朱 暉，李偉華，史豪斌

西北工業(yè)大學 計算機學院，西安710129

隨著P2P 技術(shù)的發(fā)展和基于P2P 應(yīng)用的日漸增多，P2P流量已經(jīng)占據(jù)互聯(lián)網(wǎng)流量的70%，網(wǎng)絡(luò)蠕蟲找到了一種新的傳播途徑，得以相較于以往的傳統(tǒng)網(wǎng)絡(luò)蠕蟲更為快速和隱蔽地傳播。Zhou等[1]正式提出P2P 蠕蟲為通過發(fā)掘漏洞，利用P2P 網(wǎng)絡(luò)拓撲及其性質(zhì)進行自主擴散的蠕蟲。并且指出，利用P2P 網(wǎng)絡(luò)拓撲進行傳播的P2P 蠕蟲免去了在網(wǎng)絡(luò)上大規(guī)模隨機掃描的過程，因此攻擊流量能夠方便地隱藏于P2P 流量中，使得傳播更加隱蔽，攻擊更加精確和高效，目前絕大多數(shù)針對掃描型蠕蟲的防御機制都難以有效控制這種新型蠕蟲。由于P2P 協(xié)議著重于性能，而相對忽視了對P2P 網(wǎng)絡(luò)的管理，以及P2P 軟件的多樣性，所以協(xié)議或者軟件的安全漏洞難以避免。一旦有漏洞被別有用心的黑客利用，數(shù)千萬的P2P 用戶主機安全將受到嚴重威脅，因此針對P2P 蠕蟲傳播檢測和遏制的研究迫在眉睫。

1 相關(guān)研究

1.1 P2P 蠕蟲分類

按照傳播方式P2P 蠕蟲一般分為三類[2]：主動型P2P 蠕蟲（Proactive P2P Worm）、反應(yīng)型P2P 蠕蟲（Reactive P2P Worm）和被動型P2P 蠕蟲（Passive P2P Worm）。主動型和反應(yīng)型P2P 蠕蟲都是利用P2P 協(xié)議或者P2P 客戶端的漏洞主動攻擊對等機的方式進行傳播。兩者的區(qū)別在于：主動型P2P 蠕蟲會通過P2P 協(xié)議主動獲取大量的節(jié)點信息表，并主動攻擊這些節(jié)點；而反應(yīng)型P2P蠕蟲當且僅當受感染主機與對等機有正常連接時候才進行傳播，這樣蠕蟲流量隱藏于正常的P2P 數(shù)據(jù)流中，隱蔽性較好，但是傳播速度比主動型P2P 蠕蟲稍慢。被動型P2P 蠕蟲將自己偽裝成當前流行的資源，誘使用戶下載并執(zhí)行，與傳統(tǒng)的蠕蟲傳播方式有較大的區(qū)別，更類似于一種社會工程學攻擊。其傳播依賴于用戶主動下載，所以傳播速度相對上兩種蠕蟲最慢，也沒有任何異常的網(wǎng)絡(luò)流量，最難在其傳播階段被檢測到。

1.2 蠕蟲傳播模型

理想的蠕蟲傳播模型可以為監(jiān)控蠕蟲傳播，進而限制、消滅蠕蟲提供一個有力的參考。在長期的研究中發(fā)現(xiàn)，網(wǎng)絡(luò)蠕蟲的擴散與生物學病毒的擴散有許多相似之處，由于對后者的研究相對成熟，所以很多網(wǎng)絡(luò)蠕蟲傳播模型借鑒于生物學傳播模型，如SI（Susceptible-Infection）模 型、SIS（Susceptible-Infection-Susceptible）[3]模 型、SIR（Susceptible-Infection-Removed）模型、雙因素（Two Factor）模型[4]等等。

以上蠕蟲傳播模型主要適用于Internet 上的普通蠕蟲傳播。對于P2P 網(wǎng)絡(luò)上的蠕蟲傳播有人基于雙因素模型并結(jié)合P2P 網(wǎng)絡(luò)的特性，提出了四因素（Four Factor）[5]模型，總結(jié)了影響主動P2P 蠕蟲傳播的4 個因素：首先是用戶和ISP 采取的蠕蟲對抗措施；其次是P2P 網(wǎng)絡(luò)拓撲結(jié)構(gòu)；再次是網(wǎng)絡(luò)中節(jié)點配置的差異程度；最后是攻防策略。

1.3 現(xiàn)有的P2P 蠕蟲檢測方法

基于蠕蟲特征碼的檢測技術(shù)是根據(jù)蠕蟲在傳播時發(fā)出大量相似報文，將這些相似的數(shù)據(jù)作為特征碼。

基于用戶正常網(wǎng)絡(luò)行為的分析[6]是通過對用戶網(wǎng)絡(luò)行為的學習建立用戶的習慣列表，將未知的通信行為作為蠕蟲傳播的依據(jù)。

基于連接變化點的檢測方法CCD（Connection Changepoint based Detection）[7]通過監(jiān)測P2P 節(jié)點的入站或者出站連接數(shù)，認為突然的連接數(shù)變化可能代表著潛在的蠕蟲活動。

縱觀以上這些方法，發(fā)現(xiàn)基于特征碼的檢測技術(shù)對已知并提取特征碼的蠕蟲傳播的檢測比較有效，對于未知的蠕蟲無能為力?；谟脩粽＞W(wǎng)絡(luò)行為的分析檢測方法，因為用戶網(wǎng)絡(luò)行為具有不確定性，所以此方法誤報率較高。CCD 檢測方法只檢測節(jié)點的入站和出站連接，對節(jié)點行為的刻畫稍顯粗略，導(dǎo)致難以在檢測率和檢測速度以及漏檢率上同時達到相對優(yōu)秀的結(jié)果。而且CCD 檢測對整個網(wǎng)絡(luò)的全局連接進行統(tǒng)計，檢測時計算壓力完全由幾個主要的服務(wù)器或者網(wǎng)絡(luò)上的路由器負擔，與P2P 網(wǎng)絡(luò)分散式的處理信息管理網(wǎng)絡(luò)的初衷相背。由此在以上分析的基礎(chǔ)上，提出一種基于節(jié)點行為的主動P2P 蠕蟲檢測方法。

2 基于節(jié)點行為的主動P2P 蠕蟲檢測方法PBD

2.1 節(jié)點行為分析

主動P2P 蠕蟲不需要大規(guī)模的掃描網(wǎng)絡(luò)，僅利用P2P網(wǎng)絡(luò)即可向鄰居節(jié)點實施攻擊，目標是用最快的傳播速度感染所有的易感節(jié)點。所以它必然需要采取積極、貪婪的傳播算法，即首先在嘗試感染完鄰居節(jié)點之余，進一步擴充P2P 路由表信息，只有這樣最大化地利用被感染的節(jié)點的計算能力和網(wǎng)絡(luò)資源，主動P2P 蠕蟲才能更快速地傳播。因此，被感染的節(jié)點會向網(wǎng)絡(luò)中發(fā)送大量的資源搜索和聯(lián)系人查找信息，以獲取更多的P2P 節(jié)點信息，并實施攻擊。

主動P2P 蠕蟲在獲取到大量P2P 網(wǎng)絡(luò)節(jié)點信息并實施攻擊時，必然會導(dǎo)致出站連接的增加。而且這種連接與正常的資源請求連接不同，攻擊節(jié)點只需要與被攻擊節(jié)點建立短暫的連接，隨著攻擊的結(jié)束即斷開與目的節(jié)點的持續(xù)連接，即可完成一次攻擊嘗試。這種大量、短暫的出站連接是主動P2P 蠕蟲進行傳播的典型特征。

為了后面表述方便，現(xiàn)在對長連接以及短連接進行定義。

定義1（長連接LTL（Long-Time Link））P2P 網(wǎng)絡(luò)中兩節(jié)點之間，為了完成P2P 網(wǎng)絡(luò)預(yù)訂任務(wù)（如資源傳輸、任務(wù)分配等），所建立的長時間的連接。

定義2（短連接STL（Short-Time Link））除了LTL 以外的，P2P 網(wǎng)絡(luò)中兩節(jié)點之間的所有信息傳輸動作（包括未真正建立連接的協(xié)議）。其中又分為短出站連接STOL（Short-Time Outbound Link）和短入站連接STIL（Short-Time Inbound Link）。

基于以上分析，提出一種基于節(jié)點行為的主動P2P 蠕蟲檢測方法PBD。上文分析的資源搜索信息、聯(lián)系人查找信息和攻擊流量都屬于STOL，所以通過檢測STOL 的數(shù)量變化可以發(fā)現(xiàn)P2P 蠕蟲的傳播。對于STOL 數(shù)量變化問題，可以應(yīng)用連續(xù)檢測問題的解決方法予以解決。連續(xù)監(jiān)測問題是對于連續(xù)的觀測量，如果有一個變化發(fā)生后要盡快地把這種變化檢測出來。由于P2P 網(wǎng)絡(luò)中節(jié)點數(shù)量龐大，所以采用平均運行長度相對較短的CUSUM 算法[8]，檢測主動P2P 蠕蟲的傳播。

在對P2P 軟件的正常使用過程中，節(jié)點加入P2P 網(wǎng)絡(luò)、資源搜索、資源發(fā)布和聯(lián)系人查找請求所產(chǎn)生的連接都可以歸于STOL。通過對P2P 協(xié)議的分析，可知節(jié)點加入P2P網(wǎng)絡(luò)和資源發(fā)布為P2P 軟件自動或者長周期性地進行，只會小規(guī)模產(chǎn)生STOL，正常情況下下一次產(chǎn)生此類信息與上一次沒有任何關(guān)聯(lián)，所以不可能通過積累而產(chǎn)生誤報。資源搜索和聯(lián)系人查找請求是由用戶搜索或者開始下載資源所產(chǎn)生的，在用戶正常的使用情況下，也不會大量持續(xù)產(chǎn)生STOL，在之后的參數(shù)選擇中通過合理設(shè)置參數(shù)，也不會產(chǎn)生誤報。

2.2 檢測算法

首先，將時間劃分為長度相同的離散觀測窗口，表示為Δn ，n=1，2，…在第n 個觀測窗口觀測到的整個P2P 網(wǎng)絡(luò)上的短出站連接STOL 數(shù)量表示為一個隨機序列C={cn}n∈N。希望在E（C）變化的時刻，通過檢測隨機序列C的CUSUM 統(tǒng)計量得知這個變化，從而確定主動P2P 蠕蟲的傳播。

令x1，x2，…，xθ為獨立同分布N（0，1）變量，而xθ+1，xθ+2，…為獨立同分布N（δ，1）變量，其中變點θ位置，對一列給定觀測值xθ+1，xθ+2，…，xn，備擇假設(shè)θ=ν（ν＜n）對原假設(shè)θ=∞（無變點）的對數(shù)似然比統(tǒng)計量為：

因為，目標是檢測出P2P 節(jié)點短連接的異常增大，即已知是單向檢測問題，δ＞0，則對上述對數(shù)似然比統(tǒng)計量等價于下述統(tǒng)計量：

經(jīng)過變換可以得到Zn的遞推公式[8]：

由于未知P2P 蠕蟲的攻擊強度、傳播能力是未知的，而且P2P 網(wǎng)絡(luò)也處于發(fā)展和變化之中，所以難以事先知道δ的取值。可以采用一個不定參數(shù)k 代替δ/2，從而得到更一般的CUSUM 統(tǒng)計量：

假設(shè)事先選定一個門限值h（h＞0），如果Zi≤h ，i=1，2，…，n，說明在到時刻n 為止的過程中沒有證據(jù)顯示P2P節(jié)點STOL 數(shù)量異常增多，檢測繼續(xù)。若Zi≤h（i=1，2，…，n-1），且Zn＞h，則表示檢測到P2P 節(jié)點STOL 數(shù)量異常增多，可能該節(jié)點已經(jīng)被P2P 蠕蟲感染，并且正在向外界傳播蠕蟲。記τn為檢測到主動P2P 蠕蟲的運行時間：

2.3 參數(shù)選擇

主動P2P 蠕蟲攻擊檢測系統(tǒng)有三個關(guān)鍵的指標：第一個是誤報率；第二個是漏報率；第三個是檢測時間。這三者是相互矛盾的，不可能使三個指標同時達到最優(yōu)，所以參數(shù)的選擇必須有所取舍。

CUSUM統(tǒng)計式（3）由兩個參數(shù)（h，k）決定，其中h稱為門限值（Decision Boundary），k稱為信念值（Reference Value）。選擇的標準是用平均運行長度ARL，在ARL0滿足設(shè)定要求的條件下選擇使ARL1盡可能小的（h，k）對。這里ARL0=E（τn|網(wǎng)絡(luò)處于受控狀態(tài)），ARL1=E（τn|網(wǎng)絡(luò)開始就處于蠕蟲傳播狀態(tài)），其中τn如式（4）所定義，為檢測到攻擊的時間。

首先，定義攻擊反應(yīng)時間ρ如下：

其中τs為攻擊開始的時間。

對于參數(shù)k的選擇，Hawkins[9]研究指出，若要求CUSUM在受控狀態(tài)下的ARL0滿足一定的條件下而在某個δ處的ARL1達到最小，則應(yīng)取k=E（C）+δ/2，但是實際難以真正準確知道某個主動P2P 蠕蟲的傳播對P2P 網(wǎng)絡(luò)的影響。若δ和k取值過小，則會導(dǎo)致過高的誤報率。因為P2P蠕蟲若不能在初期廣泛快速傳播，使得用戶有足夠的時間來應(yīng)對，其難以對整個P2P 網(wǎng)絡(luò)造成大的破壞，所以一定的低速P2P蠕蟲的漏報是可以容許的。綜上所述，參數(shù)k 應(yīng)該在ARL0滿足設(shè)定要求前提下，盡可能取值小一些，以期盡可能檢測出更多的主動P2P 蠕蟲活動。

在實驗中發(fā)現(xiàn)對于所有的節(jié)點設(shè)定相同的k 難以獲得滿意的結(jié)果。因為P2P 節(jié)點的網(wǎng)絡(luò)條件具有很大的差別，所以傳播蠕蟲的能力也有很大的差異性，導(dǎo)致傳播蠕蟲時偏移量δ也各不相同。根據(jù)不同的網(wǎng)絡(luò)條件和不同的鄰居節(jié)點數(shù)量的節(jié)點設(shè)置不同的偏移量，能更好地檢測到主動P2P 蠕蟲的傳播。

同時參數(shù)k 是由于蠕蟲傳播，導(dǎo)致E（C）向上偏移所得，可以記k為：

其中α為一個正數(shù)，稱為偏移率。

由于蠕蟲傳播所導(dǎo)致的均值偏移預(yù)期為δ，所以cn=E(C)+δ。

可以得知在蠕蟲的傳播階段，Zn-Zn-1即每輪檢測CUSUM 統(tǒng)計量的增量為αE（C）。門限值h 從邏輯上可以理解為是由每輪的CUSUM 統(tǒng)計量增量經(jīng)過攻擊反應(yīng)時間ρ所累積出的，因此門限值h 可以記為：

當攻擊反應(yīng)時間ρ設(shè)定得小的時候，可能導(dǎo)致過高的誤判率；反之將攻擊反應(yīng)時間設(shè)定過大又需要很長的時間才能檢測到蠕蟲的傳播。

最后，E（C）可以由實驗預(yù)先得知，并根據(jù)觀測到的結(jié)果實時進行修正。主動P2P 蠕蟲可能降低傳播速度，以躲避系統(tǒng)的檢測，但是系統(tǒng)觀測到的E（C）將不可避免地高于傳播前的狀態(tài)，所以E（C）的提高也可以作為一個系統(tǒng)檢測主動P2P蠕蟲的輔助因素。對于傳播速度較慢的P2P蠕蟲，也可以通過檢測E（C）的變化而得知。

3 主動P2P 蠕蟲檢測系統(tǒng)PPWDS

P2P 網(wǎng)絡(luò)由不同的信息處理能力、貢獻率和網(wǎng)絡(luò)帶寬的節(jié)點組成，將信息處理能力強、貢獻率高以及網(wǎng)絡(luò)帶寬大的節(jié)點稱為超級節(jié)點。超級節(jié)點不僅是P2P 網(wǎng)絡(luò)正常運轉(zhuǎn)的基礎(chǔ)，在受到主動P2P 蠕蟲攻擊時，它們的安全也是能否遏制主動P2P 蠕蟲快速傳播的關(guān)鍵。因此，為了既能充分利用超級節(jié)點的處理能力，又能重點保護超級節(jié)點的安全，提出了PPWDS。

3.1 PPWDS 系統(tǒng)結(jié)構(gòu)

圖1 主動P2P 蠕蟲檢測系統(tǒng)

如圖1 所示，PPWDS 分為兩層：（1）基本P2P 層BPL（Base P2P Layer），即設(shè)計要保護的P2P 層。本層的節(jié)點根據(jù)二元組（IP，Port）對每個節(jié)點進行編號，而且系統(tǒng)將阻止相同的IP 地址以不同的端口號加入網(wǎng)絡(luò)，這樣每個節(jié)點都可以得到一個惟一的編號。（2）上層P2P 層TPL（Top P2P Layer），是由底層P2P 網(wǎng)絡(luò)超級節(jié)點組成的新的結(jié)構(gòu)化P2P網(wǎng)絡(luò)，組織方法可以采用Pastry、CAN、Chord 等。BPL 節(jié)點根據(jù)自身在BPL 的位置，從屬于多個附近的超級節(jié)點，即TPL 節(jié)點，這樣不僅可以抵抗TPL 節(jié)點正常或者不正常的離線，還能防止某一個TPL 節(jié)點被蠕蟲感染，偽造以及隱匿整個下層網(wǎng)絡(luò)的信息。

3.2 PPWDS 處理流程

PPWDS 對流量數(shù)據(jù)的處理分為以下4 步：

（1）BPL 節(jié)點收集自身節(jié)點的網(wǎng)絡(luò)信息，包括節(jié)點自身的長連接和短入站連接、短出站連接的連接對象編號和連接數(shù)量等。

（2）BPL 節(jié)點將收集的節(jié)點信息直接或者通過其他節(jié)點上傳給上級的TPL 節(jié)點。TPL 節(jié)點根據(jù)得到的信息執(zhí)行檢測算法，檢測是否有節(jié)點正在傳播主動P2P 蠕蟲。

（3）TPL 節(jié)點收到BPL 節(jié)點信息并執(zhí)行檢測后，首先將信息共享到附近的TPL節(jié)點，防止自身突然離線造成的損失，其次還要將信息共享到連接對象所屬的上層TPL 節(jié)點，目的在于防止感染P2P蠕蟲的節(jié)點偽造或者隱匿自身信息。

（4）TPL 根據(jù)檢測結(jié)果，對出現(xiàn)異常的BPL 節(jié)點直接或者間接進行處理。

4 實驗驗證

利用P2P 仿真工具PeerSim 對P2P 網(wǎng)絡(luò)進行模擬，在此基礎(chǔ)上對PBD 檢測主動P2P 蠕蟲進行了一系列的實驗。任取一個P2P 節(jié)點作為蠕蟲傳播起點，并對各種不同的參數(shù)各進行了50 次模擬實驗。

圖2 是α和ρ分別取3、4、5 的蠕蟲傳播以及PBD 的檢測結(jié)果。根據(jù)文獻[10]所測量的KAD 網(wǎng)絡(luò)，設(shè)定α=4 時，經(jīng)過實驗系統(tǒng)沒有產(chǎn)生過誤報，可以使得ARL0達到預(yù)定的要求。檢測系統(tǒng)PBD 平均經(jīng)過三個時間間隔第一次檢測到蠕蟲的傳播，此時P2P 網(wǎng)絡(luò)的感染率在3%～10%，滿足。但是可以明顯看出，在一段時間后，PBD 檢測時延明顯變大。原因在于設(shè)定節(jié)點擁有的鄰居越少，傳播蠕蟲的速度越慢，所以此類節(jié)點傳播蠕蟲時的偏移率要明顯小于擁有大量鄰居的節(jié)點，需要相對更長的時間才能檢測到這類節(jié)點的異常狀態(tài)。

圖2 固定α和ρ參數(shù)檢測結(jié)果

對比α=4，ρ=4 的數(shù)據(jù)，可以看出α=3，ρ=3 時檢測速度有了極大的提高，幾乎在傳播的時刻就能立刻檢測到P2P蠕蟲的傳播。但是在實驗中，可以發(fā)現(xiàn)檢測到的蠕蟲傳播數(shù)量甚至大于真實的蠕蟲傳播數(shù)量，明顯有誤報的情況發(fā)生。而且經(jīng)過實驗，系統(tǒng)可能在P2P 節(jié)點上線并帶有大量未完成的下載任務(wù)情況下，以及P2P 節(jié)點有比較大量的搜索請求時產(chǎn)生誤報。通過α=5，ρ=5 的檢測曲線，可以看出檢測的時間間隔相比前兩者有明顯增加。以上實驗完全印證了之前的分析，即α、ρ取值大小與檢測的速度呈現(xiàn)出正相關(guān)的關(guān)系。

對于變換參數(shù)，記α=α基數(shù)+節(jié)點度系數(shù)×節(jié)點度數(shù)。圖3 是在ρ=4 的基礎(chǔ)上，分別取α基數(shù)為2、2.5、3 以及節(jié)點度系數(shù)為0.05、0.15 的蠕蟲傳播，以及PBD 的檢測結(jié)果。在α基數(shù)取值為2，節(jié)點度系數(shù)取0.05 時，較小的節(jié)點在進行資源搜索、聯(lián)系人查找時，會產(chǎn)生誤報。加大節(jié)點度系數(shù)至0.15，誤報的情況仍然未能解決，繼續(xù)增大節(jié)點度系數(shù)系統(tǒng)檢測速度會急劇降低，所以α基數(shù)不能設(shè)置得過小。稍微加大α基數(shù)后，實驗系統(tǒng)在α=2.5+0.05×節(jié)點度數(shù)以及α=3.0+0.05×節(jié)點度數(shù)情況下均沒有產(chǎn)生過誤報，也可以使得ARL0達到預(yù)定的要求。但是α基數(shù)設(shè)置越小，檢測到蠕蟲傳播的速度越快，越能及時獲得P2P 蠕蟲傳播的及時情況。所以在使得ARL0達到預(yù)定要求的情況下，盡量選取小的α基數(shù)能獲得更好的檢測效果。而節(jié)點度系數(shù)的作用在于能夠使用相對于固定參數(shù)的α更小的α基數(shù)，而不會因為資源搜索、聯(lián)系人查找等正常的P2P 行為產(chǎn)生誤報。

圖3 變換α和ρ參數(shù)檢測結(jié)果

對于變換參數(shù)的檢測方法，系統(tǒng)同樣能在蠕蟲開始傳播的三個時間間隔后檢測到蠕蟲的傳播，此時P2P 網(wǎng)絡(luò)的感染率依舊處于3%～15%之間，但是對于節(jié)點度數(shù)較小的節(jié)點傳播蠕蟲檢測速度也有很大的提高，可以及時準確地掌握整個P2P 網(wǎng)絡(luò)的情況。因此可以認為，變換參數(shù)的PBD 檢測方法相對于固定參數(shù)的檢測方法更為優(yōu)秀。

實驗中還發(fā)現(xiàn)PBD 方法的一個缺點，也是大部分與連接點相關(guān)的方法共同的缺點，即如果有某個節(jié)點惡意發(fā)送大量的資源搜索信息和聯(lián)系人查找信息，系統(tǒng)會產(chǎn)生誤報。因為有惡意行為的節(jié)點較少，也不具有傳播性，PPWDS 檢測到僅有個別的節(jié)點有傳播P2P 蠕蟲的可能，可以認為P2P 網(wǎng)絡(luò)安全沒有P2P 蠕蟲的傳播。

對比CCD 檢測方法，兩者檢測到蠕蟲時的節(jié)點感染率分別為CCD 的2%～19%和3%～10%，可以認為兩個檢測方法的檢測速度相差不大。這里CCD 不存在誤檢率，經(jīng)過實驗，可以認為在一個穩(wěn)定、成熟的P2P 網(wǎng)絡(luò)中CCD 方法誤檢率幾乎為零。但是在一個快速發(fā)展或者不成熟的P2P 網(wǎng)絡(luò)中，CCD 可能由于P2P 網(wǎng)絡(luò)上某種流行資源的發(fā)布而使得整個網(wǎng)絡(luò)的流量陡增，從而使網(wǎng)絡(luò)上的持續(xù)連接在一個相對較長的時間內(nèi)保持較高的狀態(tài)，而導(dǎo)致誤報。這種流行資源的發(fā)布，網(wǎng)絡(luò)上節(jié)點的搜索量會增大，但是不會有持續(xù)的搜索在某一個節(jié)點上發(fā)生，同時PBD 忽略時間較長連接，不會對此種狀況產(chǎn)生誤報。

5 總結(jié)

本文采用了CUSUM 算法來檢測P2P 網(wǎng)絡(luò)中節(jié)點的行為，通過檢測節(jié)點的出站短連接的變化情況，來獲知整體P2P 網(wǎng)絡(luò)是否有蠕蟲傳播以及蠕蟲傳播的及時信息。該算法相比僅僅檢測節(jié)點連接情況的算法，能得到相同的準確率和更低的誤報率，在檢測系統(tǒng)的結(jié)構(gòu)上也符合P2P 的初衷。在提出算法的基礎(chǔ)上，還設(shè)計了一個主動P2P 蠕蟲檢測系統(tǒng)，該系統(tǒng)不僅適用于主動P2P 蠕蟲的檢測，還能適用于其他類型的P2P 蠕蟲檢測。接下來的工作，其一就是研究其他類型的P2P 蠕蟲傳播特征，使該系統(tǒng)的適用范圍更加廣泛；其二是研究該系統(tǒng)在遏制P2P 蠕蟲傳播時能起到的作用。

[1] Zhou Lidong，Zhang Lintao，McSherry F.A first look at peerto-peer worms：threats and defenses[C]//Proceedings of the 4th International Workshop on Peer-to-Peer Systems，2005：24-35.

[2] Chen Guanling，Gray R S.Simulating non-scanning worms on peer-to-peer networks[C]//Proceedings of the 1st International Conference on Scalable Information Systems，InfoScale’06.New York，NY，USA：ACM，2006.

[3] Wang Yang，Wang Chenxi.Modeling the effects of timing parameters on virus propagation[C]//Proceedings of the ACM Workshop on Rapid Malcode（WORM’03）.New York，NY，USA：ACM，2006.

[4] Zou Changchun，Gong Weibo.Code red worm propagation modeling and analysis[C]//Proceedings of the 9th ACM Conference on Computer and Communications Security（CCS’02）.Washington DC，USA：ACM，2002.

[5] Zhang Xiaosong，Chen Ting.Proactive worm propagation modeling and analysis in unstructured peer-to-peer networks[J].Zhejiang Univ-Sci C（Comput and Electron），2010，11（2）：119-129.

[6] 王平，方濱興，云曉春.基于用戶習慣的蠕蟲的早期發(fā)現(xiàn)[J].通信學報，2006（2）：56-65.

[7] 張治江.主動P2P 蠕蟲的檢測與防御技術(shù)研究[D].武漢：華中科技大學，2009.

[8] 濮曉龍.關(guān)于積累和（CUSUM）檢驗的改進[J].應(yīng)用數(shù)學學報，2003，26（2）：226-241.

[9] Hawkins D M.Cumulative sum charts and charting for quality improvement[M].New York：Springer-Verlag，1997：31-32.

[10] 余杰.P2P 網(wǎng)絡(luò)測量與安全關(guān)鍵技術(shù)研究[D].長沙：國防科技大學，2010.