對(duì)等網(wǎng)絡(luò)流量信息結(jié)構(gòu)異常的檢測(cè)技術(shù)探究

葉衛(wèi)華

【摘要】 當(dāng)前針對(duì)網(wǎng)絡(luò)流量信息的異常結(jié)構(gòu)展開的檢測(cè)技術(shù)還未取得統(tǒng)一完善的研究，本文在闡述對(duì)等網(wǎng)絡(luò)的相關(guān)概念后，著重就對(duì)等網(wǎng)絡(luò)的流量異常檢測(cè)技術(shù)進(jìn)行了研究，提出了基于節(jié)點(diǎn)行為的對(duì)等網(wǎng)絡(luò)流量異常檢測(cè)方法。

【關(guān)鍵詞】 對(duì)等網(wǎng)絡(luò) 流量信息 異常檢測(cè)

當(dāng)前，許多來自互聯(lián)網(wǎng)的惡意攻擊會(huì)導(dǎo)致計(jì)算機(jī)用戶網(wǎng)絡(luò)癱瘓、配置失效、鏈路頻繁中斷等問題，久而久之，整個(gè)網(wǎng)絡(luò)環(huán)境被嚴(yán)重污染，網(wǎng)絡(luò)運(yùn)營商的服務(wù)評(píng)價(jià)將日漸降低。只有積極針對(duì)網(wǎng)絡(luò)流量的異常信息進(jìn)行檢測(cè)，才能確保網(wǎng)絡(luò)秩序的正?；?。

一、對(duì)等網(wǎng)絡(luò)的概述

對(duì)等網(wǎng)絡(luò)的實(shí)質(zhì)也就是網(wǎng)絡(luò)的分布式規(guī)劃，這樣的網(wǎng)絡(luò)形式強(qiáng)調(diào)的是鏈接到網(wǎng)絡(luò)中每一個(gè)節(jié)點(diǎn)用戶都能夠共享到網(wǎng)絡(luò)的部分資源，這些可以共享的資源在網(wǎng)絡(luò)中可以被其他的節(jié)點(diǎn)用戶直接訪問并使用有關(guān)服務(wù)，而無需再次搭建不同對(duì)象之間的中間連接。整個(gè)網(wǎng)絡(luò)中的所有計(jì)算機(jī)都在提供或享受著不同的資源或服務(wù)，如實(shí)現(xiàn)信息共享、數(shù)據(jù)交換、計(jì)算及存儲(chǔ)資源、共享打印等。

二、對(duì)等網(wǎng)絡(luò)的流量異常檢測(cè)技術(shù)

不同的異常檢測(cè)系統(tǒng)對(duì)P2P網(wǎng)絡(luò)的流量異常檢測(cè)中，需要重視檢測(cè)精確度、運(yùn)轉(zhuǎn)實(shí)時(shí)性、檢測(cè)全面性和新的網(wǎng)絡(luò)異常行為等幾個(gè)方面的關(guān)鍵性元素。每一種異常檢測(cè)技術(shù)都應(yīng)該考慮到網(wǎng)絡(luò)異常攻擊的全新形式、網(wǎng)絡(luò)病毒的全新變種、部分應(yīng)激噪聲流量可能出現(xiàn)的隱蔽性異常，才能讓技術(shù)的設(shè)計(jì)優(yōu)化更有針對(duì)性。

2.1 對(duì)等網(wǎng)絡(luò)流量的應(yīng)用分類

按照P2P網(wǎng)絡(luò)應(yīng)用的不同，可以將網(wǎng)絡(luò)流量分為以下幾種：（1）文件共享類，如專用下載軟件等；（2）網(wǎng)絡(luò)傳輸類，如網(wǎng)絡(luò)直播電視軟件等；（3）即時(shí)通信類；如QQ軟件等；（4）網(wǎng)絡(luò)電子游戲類，如QQ游戲等；（5）共享服務(wù)或其他處理類軟件。

在采用這樣的分類標(biāo)準(zhǔn)重新規(guī)劃對(duì)等網(wǎng)絡(luò)流量后，采用基于數(shù)據(jù)包內(nèi)容實(shí)現(xiàn)網(wǎng)絡(luò)流量異常的檢測(cè)方法就有些不合時(shí)宜。首先對(duì)于不斷更新升級(jí)的軟件，無法確保有效的高檢測(cè)準(zhǔn)確率，無法做到檢測(cè)數(shù)據(jù)庫的同步更新。其次，一旦出現(xiàn)不同類型的新軟件，在無法確定該軟件應(yīng)用類型前，數(shù)據(jù)包檢測(cè)沒有匹配的流量范圍用于支持檢測(cè)。這些問題，也正是本文考慮基于計(jì)算機(jī)節(jié)點(diǎn)行為來改進(jìn)對(duì)等網(wǎng)絡(luò)流量異常檢測(cè)的關(guān)鍵。

2.2 基于節(jié)點(diǎn)行為的對(duì)等網(wǎng)絡(luò)流量異常檢測(cè)方法

2.2.1 節(jié)點(diǎn)行為

我們使用以迅雷等專用下載軟件為代表的文件共享類 P2P應(yīng)用為案例進(jìn)行節(jié)點(diǎn)行為分析。首先需要明確，P2P應(yīng)用中很多節(jié)點(diǎn)為從目標(biāo)服務(wù)器上獲得資源，可能出現(xiàn)不同的鏈接情況。如迅雷在啟動(dòng)后，程序初始化后的短時(shí)間內(nèi)軟件運(yùn)行呈現(xiàn)穩(wěn)態(tài)，多節(jié)點(diǎn)時(shí)間連接有效進(jìn)行數(shù)據(jù)服務(wù)。在這個(gè)短時(shí)間內(nèi)，申請(qǐng)資源的用戶計(jì)算機(jī)將以客戶端的身份發(fā)出請(qǐng)求，加入分布式哈希表等存儲(chǔ)列中，得到其他節(jié)點(diǎn)共享該資源的情況。文件共享類P2P應(yīng)用中這些節(jié)點(diǎn)行為，在初始化分布式哈希表后進(jìn)行資源申請(qǐng)時(shí)，都會(huì)完成大量的互連節(jié)點(diǎn)通信，確保當(dāng)實(shí)現(xiàn)軟件運(yùn)行穩(wěn)態(tài)后，新增節(jié)點(diǎn)不再變化。這樣用戶對(duì)于所需資源的搜索，基本可以靠幾個(gè)大流量的節(jié)點(diǎn)就能完成?；诠?jié)點(diǎn)行為的網(wǎng)絡(luò)流量異常檢測(cè)技術(shù)就是對(duì)初始狀態(tài)的所有數(shù)據(jù)流產(chǎn)生必要的解析，整理出于主機(jī)保持聯(lián)系的信息，從而觀察主機(jī)在網(wǎng)絡(luò)結(jié)構(gòu)的傳輸層中的行為反應(yīng)，并將行為反應(yīng)與眾多的應(yīng)用相互關(guān)聯(lián)，實(shí)現(xiàn)流量的檢測(cè)與異常識(shí)別。

2.2.2 思路建模

（1）主機(jī)網(wǎng)絡(luò)位置。應(yīng)該積極獲取所要觀察的主機(jī)與其他對(duì)象之間的通信行為，判斷是否具有不同樣的交互信息，大膽分析目標(biāo)主機(jī)的IP地址，并確定不同主機(jī)之間的鏈接情況。（2）主機(jī)網(wǎng)絡(luò)功能。應(yīng)分析主機(jī)在網(wǎng)絡(luò)環(huán)境中的功能定位，區(qū)別屬于用戶還是服務(wù)器。（3）主機(jī)應(yīng)用行為。分析主機(jī)應(yīng)用行為，需要得到主機(jī)網(wǎng)絡(luò)傳輸層的交互數(shù)據(jù)。通過特定時(shí)長與通信節(jié)點(diǎn)數(shù)判斷數(shù)據(jù)流的應(yīng)用類型。

本文基于節(jié)點(diǎn)行為的網(wǎng)絡(luò)流量異常檢測(cè)方法可以按以下模型來予以表達(dá)：

結(jié)束語

對(duì)等網(wǎng)絡(luò)流量異常檢測(cè)需要不斷提供技術(shù)的可行性，才能發(fā)揮更好的作用?；诰W(wǎng)絡(luò)節(jié)點(diǎn)行為的流量異常檢測(cè)，主要通過標(biāo)識(shí)節(jié)點(diǎn)來進(jìn)行異常檢測(cè)，提高對(duì)等網(wǎng)絡(luò)大數(shù)據(jù)環(huán)境中的檢查效果。

參 考 文 獻(xiàn)

[1] 王蛟. 基于行為的P2P流量及異常流量檢測(cè)技術(shù)研究[D]. 北京郵電大學(xué)， 2008.

[2] 朱應(yīng)武，楊家海，張金祥. 基于流量信息結(jié)構(gòu)的異常檢測(cè)[J]. 軟件學(xué)報(bào)， 2010， 21（10）：2573-2583.