基于良性蠕虫对抗P2P蠕虫的策略研究

随着P2P软件的推广与普及, P2P蠕虫已成为P2P网络安全的主要威胁之一,P2P蠕虫基于hit-list攻击邻居节点,具有隐蔽性好、攻击性强等特点。基于混合型良性蠕虫概念设计出自动优先趋进优质节点(APTHQN)的对抗策略,合理利用优质节点的拓扑优势,有效适应了P2P网络的动态性。实验仿真结果表明,采用此策略的良性蠕虫在保持较少的网络资源消耗同时,高效地抑制了P2P蠕虫的传播。     

基于节点行为的主动P2P蠕虫检测

主动P2P蠕虫的传播会对P2P网络以及互联网的安全造成严重威胁。通过研究主动P2P蠕虫传播时节点行为,提出一种基于节点行为的主动P2P蠕虫检测方法PBD（Peer Behavior based Detection）。在此基础上设计和实现了一个主动P2P蠕虫检测系统PPWDS（Proactive P2P Worm Detection System）,该系统采用CUSUM算法对P2P节点出站短连接进行实时监控。实验表明,PBD是检测主动P2P蠕虫的一种有效方法。     

基于应用层签名特征的P2P流量识别

P2P的广泛使用带来了带宽过量消耗、病毒传播迅速等严重问题。如何在享受P2P技术带来便利的同时又能有效地识别、控制P2P流量是当前的研究热点。通过基于报文TRACE的数据分析方法,获得了当前五种主流的P2P流的应用层签名特征,提出了一个基于应用层签名特征的识别算法,并通过实际实验对所提识别算法的有效性进行了验证,研究成果可直接应用于P2P流量的识别与管理。     

P2P应用特征检测与识别

P2P技术充分发挥众多个人计算机(Peer节点)的作用,具有很大的优势,但随着应用的推广也显现许多负面问题.近年来,ISP和企业网络管理员都希望能够将P2P流量有效地识别出来,对网络进行规划和管理.讨论了利用P2P报文特征码来实现P2P应用检测识别的方法,提出了P2P应用特征码识别框架,初步的软件实现表明该方法是有效可行的.     

大规模P2P网络下蠕虫攻击的研究

P2P下蠕虫的传播将是未来蠕虫发展的方向,分析P2P系统中蠕虫传播的现状,给出其扫描策略,并通过分析蠕虫的扫描算法,定义了两个蠕虫传播模型,并在此基础给出综合的防治策略。     

基于免疫粒子群的P2P协议识别方法

为了解决基于统计特征的P2P协议识别中,因特征选择不当而引起的识别准确率低的问题,采用免疫粒子群算法(Immune-PSO)选取最优特征子集,选择出最能区分P2P协议的特征子集。实验结果表明,该算法较标准粒子群算法具有更高的全局搜索能力,能更准确地找出最优特征子集,该方法能有效地提高协议的识别率,对常见的P2P协议如BitTorrent、eMule等有高达90%的识别率。     

基于信息关联的P2P蠕虫检测方法

P2P蠕虫对P2P网络和Internet构成巨大安全威胁。该文根据P2P网络报文之间的关系,提出一种P2P蠕虫检测方法,通过建立过滤规则实现对P2P蠕虫的检测与抑制。模拟实验结果表明,该方法对P2P蠕虫传播的抑制效果与资源分布存在较大联系,其检测效果 良好。     

基于流身份识别的P2P流量检测

网络地址翻译器转发的混合流与P2P数据流呈现相似的流量外部特征。实际测试结果显示,如果数据捕获点位于网络地址翻译器之后,当前P2P流量特征识别方法（TLI）因为没有对网络地址翻译器(NAT)转发混合流进行区分而将导致虚警和漏报情况。为了解决此类问题,提出了基于流身份识别的P2P流量检测方法,首先通过分析IP标识时间序列完成对NAT转发混合流中源自不同设备数据流的身份识别,在此基础上采用流量特征检测P2P流量。以当前主要的P2P应用为例进行测试,结果说明,利用该方法可以有效识别NAT混合流中的P2P流量,较大幅度降低虚警率和漏报率。     

基于应用层签名的P2P流媒体流量识别*

通过对P2P流量识别技术现状的研究,提出了基于应用层签名的P2P流媒体流量识别方法。分析和提取了五种主流P2P流媒体平台的应用层签名特征,并通过实验验证了基于应用层签名的P2P流媒体流量识别方法的有效性。     

基于优化SVM的P2P协议识别*

针对P2P应用提出了一种采用DFI深度流分析的方法,通过还原会话流,提取P2P数据流的各种属性特征,采用Grid Search、遗传算法、粒子群算法三种不同算法优化的支持向量机对网络数据流进行分类。通过实验测试,在P2P与非P2P的多种应用中,使用支持向量机进行设计的分类器分类准确率较高,均在90%以上,最高能达到97%。     

基于Netfilter的P2P流量测量系统*

分析了P2P流量的特征,讨论了当前有关P2P流量识别与测量的研究现状。在分析一个通过应用层匹配来识别P2P流量的模块IPP2P基础上,给出了一个基于Netfilter的P2P流量测量系统。该系统通过高速的内核字符串匹配来识别P2P数据流,在此基础上运用连接跟踪技术进行高效的流量统计,实现对P2P流量的实时测量。     

基于连接模式的P2P流量识别的研究与实现*

提出基于网络层连接模式的P2P流量识别算法,并对识别过程中的几个关键问题进行了研究。提出采用分光技术对链路数据进行旁路处理,通过在链路层加入过滤策略减少对冗余数据的采集,对采集到的有效数据通过流归并技术进行预处理,并介绍了识别结果显示阶段的相关处理方法。     

10Gb/s线速可扩展P2P流量识别引擎

通过引入流特征统计和深度数据包检测相结合的思想,设计了一种可扩展的10Gb/s线速P2P流量识别引擎,给出了该引擎的硬件实现方案,详细介绍了方案中已知流过滤、传输层特征统计、净荷关键词匹配等核心部分的实现。测试表明,该引擎可完全实现10Gb/s速率下的P2P流量线速识别,识别准确率大于95%。     

基于网络流内在特征的P2P业务识别技术研究

分析了几类主要的P2P业务识别方法,重点分析了基于流的内在特征的各种识别方法,并对其优缺点作出评价,指出了P2P识别技术进一步的发展方向.     

Research of internet worm warning system based on system identification

The frequent explosion of Internet worms has been one of the most serious problems in cyberspace security.In this paper, by analyzing the worm's propagation model, we propose a new worm warning system based on the method of system identification, and use recursive least squares algorithm to estimate the worm's infection rate. The simulation result shows the method we adopted is an efficient way to conduct Internet worm warning.     

一种基于节点状态的P2P流量检测模型

现有的P2P流量检测方法多基于流量特征或深度包检测技术,而新型的P2P应用已逐渐发展为采用随机端口、协议特征模糊化以及HTTP隧道技术,这使得采用目前的流量检测方法识别率较低。针对此问题,提出一种基于节点状态的P2P流量检测模型。该模型通过多级检测模块,将节点状态信息存入Hash表中,并映射形成可信列表反馈到检测端,通过活跃因子、增量因子以及连接缓存的定义,可以快速、有效识别端口跳跃及协议加密引发的P2P流量。     

P2P流量识别技术综述

在归纳P2P流量识别问题概念的基础上,对现有的P2P流量识别技术进行了较全面地分析.借助分类模型形式化地定义P2P流量识别问题,依据所采用的识别特征将已有技术分为基于端口号、基于流量特征、基于应用层签名、基于双重特征和基于统计行为特征五类方法,并对各类方法进行了介绍、分析与优劣对比.探讨了新兴的P2P流媒体流量识别问题,总结了P2P流量识别技术的发展趋势.     

多阶段过滤的P2P僵尸网络检测方法

提出基于流分析的P2P僵尸网络检测方法。首先基于节点连接分布性和突发性特征过滤掉非P2P节点,进而根据P2P节点对间连接度和流量的对称度,采用K均值聚类以发现各个P2P群,最后基于各P2P群内节点的流行为相似性检测是否为P2P僵尸网络。在局域网环境中的实验表明,该检测方法能够有效识别各种P2P僵尸网络,提高了检测效率和精度。     

基于本地网的分布式蠕虫检测系统设计

为能有效检测本地网中的已知蠕虫和未知蠕虫,设计了一个分布式蠕虫检测系统.探讨了系统的部署策略和结构,并详细描述了系统检测算法的设计过程.检测算法分为可疑主机检测和感染主机检测两个阶段,前者通过监控主机的网络连接异常发现可疑主机,后者采用误用检测和关联分析判断可疑主机是否为感染主机.仿真实验结果表明了该系统的有效性.     

基于统计特征的隐匿P2P主机实时检测系统

针对当前隐匿恶意程序多转为使用分布式架构来应对检测和反制的问题,为快速精确地检测出处于隐匿阶段的对等网络(P2P)僵尸主机,最大限度地降低其危害,提出了一种基于统计特征的隐匿P2P主机实时检测系统。首先,基于3个P2P主机统计特征采用机器学习方法检测出监控网络内的所有P2P主机;然后,再基于两个P2P僵尸主机统计特征,进一步检测出P2P僵尸主机。实验结果证明,所提系统能在5 min内检测出监控网内所有隐匿的P2P僵尸主机,准确率高达到99.7%,而误报率仅为0.3%。相比现有检测方法,所提系统检测所需统计特征少,且时间窗口较小,具备实时检测的能力。