一種隱匿p2p程序?qū)崟r(shí)檢測(cè)方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種隱匿P2P程序?qū)崟r(shí)檢測(cè)方法及系統(tǒng)��,屬于網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】����。本發(fā)明的基本思想是分兩步完成對(duì)隱匿P2P程序的檢測(cè):首先,利用網(wǎng)絡(luò)流的關(guān)鍵屬性和BGP前綴提取流簇���,根據(jù)是否存在流簇來判斷IP主機(jī)是否運(yùn)行了P2P程序��;然后��,通過分析流簇的IP回訪總次數(shù)來檢測(cè)P2P主機(jī)上運(yùn)行的是否為隱匿P2P程序��。與現(xiàn)有技術(shù)相比����,本發(fā)明具有以下優(yōu)勢(shì):方法簡(jiǎn)單��,計(jì)算開銷小����,可以對(duì)隱匿P2P程序進(jìn)行實(shí)時(shí)檢測(cè);無需使用標(biāo)準(zhǔn)流量數(shù)據(jù)集進(jìn)行預(yù)先訓(xùn)練�����;當(dāng)待檢網(wǎng)絡(luò)內(nèi)運(yùn)行的同類型隱匿P2P程序只有一個(gè)時(shí),也可以實(shí)施精確檢測(cè)�����;當(dāng)待檢主機(jī)上同時(shí)運(yùn)行了合法P2P程序和隱匿P2P程序時(shí)����,同樣適用;檢測(cè)精度高���,誤報(bào)率低�,且擴(kuò)展性好���,可與已有的NIDS系統(tǒng)無縫集成�。
【專利說明】—種隱匿P2P程序?qū)崟r(shí)檢測(cè)方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】�����,特別是一種隱匿P2P程序?qū)崟r(shí)檢測(cè)方法及系統(tǒng)�����?����!颈尘凹夹g(shù)】
[0002]至上世紀(jì)90年代出現(xiàn)以來,P2P技術(shù)已被廣泛應(yīng)用到文件共享���、流媒體傳輸、即時(shí)通訊等領(lǐng)域�����。日益普及的各類P2P程序?yàn)榛ヂ?lián)網(wǎng)用戶帶來了極大便利�����,但同時(shí)���,也出現(xiàn)了基于P2P技術(shù)的惡意程序����。相對(duì)于合法P2P程序����,此類惡意P2P程序具有高度的隱匿性,它們往往在不被計(jì)算機(jī)用戶察覺的情況下潛伏在后臺(tái)自動(dòng)運(yùn)行���。相對(duì)于傳統(tǒng)惡意程序���,隱匿的惡意P2P程序更加難以被檢測(cè)����,因?yàn)樗鼈儾⒉恢苯訉?duì)計(jì)算機(jī)造成危害�����,而是提供了一個(gè)攻擊平臺(tái)���,攻擊者可以利用這個(gè)平臺(tái)進(jìn)行分布式拒絕服務(wù)(DistributedDenial-of-Service, DDoS)攻擊�、發(fā)送垃圾郵件����、竊取隱私信息等。目前此類隱匿P2P程序主要包括組成P2P僵尸網(wǎng)絡(luò)的各類僵尸程序,例如:Storm��、Waledac��、Zeus等�。
[0003]由于隱匿P2P程序通常并不直接對(duì)計(jì)算機(jī)主機(jī)造成危害,因此僅從主機(jī)層面很難實(shí)現(xiàn)對(duì)其的檢測(cè)�����。目前針對(duì)隱匿P2P程序的檢測(cè)方法主要集中在基于網(wǎng)絡(luò)流量的檢測(cè)上,其中又可分為基于機(jī)器學(xué)習(xí)的檢測(cè)方法和基于網(wǎng)絡(luò)行為分析的檢測(cè)方法��。
[0004]基于機(jī)器學(xué)習(xí)的檢測(cè)方法將主機(jī)產(chǎn)生的網(wǎng)絡(luò)流量分成等長的時(shí)間窗口片段�����,并提取各片段的各種流量特征����,然后采用機(jī)器學(xué)習(xí)方法檢測(cè)是否存在隱匿P2P程序的流量�。此類檢測(cè)方法需要根據(jù)隱匿P2P程序的內(nèi)在特性,選取具有強(qiáng)區(qū)分性的流量特征�����,再借助于機(jī)器學(xué)習(xí)方法(如:支持向量機(jī)SVM�、決策樹、貝葉斯網(wǎng)絡(luò)等)進(jìn)行檢測(cè)�。基于網(wǎng)絡(luò)行為分析的檢測(cè)方法通過尋找隱匿P2P程序特有的網(wǎng)絡(luò)行為����,來實(shí)現(xiàn)對(duì)其的檢測(cè)�。例如�����,相對(duì)于合法P2P程序的用戶驅(qū)動(dòng)���,隱匿P2P程序產(chǎn)生的流量通常由已編譯好的算法驅(qū)動(dòng)�����,因此具有周期性���;另外,正是由于其流量由算法驅(qū)動(dòng)����,因此屬于同一個(gè)P2P網(wǎng)絡(luò)的隱匿P2P程序的流量具有相似性。
[0005]以上檢測(cè)方法皆存在局限性����。首先,以上方法多依靠分類或聚類機(jī)器學(xué)習(xí)以及額外的輔助算法����,存在方法復(fù)雜���,開銷較大,檢測(cè)時(shí)間長等缺點(diǎn)��,因此不具備實(shí)時(shí)性���;其次�����,基于機(jī)器學(xué)習(xí)的檢測(cè)方法需要利用標(biāo)準(zhǔn)數(shù)據(jù)集進(jìn)行訓(xùn)練以獲得分類模型����,而隱匿P2P程序的標(biāo)準(zhǔn)數(shù)據(jù)集往往難以獲?����?;第三����,基于網(wǎng)絡(luò)行為分析的檢測(cè)方法通常假設(shè)待檢網(wǎng)絡(luò)內(nèi)存在多個(gè)同一 P2P網(wǎng)絡(luò)的隱匿P2P程序,當(dāng)待檢網(wǎng)絡(luò)內(nèi)僅有一個(gè)隱匿P2P程序運(yùn)行時(shí)����,此類方法失效�����。
【發(fā)明內(nèi)容】
[0006]本發(fā)明所要解決的技術(shù)問題是�����,針對(duì)上述現(xiàn)有技術(shù)的不足�,提供一種隱匿P2P程序?qū)崟r(shí)檢測(cè)方法及系統(tǒng)����。
[0007]為解決上述技術(shù)問題,本發(fā)明所采用的技術(shù)方案是:一種隱匿P2P程序?qū)崟r(shí)檢測(cè)方法��,包括以下步驟:
I)實(shí)時(shí)采集待檢網(wǎng)絡(luò)中每個(gè)IP主機(jī)產(chǎn)生的通信流量數(shù)據(jù)�����,并以時(shí)間窗口 T為單位對(duì)通信流量數(shù)據(jù)進(jìn)行分片處理����,在每個(gè)時(shí)間窗口 T內(nèi),利用協(xié)議分析技術(shù),提取并記錄該時(shí)間窗口內(nèi)各IP主機(jī)產(chǎn)生的網(wǎng)絡(luò)流��;
2)根據(jù)過濾規(guī)則初步過濾掉上述網(wǎng)絡(luò)流中的非P2P網(wǎng)絡(luò)流�;
3)對(duì)經(jīng)步驟2)處理后剩余的網(wǎng)絡(luò)流進(jìn)行統(tǒng)計(jì)分析,提取流簇:首先將剩余的網(wǎng)絡(luò)流聚類到不同的集合��,同一集合內(nèi)的網(wǎng)絡(luò)流擁有相同關(guān)鍵屬性�,然后利用BGP前綴公告,分析每個(gè)集合中通信的遠(yuǎn)程IP地址的BGP前綴總數(shù)����,BGP前綴總數(shù)大于閾值M的網(wǎng)絡(luò)流集合即為流簇;
4)若IP主機(jī)產(chǎn)生的流量數(shù)據(jù)中存在流簇��,若存在��,則判斷該IP主機(jī)為P2P主機(jī)�����,進(jìn)一步計(jì)算該P(yáng)2P主機(jī)流簇的IP回訪數(shù)��;若該P(yáng)2P主機(jī)產(chǎn)生的所有流簇的IP回訪數(shù)之和大于閾值N���,則該P(yáng)2P主機(jī) 上運(yùn)行的P2P程序?yàn)殡[匿P2P程序。
[0008]所述步驟I)中,時(shí)間窗口 T大小為5分鐘��。
[0009]所述步驟I)中����,一條網(wǎng)絡(luò)流由五元組{Pro, IPsrc, IPdst, Portsrc, Portdst}確定,其中,Pro為協(xié)議類型���;IPsm為源IP地址���;IPdst為目的IP地址;PortSTC為源端口號(hào)�����;Portdst為目的端口號(hào)��,且一條網(wǎng)絡(luò)流滿足下列條件之一時(shí)結(jié)束:
O網(wǎng)絡(luò)流已有10分鐘未收到新的報(bào)文���;
2)網(wǎng)絡(luò)流的活動(dòng)時(shí)間已經(jīng)超過30分鐘��;
3)檢測(cè)到標(biāo)識(shí)TCP網(wǎng)絡(luò)流終止的TCP標(biāo)志位����。
_0]所述步驟 I)中,網(wǎng)絡(luò)流由向量 Flow=〈Tend, IPlocal, IPremote, Pro, Spkts, Sbytes, Rpkts,Rbytes >表示���,其中=Tmd為網(wǎng)絡(luò)流結(jié)束時(shí)間��;IP1(X;al為本地IP地址�;IPrarote為遠(yuǎn)程IP地址���;Pro為協(xié)議類型���;Spkts為發(fā)送報(bào)文的個(gè)數(shù);Sbytes為發(fā)送報(bào)文的總字節(jié)數(shù)��;Rpkts為接收?qǐng)?bào)文的個(gè)數(shù)��;Rbytes為接收?qǐng)?bào)文的總字節(jié)數(shù)���。
[0011]所述步驟2)中�,過濾掉IP地址為經(jīng)過DNS解析后獲得的遠(yuǎn)程IP地址與待檢網(wǎng)絡(luò)中IP地址之間的網(wǎng)絡(luò)流���。
[0012]所述步驟3)中,同一集合內(nèi)的網(wǎng)絡(luò)流擁有的相同關(guān)鍵屬性如下:協(xié)議類型Pro����、發(fā)送報(bào)文的個(gè)數(shù)Spkts和發(fā)送報(bào)文的總字節(jié)數(shù)Sbytes�����、接收?qǐng)?bào)文的個(gè)數(shù)Rpkts和接收?qǐng)?bào)文的總字節(jié)數(shù)Rbytes,即:流簇中的網(wǎng)絡(luò)流有相同的向量〈Pro����,
Spkts���,^bytesJ Rpkts��,^bytes〉°
[0013]所述閾值M為5��。
[0014]所述步驟4)中���,閾值N為15。
[0015]本發(fā)明還提供了一種隱匿P2P程序?qū)崟r(shí)檢測(cè)系統(tǒng)�,包括P2P程序識(shí)別子系統(tǒng)和隱匿P2P程序識(shí)別子系統(tǒng):
所述P2P程序識(shí)別子系統(tǒng)包括:
網(wǎng)絡(luò)流提取模塊:采集待檢網(wǎng)絡(luò)內(nèi)各IP主機(jī)產(chǎn)生的通信流量數(shù)據(jù),并利用協(xié)議分析技術(shù)�����,以時(shí)間窗口 T為單位�����,提取網(wǎng)絡(luò)流的相關(guān)屬性Flow=〈 Tend,IPlocal, IPremote, Pro, Spkts,^bytesJ Rpkts��, ^bytes >;其中:Tmd為網(wǎng)絡(luò)流結(jié)束時(shí)間�����;IPltrcal為本地IP地址��;IP_te為遠(yuǎn)程IP地址�����;Pro為協(xié)議類型��;Spkts為發(fā)送報(bào)文的個(gè)數(shù)�����;Sbytes為發(fā)送報(bào)文的總字節(jié)數(shù)���;Rpkts為接收?qǐng)?bào)文的個(gè)數(shù)���;Rbytes為接收?qǐng)?bào)文的總字節(jié)數(shù)��;
網(wǎng)絡(luò)流過濾模塊:初步過濾掉網(wǎng)絡(luò)流提取模塊提取的網(wǎng)絡(luò)流中的非P2P網(wǎng)絡(luò)流;流簇提取模塊:統(tǒng)計(jì)并分析經(jīng)網(wǎng)絡(luò)流過濾模塊過濾后的網(wǎng)絡(luò)流中是否存在流簇����,若存在,則判斷待檢網(wǎng)絡(luò)內(nèi)對(duì)應(yīng)IP主機(jī)為P2P主機(jī)��,并將該P(yáng)2P主機(jī)產(chǎn)生的流簇交由隱匿P2P程序識(shí)別子系統(tǒng)處理��;
所述隱匿P2P程序識(shí)別子系統(tǒng)包括:
IP回訪數(shù)統(tǒng)計(jì)模塊:處理P2P主機(jī)產(chǎn)生的所有流簇����,并統(tǒng)計(jì)該所有流簇的IP回訪數(shù)之和,若IP回訪總次數(shù)大于閾值N�,則認(rèn)為該P(yáng)2P主機(jī)在該時(shí)間窗口 T內(nèi)有隱匿P2P程序在運(yùn)行;
檢測(cè)結(jié)果顯示模塊:顯示各IP主機(jī)在時(shí)間窗口 T內(nèi)是否運(yùn)行了 P2P程序��,以及運(yùn)行的是否為隱匿P2P程序�。
[0016]與現(xiàn)有技術(shù)相比,本發(fā)明所具有的有益效果為:本發(fā)明具有很好的實(shí)時(shí)性�����,能在五分鐘內(nèi)判斷出待檢網(wǎng)絡(luò)內(nèi)的主機(jī)是否在運(yùn)行P2P程序���,運(yùn)行的是否為隱匿P2P程序�����;本發(fā)明無需使用標(biāo)準(zhǔn)流量數(shù)據(jù)集進(jìn)行預(yù)先訓(xùn)練��,可以直接用于檢測(cè)�;當(dāng)待檢網(wǎng)絡(luò)內(nèi)同類型隱匿P2P程序僅存在一個(gè)時(shí),本發(fā)明也能實(shí)現(xiàn)精確檢測(cè)�;當(dāng)待檢主機(jī)上同時(shí)運(yùn)行了合法P2P程序和隱匿P2P程序時(shí),同樣可以實(shí)現(xiàn)有效檢測(cè)��;本發(fā)明檢測(cè)準(zhǔn)確率高�����,誤報(bào)率低�����。反復(fù)選擇真實(shí)網(wǎng)絡(luò)檢測(cè)結(jié)果是:對(duì)所有P2P程序檢測(cè)準(zhǔn)確率為99.45%���,誤報(bào)率僅為1.88%�,對(duì)隱匿P2P程序檢測(cè)準(zhǔn)確率為92.34%,誤報(bào)率僅為1.2% ;本發(fā)明具有較好的擴(kuò)展性���,可以與NIDS系統(tǒng)無縫集成���,應(yīng)用到當(dāng)前各種NIDS產(chǎn)品之上。
【專利附圖】
【附圖說明】
[0017]圖1為本發(fā)明實(shí)施例的隱匿P2P程序?qū)崟r(shí)檢測(cè)方法的流程圖��;
圖2為本發(fā)明實(shí)施例的隱匿P2P程序?qū)崟r(shí)檢測(cè)系統(tǒng)的結(jié)構(gòu)示意圖�����。
【具體實(shí)施方式】
[0018]本發(fā)明的方法參見圖1�,隱匿P2P程序?qū)崟r(shí)檢測(cè)方法包括:
步驟1:提取網(wǎng)絡(luò)流
各個(gè)IP主機(jī)在網(wǎng)絡(luò)上的通信都是通過網(wǎng)絡(luò)流表現(xiàn)出來的�����,且以網(wǎng)絡(luò)流為基本單位�����。因此本發(fā)明部署檢測(cè)系統(tǒng)到待檢網(wǎng)絡(luò)的出口����,實(shí)時(shí)采集待檢網(wǎng)絡(luò)內(nèi)各IP主機(jī)產(chǎn)生的實(shí)時(shí)流量數(shù)據(jù),并提取其中的網(wǎng)絡(luò)流進(jìn)行分析。
[0019]一條網(wǎng)絡(luò)流由五元組{Pro, IPsrc, IPdst, Portsrc, Portdst}所確定���,即協(xié)議類型Pro����、源IP地址IPsrc'目的IP地址IPdst�、源端口號(hào)Portsrc和目的端口號(hào)Portdst。判斷一條網(wǎng)絡(luò)流是否結(jié)束應(yīng)滿足下列條件之一:(I)網(wǎng)絡(luò)流已有一段時(shí)間未活動(dòng)���,如:10分鐘未收到新的報(bào)文����;(2)網(wǎng)絡(luò)流已活動(dòng)太長時(shí)間�,需要強(qiáng)制截?cái)啵?超過30分鐘�;(3)檢測(cè)到標(biāo)識(shí)TCP網(wǎng)絡(luò)流終止的TCP標(biāo)志位(如RST、FIN等)�����。
[0020]本發(fā)明提取網(wǎng)絡(luò)流的一些相關(guān)屬性���,并用它們組成的向量來表示一條網(wǎng)絡(luò)流記錄��,SP�,F(xiàn)low=〈 Tend, IPlocal, IPremote, Pro, Spkts, Sbytes, Rpkts, Rbytes >,其中:Tend 是網(wǎng)絡(luò)流的結(jié)束時(shí)間戳���,IPlocal是待檢網(wǎng)絡(luò)內(nèi)的IP地址�,IPremote是遠(yuǎn)程IP地址����,Pro表示網(wǎng)絡(luò)流的協(xié)議,如TCP�、UDP��、ICMP等�����,Spkts和Sbytes分別表示發(fā)送出的報(bào)文的個(gè)數(shù)和總字節(jié)數(shù)����,Rpkts和Rbytes分別表示接收到的報(bào)文的個(gè)數(shù)和總字節(jié)數(shù)。
[0021]為確保實(shí)時(shí)性��,本發(fā)明以較小的時(shí)間窗口 T為單位對(duì)待檢網(wǎng)絡(luò)的網(wǎng)絡(luò)流進(jìn)行分片處理��。其中,T的選取可以根據(jù)實(shí)際情況或經(jīng)驗(yàn)設(shè)定�����,經(jīng)試驗(yàn)發(fā)現(xiàn)�����,當(dāng)T為5分鐘時(shí)���,檢測(cè)精度和檢測(cè)速度可以達(dá)到一個(gè)較好的權(quán)衡��。[0022]步驟2:過濾網(wǎng)絡(luò)流
在進(jìn)行下一步處理前�,首先過濾掉明顯不屬于P2P流量的網(wǎng)絡(luò)流��,比如過濾掉IP地址為經(jīng)過DNS解析后獲得的遠(yuǎn)程IP地址與待檢網(wǎng)絡(luò)中IP地址之間的網(wǎng)絡(luò)流�����。
[0023]步驟3:提取流簇
待檢網(wǎng)絡(luò)內(nèi)各IP主機(jī)的流簇提取分兩步進(jìn)行:首先以網(wǎng)絡(luò)流關(guān)鍵屬性作為指標(biāo)�,將時(shí)間窗口 T內(nèi)的網(wǎng)絡(luò)流聚集成不同的集合S,所得到的集合中各網(wǎng)絡(luò)流的關(guān)鍵屬性相同���。所述關(guān)鍵屬性包括:協(xié)議類型Pro�、發(fā)送報(bào)文的個(gè)數(shù)Spkts和總字節(jié)數(shù)Sbytes、接收?qǐng)?bào)文的個(gè)數(shù)Rpkts和總字節(jié)數(shù)Rbytes�。然后對(duì)各網(wǎng)絡(luò)流集合S中的遠(yuǎn)程IP地址IPrarote組成的IP列表進(jìn)行分析,利用BGP前綴公告�����,統(tǒng)計(jì)各IP列表的BGP前綴總數(shù)���,若BGP前綴總數(shù)大于閾值M,則認(rèn)為該網(wǎng)絡(luò)流集合S為流簇���, 記為AF。如此���,待測(cè)網(wǎng)絡(luò)內(nèi)每個(gè)IP主機(jī)可以得到一個(gè)流簇集Φ = IAF1, AF2,…,AFJ���,若Φ不為空����,則認(rèn)為對(duì)應(yīng)的主機(jī)上正在運(yùn)行P2P程序�,即該IP主機(jī)為P2P主機(jī)。經(jīng)試驗(yàn)發(fā)現(xiàn)�����,當(dāng)閾值M取5時(shí),P2P主機(jī)的檢測(cè)準(zhǔn)確率和誤報(bào)率都能達(dá)到較理想的精度���。
[0024]步驟4:統(tǒng)計(jì)IP回訪數(shù)
若IP主機(jī)的流簇集φ不為空��,則進(jìn)一步計(jì)算其流簇AFi的IP回訪數(shù)Ci�。Ci定義為AFi中網(wǎng)絡(luò)流對(duì)某些遠(yuǎn)程IP地址的重復(fù)訪問次數(shù)之和�����,即IPraiwte的重復(fù)出現(xiàn)次數(shù)之和�����。Ci的計(jì)算方法如下:
O記流簇AFi中遠(yuǎn)程IP地址IPraiurte的列表為Lip,計(jì)算Lip中元素總數(shù)為X �����;
2)提取Lip中唯一出現(xiàn)的元素,組成列表Luni,即�,Luni=Unique(Lip),計(jì)算Luni中元素總數(shù)為Y ;
3)則簇流AFi的IP回訪數(shù)(;=Χ-Υ�����。
[0025]進(jìn)而,可以得到P2P主機(jī)流簇的IP回訪總次數(shù)Σ Ci0最終��,根據(jù)Σ Ci是否大于閾值N來判斷該P(yáng)2P主機(jī)上運(yùn)行的P2P程序是否為隱匿P2P程序�����。經(jīng)試驗(yàn)發(fā)現(xiàn)�����,當(dāng)閾值N取15時(shí)���,隱匿P2P程序的檢測(cè)準(zhǔn)確率和誤報(bào)率都能達(dá)到較理想的精度����。
[0026]本發(fā)明還公開了一種隱匿P2P程序?qū)崟r(shí)檢測(cè)系統(tǒng)�,系統(tǒng)包括P2P程序識(shí)別子系統(tǒng)(網(wǎng)絡(luò)流提取模塊、網(wǎng)絡(luò)流過濾模塊����、流簇提取模塊)和隱匿P2P程序識(shí)別子系統(tǒng)(IP回訪數(shù)統(tǒng)計(jì)模塊����、檢測(cè)結(jié)果顯示模塊)�����,系統(tǒng)結(jié)構(gòu)示意圖如圖2所示����。實(shí)際應(yīng)用時(shí)����,管理人員在待檢網(wǎng)絡(luò)的出口處部署所述檢測(cè)系統(tǒng)。
[0027]P2P程序識(shí)別子系統(tǒng)根據(jù)是否存在流簇識(shí)別出待檢網(wǎng)絡(luò)內(nèi)運(yùn)行了 P2P程序的所有IP主機(jī)����。具體步驟如下:
網(wǎng)絡(luò)流提取模塊負(fù)責(zé)采集待檢網(wǎng)絡(luò)內(nèi)各IP主機(jī)產(chǎn)生的流量數(shù)據(jù),并利用協(xié)議分析技術(shù)���,以時(shí)間窗口 T為單位����,提取網(wǎng)絡(luò)流的相關(guān)屬性Flow=〈Tmd��,IP1
ocal����,IPremote����,Ρ--�����,Spkts,
Sbytes, Rpkts, Rbytes >���。發(fā)明人利用Iibpcap函數(shù)庫實(shí)現(xiàn)了網(wǎng)絡(luò)流提取模塊��,Iibpcap是一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包捕獲函數(shù)庫����,它能快速高效的采集和處理原始網(wǎng)絡(luò)數(shù)據(jù)包�����。
[0028]網(wǎng)絡(luò)流過濾模塊負(fù)責(zé)初步過濾掉上述網(wǎng)絡(luò)流中的非P2P網(wǎng)絡(luò)流�����。所述模塊分析所有DNS網(wǎng)絡(luò)流��,提取并記錄由DNS網(wǎng)絡(luò)流解析出的遠(yuǎn)程IP地址��,然后剔除這些遠(yuǎn)程IP地址與待檢網(wǎng)絡(luò)內(nèi)IP地址之間的網(wǎng)絡(luò)流���。
[0029]流簇提取模塊負(fù)責(zé)分析上述剩余網(wǎng)絡(luò)流���,并為待檢網(wǎng)絡(luò)內(nèi)各P2P主機(jī)提取出流簇集合O = MF1, AF2,…,AFJ���,組成流簇AFi的網(wǎng)絡(luò)流滿足兩個(gè)條件:首先它們擁有相同的關(guān)鍵屬性〈Pro,
SpktsJ ^bytesJ RpktsJ Rbytes >���,其次它們的IPraroto列表的BGP前綴總數(shù)大于閾值M(M=5)。若Φ不為空�,則判斷待檢網(wǎng)絡(luò)內(nèi)對(duì)應(yīng)IP主機(jī)為P2P主機(jī),并將其產(chǎn)生的流簇交由隱匿P2P程序識(shí)別子系統(tǒng)處理���。
[0030]隱匿P2P程序識(shí)別子系統(tǒng)在上一子系統(tǒng)的基礎(chǔ)上��,從已識(shí)別出的所有P2P主機(jī)中檢測(cè)出運(yùn)行隱匿P2P程序的主機(jī)��,具體步驟如下:
IP回訪數(shù)統(tǒng)計(jì)模塊負(fù)責(zé)處理P2P主機(jī)產(chǎn)生的所有流簇φ = (AF1, AF2,…����,AFj,并統(tǒng)計(jì)它們的IP回訪數(shù)C=IC1, C2,…����,CJ,若IP回訪總次數(shù)Σ Ci大于閾值N (N=15)�,則認(rèn)為該主機(jī)在該時(shí)間窗口 T內(nèi)有隱匿P2P程序在運(yùn)行。
[0031]檢測(cè)結(jié)果顯示模塊負(fù)責(zé)檢測(cè)結(jié)果的呈現(xiàn)��,包括各IP主機(jī)在時(shí)間窗口 T內(nèi)是否運(yùn)行了 P2P程序���,運(yùn)行的是否為隱匿P2P程序����。經(jīng)反復(fù)選擇真實(shí)網(wǎng)絡(luò)進(jìn)行實(shí)驗(yàn)��,檢測(cè)結(jié)果是:對(duì)所有P2P程序檢測(cè)準(zhǔn)確率為99.45%�����,誤報(bào)率僅為1.88%��,對(duì)隱匿P2P程序檢測(cè)準(zhǔn)確率為92.34%�����,誤報(bào)率僅 為1.2%。
【權(quán)利要求】
1.一種隱匿P2P程序?qū)崟r(shí)檢測(cè)方法�����,其特征在于�����,包括以下步驟: 1)實(shí)時(shí)采集待檢網(wǎng)絡(luò)中每個(gè)IP主機(jī)產(chǎn)生的通信流量數(shù)據(jù)��,并以時(shí)間窗口T為單位對(duì)通信流量數(shù)據(jù)進(jìn)行分片處理����,在每個(gè)時(shí)間窗口 T內(nèi)���,利用協(xié)議分析技術(shù)���,提取并記錄該時(shí)間窗口內(nèi)各IP主機(jī)產(chǎn)生的網(wǎng)絡(luò)流; 2)根據(jù)過濾規(guī)則初步過濾掉上述網(wǎng)絡(luò)流中的非P2P網(wǎng)絡(luò)流�; 3)對(duì)經(jīng)步驟2)處理后剩余的網(wǎng)絡(luò)流進(jìn)行統(tǒng)計(jì)分析,提取流簇:首先將剩余的網(wǎng)絡(luò)流聚類到不同的集合����,同一集合內(nèi)的網(wǎng)絡(luò)流擁有相同關(guān)鍵屬性,然后利用BGP前綴公告,分析每個(gè)集合中通信的遠(yuǎn)程IP地址的BGP前綴總數(shù)�,BGP前綴總數(shù)大于閾值M的網(wǎng)絡(luò)流集合即為流簇; 4)若IP主機(jī)產(chǎn)生的流量數(shù)據(jù)中存在流簇���,若存在�,則判斷該IP主機(jī)為P2P主機(jī)�,進(jìn)一步計(jì)算該P(yáng)2P主機(jī)流簇的IP回訪數(shù);若該P(yáng)2P主機(jī)產(chǎn)生的所有流簇的IP回訪數(shù)之和大于閾值N����,則該P(yáng)2P主機(jī)上運(yùn)行的P2P程序?yàn)殡[匿P2P程序。
2.根據(jù)權(quán)利要求1所述的隱匿P2P程序?qū)崟r(shí)檢測(cè)方法����,其特征在于,所述步驟I)中���,時(shí)間窗口 T大小為5分鐘�。
3.根據(jù)權(quán)利要求1或2所述的隱匿P2P程序?qū)崟r(shí)檢測(cè)方法�����,其特征在于�,所述步驟I)中����,一條網(wǎng)絡(luò)流由五元組{Pro, IPsrc, IPdst, Portsrc, PortdsJ確定�����,其中����,Pro為協(xié)議類型;IPsm為源IP地址���;IPdst為目的IP地址����;PortSTC為源端口號(hào)���;Portdst為目的端口號(hào)��,且一條網(wǎng)絡(luò)流滿足下列條件之一時(shí)結(jié)束: 網(wǎng)絡(luò)流已有10分鐘未 收到新的報(bào)文�; 網(wǎng)絡(luò)流的活動(dòng)時(shí)間已經(jīng)超過30分鐘�����; 檢測(cè)到標(biāo)識(shí)TCP網(wǎng)絡(luò)流終止的TCP標(biāo)志位。
4.根據(jù)權(quán)利要求3所述的隱匿P2P程序?qū)崟r(shí)檢測(cè)方法����,其特征在于,所述步驟I)中����,網(wǎng)絡(luò)流由向量 Flow=〈Tend, IPlocal, IPremote, Pro, Spkts, Sbytes, Rpkts, Rbytes > 表示,其中:Tend 為網(wǎng)絡(luò)流結(jié)束時(shí)間�����;IP1(K;al為本地IP地址��;ΙΡΜ_為遠(yuǎn)程IP地址����;Pro為協(xié)議類型;Spkts為發(fā)送報(bào)文的個(gè)數(shù)����;Sbytes為發(fā)送報(bào)文的總字節(jié)數(shù);Rpkts為接收?qǐng)?bào)文的個(gè)數(shù)����;Rbytes為接收?qǐng)?bào)文的總字節(jié)數(shù)���。
5.根據(jù)權(quán)利要求4所述的隱匿P2P程序?qū)崟r(shí)檢測(cè)方法,其特征在于�����,所述步驟2)中�,過濾掉IP地址為經(jīng)過DNS解析后獲得的遠(yuǎn)程IP地址與待檢網(wǎng)絡(luò)中IP地址之間的網(wǎng)絡(luò)流。
6.根據(jù)權(quán)利要求5所述的隱匿P2P程序?qū)崟r(shí)檢測(cè)方法���,其特征在于�,所述步驟3)中���,同一集合內(nèi)的網(wǎng)絡(luò)流擁有的相同關(guān)鍵屬性如下:協(xié)議類型Pro、發(fā)送報(bào)文的個(gè)數(shù)SpktJP發(fā)送報(bào)文的總字節(jié)數(shù)Sbytes�、接收?qǐng)?bào)文的個(gè)數(shù)Rpkts和接收?qǐng)?bào)文的總字節(jié)數(shù)Rbytes,即:流簇中的網(wǎng)絡(luò)流有相同的向量〈Pro,
Spkts�,^bytesJ ^pktsJ ^bytes〉°
7.根據(jù)權(quán)利要求6所述的隱匿P2P程序?qū)崟r(shí)檢測(cè)方法,其特征在于����,所述閾值M為5。
8.根據(jù)權(quán)利要求6所述的隱匿P2P程序?qū)崟r(shí)檢測(cè)方法��,其特征在于,所述步驟4)中��,閾值N為15����。
9.一種隱匿P2P程序?qū)崟r(shí)檢測(cè)系統(tǒng),其特征在于��,包括P2P程序識(shí)別子系統(tǒng)和隱匿P2P程序識(shí)別子系統(tǒng): 所述P2P程序識(shí)別子系統(tǒng)包括: 網(wǎng)絡(luò)流提取模塊:采集待檢網(wǎng)絡(luò)內(nèi)各IP主機(jī)產(chǎn)生的通信流量數(shù)據(jù)�,并利用協(xié)議分析技術(shù),以時(shí)間窗口 T為單位��,提取網(wǎng)絡(luò)流的相關(guān)屬性Flow=〈 Tend��,IPlocal, IPremote, Pro, Spkts,Sbytes? Rpkts? Rbytes > ;其中:Tmd為網(wǎng)絡(luò)流結(jié)束時(shí)間���;IPltrcal為本地IP地址���;IP_te為遠(yuǎn)程IP地址;Pro為協(xié)議類型��;Spkts為發(fā)送報(bào)文的個(gè)數(shù)�����;Sbytes為發(fā)送報(bào)文的總字節(jié)數(shù);Rpkts為接收?qǐng)?bào)文的個(gè)數(shù)�����;Rbytes為接收?qǐng)?bào)文的總字節(jié)數(shù)���; 網(wǎng)絡(luò)流過濾模塊:初步過濾掉網(wǎng)絡(luò)流提取模塊提取的網(wǎng)絡(luò)流中的非P2P網(wǎng)絡(luò)流�����;流簇提取模塊:統(tǒng)計(jì)并分析經(jīng)網(wǎng)絡(luò)流過濾模塊過濾后的網(wǎng)絡(luò)流中是否存在流簇�����,若存在�,則判斷待檢網(wǎng)絡(luò)內(nèi)對(duì)應(yīng)IP主機(jī)為P2P主機(jī)����,并將該P(yáng)2P主機(jī)產(chǎn)生的流簇交由隱匿P2P程序識(shí)別子系統(tǒng)處理�; 所述隱匿P2P程序識(shí)別子系統(tǒng)包括: IP回訪數(shù)統(tǒng)計(jì)模塊:處理P2P主機(jī)產(chǎn)生的所有流簇,并統(tǒng)計(jì)該所有流簇的IP回訪數(shù)之和���,若IP回訪總次數(shù)大于閾值N���,則認(rèn)為該P(yáng)2P主機(jī)在該時(shí)間窗口 T內(nèi)有隱匿P2P程序在運(yùn)行�����; 檢測(cè)結(jié)果顯示模塊:顯示各IP主機(jī)在時(shí)間窗口 T內(nèi)是否運(yùn)行了 P2P程序�,以及運(yùn)行的是否為隱匿P2P程序�����。
【文檔編號(hào)】G06F21/56GK104021348SQ201410291325
【公開日】2014年9月3日 申請(qǐng)日期:2014年6月26日 優(yōu)先權(quán)日:2014年6月26日
【發(fā)明者】楊岳湘, 何杰, 曾迎之, 唐川, 王曉磊, 施江勇, 田碩偉 申請(qǐng)人:中國人民解放軍國防科學(xué)技術(shù)大學(xué)