【技术实现步骤摘要】
一种隐匿P2P程序实时检测方法及系统
本专利技术涉及网络安全
,特别是一种隐匿P2P程序实时检测方法及系统。
技术介绍
至上世纪90年代出现以来,P2P技术已被广泛应用到文件共享、流媒体传输、即时通讯等领域。日益普及的各类P2P程序为互联网用户带来了极大便利,但同时,也出现了基于P2P技术的恶意程序。相对于合法P2P程序,此类恶意P2P程序具有高度的隐匿性,它们往往在不被计算机用户察觉的情况下潜伏在后台自动运行。相对于传统恶意程序,隐匿的恶意P2P程序更加难以被检测,因为它们并不直接对计算机造成危害,而是提供了一个攻击平台,攻击者可以利用这个平台进行分布式拒绝服务(DistributedDenial-of-Service,DDoS)攻击、发送垃圾邮件、窃取隐私信息等。目前此类隐匿P2P程序主要包括组成P2P僵尸网络的各类僵尸程序,例如:Storm、Waledac、Zeus等。由于隐匿P2P程序通常并不直接对计算机主机造成危害,因此仅从主机层面很难实现对其的检测。目前针对隐匿P2P程序的检测方法主要集中在基于网络流量的检测上,其中又可分为基于机器学习的检测方法和基于网络行为分析的检测方法。基于机器学习的检测方法将主机产生的网络流量分成等长的时间窗口片段,并提取各片段的各种流量特征,然后采用机器学习方法检测是否存在隐匿P2P程序的流量。此类检测方法需要根据隐匿P2P程序的内在特性,选取具有强区分性的流量特征,再借助于机器学习方法(如:支持向量机SVM、决策树、贝叶斯网络等)进行检测。基于网络行为分析的检测方法通过寻找隐匿P2P程序特有的网络行为,来实现对 ...
【技术保护点】
一种隐匿P2P程序实时检测方法,其特征在于,包括以下步骤:1)实时采集待检网络中每个IP主机产生的通信流量数据,并以时间窗口T为单位对通信流量数据进行分片处理,在每个时间窗口T内,利用协议分析技术,提取并记录该时间窗口内各IP主机产生的网络流;2)根据过滤规则初步过滤掉上述网络流中的非P2P网络流;3)对经步骤2)处理后剩余的网络流进行统计分析,提取流簇:首先将剩余的网络流聚类到不同的集合,同一集合内的网络流拥有相同关键属性,然后利用BGP前缀公告,分析每个集合中通信的远程IP地址的BGP前缀总数,BGP前缀总数大于阈值M的网络流集合即为流簇;4)若IP主机产生的流量数据中存在流簇,若存在,则判断该IP主机为P2P主机,进一步计算该P2P主机流簇的IP回访数;若该P2P主机产生的所有流簇的IP回访数之和大于阈值N,则该P2P主机上运行的P2P程序为隐匿P2P程序。
【技术特征摘要】
1.一种隐匿P2P程序实时检测方法,其特征在于,包括以下步骤:1)实时采集待检网络中每个IP主机产生的通信流量数据,并以时间窗口T为单位对通信流量数据进行分片处理,在每个时间窗口T内,利用协议分析技术,提取并记录该时间窗口内各IP主机产生的网络流;2)根据过滤规则初步过滤掉上述网络流中的非P2P网络流;3)对经步骤2)处理后剩余的网络流进行统计分析,提取流簇:首先将剩余的网络流聚类到不同的集合,同一集合内的网络流拥有相同关键属性,然后利用BGP前缀公告,分析每个集合中通信的远程IP地址的BGP前缀总数,BGP前缀总数大于阈值M的网络流集合即为流簇;4)若IP主机产生的流量数据中存在流簇,则判断该IP主机为P2P主机,进一步计算该P2P主机流簇的IP回访数;若该P2P主机产生的所有流簇的IP回访数之和大于阈值N,则该P2P主机上运行的P2P程序为隐匿P2P程序。2.根据权利要求1所述的隐匿P2P程序实时检测方法,其特征在于,所述步骤1)中,时间窗口T大小为5分钟。3.根据权利要求1或2所述的隐匿P2P程序实时检测方法,其特征在于,所述步骤1)中,一条网络流由五元组{Pro,IPsrc,IPdst,Portsrc,Portdst}确定,其中,Pro为协议类型;IPsrc为源IP地址;IPdst为目的IP地址;Portsrc为源端口号;Portdst为目的端口号,且一条网络流满足下列条件之一时结束:网络流已有10分钟未收到新的报文;网络流的活动时间已经超过30分钟;检测到标识TCP网络流终止的TCP标志位。4.根据权利要求3所述的隐匿P2P程序实时检测方法,其特征在于,所述步骤1)中,网络流由向量Flow=<Tend,IPlocal,IPremote,Pro,Spkts,Sbytes,Rpkts,Rbytes>表示,其中:Tend为网络流结束时间;IPlocal为本地IP地址;IPremote为远程IP地址;Pro为协议类型;Spkts为发送报文的个数;Sbytes为发送报文的总字节数;Rpkts为接收报文的个数;Rbytes为接收报文的总字节数。5.根据权利要求4所述的隐匿P2P程序实时检测方法,其特征在于,所述步骤2)中,过滤掉经过DNS解析后获得的远程IP地址与待检网络中IP地址...
【专利技术属性】
技术研发人员:杨岳湘,何杰,曾迎之,唐川,王晓磊,施江勇,田硕伟,
申请(专利权)人:中国人民解放军国防科学技术大学,
类型:发明
国别省市:湖南;43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。