基于氣象網(wǎng)絡(luò)p2p帶病毒文件流的識(shí)別

單薇薇 李施

摘要：對(duì)于p2p網(wǎng)絡(luò)來(lái)說(shuō)，p2p應(yīng)用的安全性是至關(guān)重要的。該文針對(duì)氣象網(wǎng)絡(luò)論述了一種專門(mén)針對(duì)p2p帶病毒文件的識(shí)別方法。首先介紹了p2p文件的傳輸方式，然后對(duì)病毒庫(kù)的分類及文中設(shè)計(jì)的表格作了詳細(xì)的介紹。該文結(jié)合p2p文件的存儲(chǔ)特點(diǎn)和傳輸特點(diǎn)以及病毒在感染文件時(shí)的特點(diǎn)，設(shè)計(jì)了一種全新的實(shí)時(shí)帶病毒文件的識(shí)別的方法。

關(guān)鍵詞：p2p；病毒；識(shí)別；氣象網(wǎng)絡(luò)

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）23-5516-03

近幾年來(lái)，p2p（peer-to-peer）作為一種新型的應(yīng)用開(kāi)始迅猛發(fā)展，并且成為了網(wǎng)絡(luò)應(yīng)用和研究中的熱點(diǎn)問(wèn)題。目前針對(duì)p2p流的識(shí)別都集中在對(duì)于流的協(xié)議或p2p的流量的識(shí)別，而對(duì)于帶病毒的p2p流的識(shí)別研究卻鮮有涉足。由于已有的p2p文件共享系統(tǒng)完全依賴用戶自覺(jué)控制本身的下載行為，沒(méi)有任何技術(shù)措施對(duì)惡意用戶或有害內(nèi)容進(jìn)行監(jiān)測(cè)，這就導(dǎo)致通過(guò)網(wǎng)絡(luò)獲得的并不安全的應(yīng)用程序和文件會(huì)給用戶的安全防護(hù)打開(kāi)一道后門(mén)。所以設(shè)計(jì)一種可以檢測(cè)出p2p傳輸文件是否攜帶病毒的方法則顯得尤為重要。該文針對(duì)p2p流獨(dú)有的傳輸方式并結(jié)合傳輸層標(biāo)志位的p2p流識(shí)別方法，設(shè)計(jì)了一個(gè)實(shí)時(shí)檢測(cè)p2p傳輸中帶病毒的文件的方法。

1 識(shí)別方法詳細(xì)闡述

1.1 相關(guān)概念

1.1.1 對(duì)病毒庫(kù)的分類

通過(guò)觀察研究病毒的特點(diǎn)將病毒分成了兩大類，其中一類是會(huì)改變文件長(zhǎng)度的病毒。該類病毒在感染文件時(shí)，在PE文件的文件頭添加一個(gè)新節(jié)表，在這個(gè)新節(jié)表中會(huì)有新病毒節(jié)在文件中的節(jié)名、本節(jié)在文件中的開(kāi)始位置、本節(jié)在文件中對(duì)齊后的大小等信息，同時(shí)還會(huì)修改程序的入口點(diǎn)并保留舊的入口點(diǎn)，以便在病毒程序執(zhí)行后返回到原文件繼續(xù)執(zhí)行。而另一類是不會(huì)改變文件長(zhǎng)度，插入到文件中的病毒代碼。這種病毒可能會(huì)尋找文件中的空洞（Cavity，即具有足夠長(zhǎng)度的全部為零的程序數(shù)據(jù)區(qū)或堆棧區(qū)），并把病毒代碼放入空洞中，然后改變文件的開(kāi)始處代碼或入口地址或者是將病毒代碼分散到PE文件對(duì)齊時(shí)產(chǎn)生的空洞之中，這樣就不會(huì)增加文件的長(zhǎng)度了[6]。針對(duì)這種病毒分類，建立相應(yīng)的第一類和第二類病毒庫(kù)。

1.1.2 對(duì)表格的介紹實(shí)時(shí)文件病毒檢測(cè)方法研究

目前，每個(gè)p2p文件塊傳輸結(jié)束后，系統(tǒng)可能對(duì)接收到的文件進(jìn)行安全檢測(cè)。由于在文件的安全檢測(cè)過(guò)程中也會(huì)有大量完整的文件塊到達(dá)，這樣就會(huì)影響文件安全檢測(cè)的實(shí)時(shí)性和檢測(cè)效率。另外，如果檢測(cè)到帶毒文件而不刪除，則會(huì)給用戶帶來(lái)一定的損失，而如果刪除了文件就要重新下載，這樣又會(huì)給本來(lái)就脆弱的網(wǎng)絡(luò)帶來(lái)更大的負(fù)荷。針對(duì)這兩個(gè)問(wèn)題，該文采用了文件到達(dá)即開(kāi)始掃描的策略，即把在傳輸層緩存的文件切片傳送到應(yīng)用層（即按照文件的存儲(chǔ)單位來(lái)傳輸文件），在應(yīng)用層按照文件的對(duì)齊方式在每頁(yè)可能的開(kāi)始位置掃描。這相當(dāng)于將一個(gè)大的文件先切片再細(xì)分，這樣可以有效的提高文件的安全檢測(cè)效率同時(shí)也可以滿足文件安檢的實(shí)時(shí)性。由于是按照文件的存儲(chǔ)單位進(jìn)行傳送，所以不會(huì)因?yàn)槲募膫魉投鴮?duì)文件的對(duì)齊粒度造成影響，從而影響到文件的安全檢測(cè)。另外，由于是一邊傳送文件一邊對(duì)文件進(jìn)行安全檢測(cè)，在發(fā)現(xiàn)病毒時(shí)可以實(shí)時(shí)終止文件的傳輸，這樣可以有效的緩解由于帶病毒的文件導(dǎo)致的文件再次傳輸所帶來(lái)的網(wǎng)絡(luò)負(fù)荷。在傳輸層和應(yīng)用層建立識(shí)別過(guò)程中會(huì)用到的表格。

該表中的源端口、文件標(biāo)識(shí)和緩沖區(qū)標(biāo)號(hào)的功能與傳輸層備份表的作用是一致的。只是在傳輸層緩存到達(dá)的文件而在應(yīng)用層是存儲(chǔ)暫時(shí)安全的文件。

文件對(duì)齊方式：即文件對(duì)齊粒度。例如，如果該值是512（200H），那么每節(jié)的起始地址必須是512的倍數(shù)。若第一節(jié)從文件偏移量300H開(kāi)始且大小是10字節(jié)，則下一節(jié)必定位于偏移量500H，即使偏移量300H和500H之間還有很多空間沒(méi)被使用[8]。

文件大?。何覀円罁?jù)此給傳輸層分配相應(yīng)的緩存大小。文件大小是通過(guò)文件頭中的文件最后一頁(yè)字節(jié)數(shù)和文件頁(yè)數(shù)來(lái)確定的。一個(gè)文件頁(yè)以512B為存儲(chǔ)單位，計(jì)算文件大小的公式為：（總頁(yè)數(shù)-1）*512+最后一頁(yè)字節(jié)數(shù)[6]。

已接收文件的大小：記錄相應(yīng)文件已經(jīng)存入應(yīng)用層緩存中的數(shù)量。

1.2 算法的闡述

我們將到達(dá)應(yīng)用層的p2p文件分為三類，第一類是首次到達(dá)應(yīng)用層的文件頭；第二類是后繼于文件頭的后續(xù)文件；第三類是超時(shí)到達(dá)的文件。當(dāng)一個(gè)文件到達(dá)應(yīng)用層時(shí)，首先判斷在應(yīng)用層記錄表中是否有記錄，有則證明該文件屬于第二類文件；沒(méi)有則檢測(cè)文件的前四個(gè)字節(jié)是否是0x4D5A，即ASCII字符的MZ，是則證明是第一類文件；不是則證明是第三類文件。我們將第三類文件直接丟棄。第二類文件是從傳輸層按照文件的存儲(chǔ)單位切片向應(yīng)用層發(fā)送的，文件到達(dá)應(yīng)用層后，會(huì)在文件的所有可能開(kāi)始位置（相當(dāng)于將文件再次分片，只是本次分片的單位是文件的對(duì)齊粒度）同時(shí)掃描并與第二類病毒庫(kù)比較來(lái)判斷文件是否感染。

對(duì)于第一類文件，要先對(duì)PE文件頭進(jìn)行掃描。因?yàn)镻E文件頭的大小是1024B，其中MZ頭、PE映象文件頭（包括PE文件的標(biāo)志）及PE可選文件頭共376B。節(jié)表區(qū)域的大小是根據(jù)節(jié)頭的數(shù)量來(lái)確定的，每個(gè)節(jié)頭的大小是40B。一般情況下，一個(gè)PE文件有5～6個(gè)節(jié)，因此在整個(gè)文件頭有408～448B的自由空間可供病毒使用[6]。所以我們認(rèn)為整個(gè)節(jié)表區(qū)的前五個(gè)節(jié)表是安全的，并從第六個(gè)節(jié)表開(kāi)始掃描同時(shí)與第一類病毒庫(kù)的特征碼比較來(lái)判斷文件是否感染。

1.3 算法的實(shí)現(xiàn)步驟

第一步：通過(guò)端口過(guò)濾和傳輸層標(biāo)志位方法檢測(cè)到達(dá)的文件是否是p2p流。是轉(zhuǎn)第二步；否將流直接轉(zhuǎn)發(fā)到應(yīng)用層，到第三步。

第二步：傳輸層在控制位置1，并將流轉(zhuǎn)發(fā)到應(yīng)用層。

第三步：應(yīng)用層檢查控制位是否為1，是第四步；否則將文件流轉(zhuǎn)發(fā)給用戶，結(jié)束。

第四步：在應(yīng)用層文件表中檢查是否有該文件的記錄。是轉(zhuǎn)第八步；否掃描文件的前四個(gè)字節(jié)檢查是否是0x4D5A，即MZ，是第五步；否則將文件丟棄，結(jié)束。

第五步：從第六個(gè)節(jié)表開(kāi)始掃描并與第一類病毒庫(kù)比較，判斷是否有匹配的節(jié)。是則應(yīng)用層通知發(fā)送方停止傳送文件并重新下載，結(jié)束；否到第六步。

第六步： 在應(yīng)用層中記錄該文件的對(duì)應(yīng)項(xiàng)，并通知傳輸層建立相應(yīng)的緩沖區(qū)和文件項(xiàng)，同時(shí)通知發(fā)送方可以繼續(xù)傳輸文件。

第七步：將接收到的文件存入相應(yīng)緩存中，并將文件按照存儲(chǔ)單位大小切片傳給應(yīng)用層。

第八步：應(yīng)用層根據(jù)文件標(biāo)識(shí)找到相應(yīng)的文件對(duì)齊方式，確定所有的文件可能開(kāi)始位置，掃描并與第二類病毒庫(kù)相比較，判斷是否與其匹配。是轉(zhuǎn)第十一步；否轉(zhuǎn)第九步。

第九步：將文件放入應(yīng)用層相應(yīng)的緩存并修改已接收文件中的值，與文件大小相比較判斷文件是否接收完畢。是轉(zhuǎn)第十步；否轉(zhuǎn)第七步。

第十步：將文件存入指定位置，同時(shí)刪除應(yīng)用層和傳輸層表格中的對(duì)應(yīng)項(xiàng)，結(jié)束。

第十一步：應(yīng)用層將對(duì)應(yīng)的文件丟棄，通知發(fā)送方停止發(fā)送同時(shí)讓傳輸層刪除相應(yīng)的表格信息。

第十二步：傳輸層接到信息后開(kāi)始計(jì)時(shí)，在相應(yīng)的是否丟棄項(xiàng)置1。

第十三步：傳輸層檢查計(jì)時(shí)器是否到2t。否轉(zhuǎn)第十四步；是將被計(jì)時(shí)的文件及文件項(xiàng)刪除，回收緩沖區(qū)并將計(jì)時(shí)器清零，結(jié)束。

第十四步：將接收到的文件按照傳輸層備份表的內(nèi)容進(jìn)行相應(yīng)的處理。轉(zhuǎn)第十三步。

2 實(shí)驗(yàn)與檢測(cè)

實(shí)驗(yàn)在VC++6.0的開(kāi)發(fā)環(huán)境下完成的。由于記錄時(shí)間使用的是timeGetTime（）函數(shù)，所以時(shí)間差的單位是ms。我們針對(duì)網(wǎng)絡(luò)傳輸時(shí)可能出現(xiàn)的數(shù)據(jù)流的大小，即慢，較快和很快，對(duì)相應(yīng)大小的文件進(jìn)行三次掃描，并分別記錄時(shí)間差，并用其平均值作為最后的結(jié)果。

我們用分頁(yè)掃描文件的時(shí)間與一次掃描文件的時(shí)間的平均值相除，三次的比值分別為8.6%、8.6%和8.2%。這說(shuō)名使用本文的方法來(lái)掃描文件時(shí)所用的時(shí)間僅僅是原來(lái)時(shí)間的8%左右，大大降低了因?yàn)閽呙栉募鴰?lái)的延時(shí)，基本上可以做到實(shí)時(shí)掃描。

3 總結(jié)

由于病毒的出現(xiàn)速度遠(yuǎn)超過(guò)于病毒庫(kù)的更新速度，所以本方法對(duì)于新出現(xiàn)的病毒無(wú)法及時(shí)查出，需要用戶實(shí)時(shí)更新病毒庫(kù)才能最大限度的保證接收到的文件的安全性。由于本文中的方法是專門(mén)針對(duì)p2p文件流的方法，所以沒(méi)有考慮到網(wǎng)頁(yè)的惡意腳本病毒及蠕蟲(chóng)和木馬等情況，在以后的工作中會(huì)加以改進(jìn)。

參考文獻(xiàn)：

[1] 潘國(guó)浩.因特網(wǎng)中P2P技術(shù)的研究與應(yīng)用[J].網(wǎng)絡(luò)通訊與安全，2007（6）.

[2] 張春紅.P2P技術(shù)全面解析[M].北京：人民郵電出版社，2010.

[3] 張文，候立東.基于傳輸層標(biāo)志位的p2p流量識(shí)別技術(shù)[N].科技咨詢導(dǎo)報(bào)，2007-06-06.