處理功能獨立出來,這樣使監(jiān)測體系具有良好的協(xié)議適應(yīng)能力���。同時����,在上述研究的基礎(chǔ)上�,建立監(jiān)測結(jié)果評價指標(biāo)子系統(tǒng),從數(shù)據(jù)準(zhǔn)確性�、完整性、以及穩(wěn)定性等多個方面對獲取的對等網(wǎng)絡(luò)特征數(shù)據(jù)進(jìn)行評價��。該發(fā)明提出的多特征融合的對等網(wǎng)絡(luò)監(jiān)測框架體系和策略�,實現(xiàn)了與對等網(wǎng)絡(luò)應(yīng)用協(xié)議無關(guān)的監(jiān)測框架策略,建立了監(jiān)測準(zhǔn)確性評價指標(biāo)體系���,這將為建立對等網(wǎng)絡(luò)監(jiān)測完整模型提供標(biāo)準(zhǔn)化思路�,改變當(dāng)前對等網(wǎng)絡(luò)監(jiān)測體系混亂、標(biāo)準(zhǔn)不統(tǒng)一的局面����,進(jìn)而為對等網(wǎng)絡(luò)宏觀監(jiān)測預(yù)警產(chǎn)業(yè)化打下堅實的技術(shù)基礎(chǔ)。
圖1為對等網(wǎng)絡(luò)基本拓?fù)涮卣饔邢藜性氐南嗷リP(guān)系圖2為對等網(wǎng)絡(luò)測量框架
具體實施例方式對等網(wǎng)絡(luò)的測量�,在本質(zhì)上可以歸結(jié)為網(wǎng)絡(luò)特征的快速廣度優(yōu)先訪問遍歷。該發(fā)明的測量體系和策略的設(shè)計針對各類對等網(wǎng)絡(luò)的特點���,對對等網(wǎng)絡(luò)測量問題的實施分為3 個部分(1)對等網(wǎng)絡(luò)協(xié)議抽象一般的����,對等網(wǎng)絡(luò)中節(jié)點可以被分成三類��,即①新加入對等網(wǎng)絡(luò)的新節(jié)點(new node)�����;
5
②通過網(wǎng)頁等形式保留的緩存節(jié)點(cache node)����,它們是新節(jié)點加入網(wǎng)絡(luò)時選擇連接的節(jié)點�;③其它的節(jié)點稱為老節(jié)點(old node) 0當(dāng)一個新節(jié)點加入對等網(wǎng)絡(luò)時�,它首先通過主機服務(wù)器(host server)或者地址規(guī)則計算獲取對等網(wǎng)絡(luò)中緩存節(jié)點的地址信息�,接著按照一定的規(guī)則選擇一些緩存節(jié)點作為其鄰居,隨后的過程中�,它可以通過某些替換策略更改鄰居關(guān)系,直到退出網(wǎng)絡(luò)�����。這個抽象協(xié)議的描述如下
權(quán)利要求
1.一種多特征對等網(wǎng)絡(luò)(Peer-to-Peer Networking,P2P)監(jiān)測體系和策略����,是在現(xiàn)有對等網(wǎng)絡(luò)監(jiān)測技術(shù)的基礎(chǔ)上,從宏觀網(wǎng)絡(luò)結(jié)構(gòu)��、流量特性����、微觀用戶行為特征、內(nèi)容特征等多個層面上�����,對對等網(wǎng)絡(luò)進(jìn)行監(jiān)測���,其特征在于該體系使用主��、被動一體化的測量方式���;該發(fā)明構(gòu)建了多層次的對等網(wǎng)絡(luò)監(jiān)測體系和策略��;該體系建立了多特征的網(wǎng)絡(luò)測量框架�����;該發(fā)明的體系和策略與對等網(wǎng)絡(luò)應(yīng)用協(xié)議無關(guān)�����。
2.如權(quán)利要求1所述的主動式對等網(wǎng)絡(luò)測量方式���,其基本方法是預(yù)先收集對等網(wǎng)絡(luò)入口節(jié)點(緩存節(jié)點)的地址信息,將其保存到隊列Q中�����。其中����,隊列Q中的元素是唯一的; 然后從隊列Q中每次取出m個未訪問的節(jié)點,獲取這些節(jié)點的信息以及其k個鄰居地址信息���;將k個鄰居節(jié)點地址信息保存到隊列尾部,保存m個節(jié)點的鄰居關(guān)系���;重復(fù)該步驟直到訪問完隊列Q中的所有節(jié)點或訪問了網(wǎng)絡(luò)中ε比例的節(jié)點�;主動式測量主要是應(yīng)用于對等網(wǎng)絡(luò)中的信令流數(shù)據(jù)包的測量��。
3.如權(quán)利要求1所述的被動式對等網(wǎng)絡(luò)測量方式�,其基本方法是收集物理網(wǎng)絡(luò)邊界路由器中的流量記錄或轉(zhuǎn)發(fā)報文記錄;位于不同物理網(wǎng)絡(luò)節(jié)點之間的通信�����,必定會經(jīng)過邊界路由器�,因此在邊界路由器上獲取的流量數(shù)據(jù)可以客觀地描述不同節(jié)點之間的通信特征; 該體系在TCP或UDP報文頭中加入本系統(tǒng)的特定標(biāo)志字段和采用特定的端口號����;根據(jù)特殊字段和特定的端口號可以判斷邊界路由器轉(zhuǎn)發(fā)的數(shù)據(jù)包是否源于對等網(wǎng)絡(luò)應(yīng)用;被動式測量主要用于對數(shù)據(jù)流報文的測量���。
4.如權(quán)利要求1所述����,對對等網(wǎng)絡(luò)測量的實施分為3個層次對等網(wǎng)絡(luò)協(xié)議抽象;測量過程描述和分析����;測量數(shù)據(jù)準(zhǔn)確性評價。
5.如權(quán)利要求4所述的網(wǎng)絡(luò)協(xié)議抽象��,其特征在于��,這個抽象協(xié)議的描述如下節(jié)點ν連接D個緩存點�,緩存節(jié)點的選擇可以采用隨機選擇策略或其它更為復(fù)雜的選擇策略;當(dāng)節(jié)點ν的鄰居離開網(wǎng)絡(luò)后����,節(jié)點ν將選擇新的緩存節(jié)點作為其鄰居,緩存節(jié)點的選擇策略可以是隨機選擇或更為復(fù)雜的策略���;當(dāng)緩存節(jié)點ν的鄰居數(shù)超過C���,或者離開對等網(wǎng)絡(luò),需要選擇其它節(jié)點(非緩存節(jié)點) 作為新的補充�����;當(dāng)節(jié)點ν收到鄰居信息請求消息時,ν將自己當(dāng)時所有鄰居的地址信息����,以及自己的相關(guān)信息一同發(fā)送給請求者。
6.如權(quán)利要求5所述����,對等網(wǎng)絡(luò)中的節(jié)點具有較強的動態(tài)特性����,節(jié)點隨機加入、離開網(wǎng)絡(luò)����;節(jié)點隨機加入對等網(wǎng)絡(luò)的統(tǒng)計行為可以使用參數(shù)為λ的泊松分布模型描述;而節(jié)點在線時間的統(tǒng)計行為可以表示為獨立的�����、服從參數(shù)為μ的指數(shù)分布的隨機模型��;對于任意時刻的網(wǎng)絡(luò)拓?fù)?�,計算對等網(wǎng)絡(luò)圖滿足的概率關(guān)系��,證明根據(jù)本發(fā)明抽象協(xié)議描述的對等網(wǎng)絡(luò),經(jīng)過一段時間后�,該網(wǎng)絡(luò)的節(jié)點數(shù)量是相對穩(wěn)定的,同時網(wǎng)絡(luò)是連通的����。
7.如權(quán)利要求4所述,在對等網(wǎng)絡(luò)測量過程中���,對等網(wǎng)絡(luò)拓?fù)湟恢痹诓煌5淖兓?,因此�����,通過優(yōu)先選擇大度節(jié)點的方式��,采用多點并行分布式測量策略�,以及關(guān)聯(lián)時間上連續(xù)快照數(shù)據(jù)等方式,提高測量速度�����,減少測量誤差����。
8.如權(quán)利要求4所述的測量結(jié)果的評價���,包括測量數(shù)據(jù)的完整性和準(zhǔn)確性兩方面,其特征在于����,定義了如下作為衡量系統(tǒng)框架和策略中測量結(jié)果數(shù)據(jù)的指標(biāo)拓?fù)鋽?shù)據(jù)完整性指數(shù),表示測量系統(tǒng)在某一時刻獲取的拓?fù)鋽?shù)據(jù)占網(wǎng)絡(luò)總體的比例��;點差異集合與邊差異集合���;拓?fù)鋽?shù)據(jù)形變指數(shù)���,反映測量系統(tǒng)運行其間�����,拓?fù)鋱D微觀結(jié)構(gòu)變化情況���,測量系統(tǒng)越準(zhǔn)確�,其值越?。煌?fù)鋽?shù)據(jù)穩(wěn)定性指數(shù)���,用于比較拓?fù)鋱D在宏觀結(jié)構(gòu)上的一致性�����;通過計算以上這些指標(biāo)就能夠定量分析結(jié)果數(shù)據(jù)的準(zhǔn)確性�、完整性。
9.如權(quán)利要求1所述���,該測量框架利用正反饋機制����,通過比較分析時間上連續(xù)的多個拓?fù)淇煺諗?shù)據(jù)���,更新拓?fù)湫畔⒉杉糠值某跏脊?jié)點集合���,在提高拓?fù)湫畔⒌牟杉俣鹊耐瑫r,保證了拓?fù)淇煺諗?shù)據(jù)的穩(wěn)定性和可靠性����。該測量框架拓?fù)湫畔⒉杉糠植捎梅植际健⒍帱c主動探測方式��,快速遍歷對等網(wǎng)絡(luò)中的節(jié)點���,獲取網(wǎng)絡(luò)拓?fù)淇煺諗?shù)據(jù)���;通過被動任務(wù)請求分配策略�、基于連接數(shù)和計算能力的負(fù)載均衡機制等�,實現(xiàn)多點間高效的任務(wù)分配和協(xié)作;該測量框架結(jié)合了拓?fù)涮卣鞣治龉δ?���,利用網(wǎng)絡(luò)圖的基本拓?fù)鋵傩裕鳛橹敢郎y量部分下一次動作的指引�,從而保證了測量的拓?fù)鋽?shù)據(jù)在時間上的穩(wěn)定性和可靠性;同時��,通過反相爬行策略�,比較兩個拓?fù)淇煺盏耐負(fù)涮卣?��,確保獲取的拓?fù)淇煺帐侨?���、?zhǔn)確的�。
10.如權(quán)利要求1所述,該監(jiān)測體系將協(xié)議分析處理功能獨立出來����,使監(jiān)測體系具有良好的協(xié)議適應(yīng)能力��;其次�����,建立監(jiān)測結(jié)果評價指標(biāo)子系統(tǒng)�,從數(shù)據(jù)準(zhǔn)確性�、完整性、以及穩(wěn)定性等多個方面對獲取的對等網(wǎng)絡(luò)特征數(shù)據(jù)進(jìn)行評價��;此外���,該測量框架是針對混雜型式���、可測量對等網(wǎng)絡(luò)提出的框架,與對等網(wǎng)絡(luò)應(yīng)用協(xié)議無關(guān)�。通過簡單修改拓?fù)湫畔⒉杉糠值耐ㄓ嵞K,即能應(yīng)用于其它對等網(wǎng)絡(luò)實例的測量和分析�����。
全文摘要
該發(fā)明提出了一種多層次的對等網(wǎng)絡(luò)監(jiān)測體系和策略,在分析歸類當(dāng)前主流對等網(wǎng)絡(luò)的基礎(chǔ)上���,采用主動�、被動相結(jié)合的方式���,從宏觀網(wǎng)絡(luò)結(jié)構(gòu)���、流量特性、微觀用戶行為特征���、內(nèi)容特征等多個層面上����,針對對等網(wǎng)絡(luò)的結(jié)構(gòu)特征�����、流量特征���、以及用戶行為特征等,實現(xiàn)對對等網(wǎng)絡(luò)的多層次���、多特征的監(jiān)測和分析�����。在監(jiān)測體系的設(shè)計上��,該發(fā)明將協(xié)議分析處理功能獨立出來����,這樣使監(jiān)測體系具有良好的協(xié)議適應(yīng)能力。同時���,該發(fā)明建立了監(jiān)測結(jié)果評價指標(biāo)子系統(tǒng)����,從數(shù)據(jù)準(zhǔn)確性���、完整性���、以及穩(wěn)定性等多個方面對獲取的對等網(wǎng)絡(luò)特征數(shù)據(jù)進(jìn)行評價。該發(fā)明實現(xiàn)了與對等網(wǎng)絡(luò)應(yīng)用協(xié)議無關(guān)的監(jiān)測框架策略�,建立了監(jiān)測準(zhǔn)確性評價指標(biāo)體系,為建立對等網(wǎng)絡(luò)監(jiān)測完整模型提供標(biāo)準(zhǔn)化思路�����,進(jìn)而為對等網(wǎng)絡(luò)宏觀監(jiān)測預(yù)警產(chǎn)業(yè)化打下堅實的技術(shù)基礎(chǔ)。
文檔編號H04L12/26GK102299826SQ20101020720
公開日2011年12月28日 申請日期2010年6月23日 優(yōu)先權(quán)日2010年6月23日
發(fā)明者張鳳荔, 王勇, 秦志光 申請人:電子科技大學(xué)