葉衛(wèi)華

【摘要】 當前針對網(wǎng)絡流量信息的異常結(jié)構展開的檢測技術還未取得統(tǒng)一完善的研究，本文在闡述對等網(wǎng)絡的相關概念后，著重就對等網(wǎng)絡的流量異常檢測技術進行了研究，提出了基于節(jié)點行為的對等網(wǎng)絡流量異常檢測方法。

【關鍵詞】 對等網(wǎng)絡 流量信息 異常檢測

當前，許多來自互聯(lián)網(wǎng)的惡意攻擊會導致計算機用戶網(wǎng)絡癱瘓、配置失效、鏈路頻繁中斷等問題，久而久之，整個網(wǎng)絡環(huán)境被嚴重污染，網(wǎng)絡運營商的服務評價將日漸降低。只有積極針對網(wǎng)絡流量的異常信息進行檢測，才能確保網(wǎng)絡秩序的正常化。

一、對等網(wǎng)絡的概述

對等網(wǎng)絡的實質(zhì)也就是網(wǎng)絡的分布式規(guī)劃，這樣的網(wǎng)絡形式強調(diào)的是鏈接到網(wǎng)絡中每一個節(jié)點用戶都能夠共享到網(wǎng)絡的部分資源，這些可以共享的資源在網(wǎng)絡中可以被其他的節(jié)點用戶直接訪問并使用有關服務，而無需再次搭建不同對象之間的中間連接。整個網(wǎng)絡中的所有計算機都在提供或享受著不同的資源或服務，如實現(xiàn)信息共享、數(shù)據(jù)交換、計算及存儲資源、共享打印等。

二、對等網(wǎng)絡的流量異常檢測技術

不同的異常檢測系統(tǒng)對P2P網(wǎng)絡的流量異常檢測中，需要重視檢測精確度、運轉(zhuǎn)實時性、檢測全面性和新的網(wǎng)絡異常行為等幾個方面的關鍵性元素。每一種異常檢測技術都應該考慮到網(wǎng)絡異常攻擊的全新形式、網(wǎng)絡病毒的全新變種、部分應激噪聲流量可能出現(xiàn)的隱蔽性異常，才能讓技術的設計優(yōu)化更有針對性。

2.1 對等網(wǎng)絡流量的應用分類

按照P2P網(wǎng)絡應用的不同，可以將網(wǎng)絡流量分為以下幾種：（1）文件共享類，如專用下載軟件等；（2）網(wǎng)絡傳輸類，如網(wǎng)絡直播電視軟件等；（3）即時通信類；如QQ軟件等；（4）網(wǎng)絡電子游戲類，如QQ游戲等；（5）共享服務或其他處理類軟件。

在采用這樣的分類標準重新規(guī)劃對等網(wǎng)絡流量后，采用基于數(shù)據(jù)包內(nèi)容實現(xiàn)網(wǎng)絡流量異常的檢測方法就有些不合時宜。首先對于不斷更新升級的軟件，無法確保有效的高檢測準確率，無法做到檢測數(shù)據(jù)庫的同步更新。其次，一旦出現(xiàn)不同類型的新軟件，在無法確定該軟件應用類型前，數(shù)據(jù)包檢測沒有匹配的流量范圍用于支持檢測。這些問題，也正是本文考慮基于計算機節(jié)點行為來改進對等網(wǎng)絡流量異常檢測的關鍵。

2.2 基于節(jié)點行為的對等網(wǎng)絡流量異常檢測方法

2.2.1 節(jié)點行為

我們使用以迅雷等專用下載軟件為代表的文件共享類 P2P應用為案例進行節(jié)點行為分析。首先需要明確，P2P應用中很多節(jié)點為從目標服務器上獲得資源，可能出現(xiàn)不同的鏈接情況。如迅雷在啟動后，程序初始化后的短時間內(nèi)軟件運行呈現(xiàn)穩(wěn)態(tài)，多節(jié)點時間連接有效進行數(shù)據(jù)服務。在這個短時間內(nèi)，申請資源的用戶計算機將以客戶端的身份發(fā)出請求，加入分布式哈希表等存儲列中，得到其他節(jié)點共享該資源的情況。文件共享類P2P應用中這些節(jié)點行為，在初始化分布式哈希表后進行資源申請時，都會完成大量的互連節(jié)點通信，確保當實現(xiàn)軟件運行穩(wěn)態(tài)后，新增節(jié)點不再變化。這樣用戶對于所需資源的搜索，基本可以靠幾個大流量的節(jié)點就能完成?；诠?jié)點行為的網(wǎng)絡流量異常檢測技術就是對初始狀態(tài)的所有數(shù)據(jù)流產(chǎn)生必要的解析，整理出于主機保持聯(lián)系的信息，從而觀察主機在網(wǎng)絡結(jié)構的傳輸層中的行為反應，并將行為反應與眾多的應用相互關聯(lián)，實現(xiàn)流量的檢測與異常識別。

2.2.2 思路建模

（1）主機網(wǎng)絡位置。應該積極獲取所要觀察的主機與其他對象之間的通信行為，判斷是否具有不同樣的交互信息，大膽分析目標主機的IP地址，并確定不同主機之間的鏈接情況。（2）主機網(wǎng)絡功能。應分析主機在網(wǎng)絡環(huán)境中的功能定位，區(qū)別屬于用戶還是服務器。（3）主機應用行為。分析主機應用行為，需要得到主機網(wǎng)絡傳輸層的交互數(shù)據(jù)。通過特定時長與通信節(jié)點數(shù)判斷數(shù)據(jù)流的應用類型。

本文基于節(jié)點行為的網(wǎng)絡流量異常檢測方法可以按以下模型來予以表達：

結(jié)束語

對等網(wǎng)絡流量異常檢測需要不斷提供技術的可行性，才能發(fā)揮更好的作用。基于網(wǎng)絡節(jié)點行為的流量異常檢測，主要通過標識節(jié)點來進行異常檢測，提高對等網(wǎng)絡大數(shù)據(jù)環(huán)境中的檢查效果。

參 考 文 獻

[1] 王蛟. 基于行為的P2P流量及異常流量檢測技術研究[D]. 北京郵電大學， 2008.

[2] 朱應武，楊家海，張金祥. 基于流量信息結(jié)構的異常檢測[J]. 軟件學報， 2010， 21（10）：2573-2583.