本发明专利技术提供的本申请提出一种针对P2P僵尸网络的渐进式节点主动追踪方法,应用于包括多个节点的P2P网络中,该方法包括以下步骤:步骤1,构建包括正常P2P节点的初始节点集合;步骤2,选择节点作为中继路由节点,向其发送目标为特定子树下随机节点的find_node请求,接收节点返回的路由表中离特定子树随机节点的最近节点集合。步骤3,遍历所述最近节点集合中的节点,判断所述最近节点集合中的节点是否存在于特定子树中,对存在于特定子树中的节点信息保存至僵尸网络节点列表;遍历结束后,如果所述最近节点集合中的所有节点均不在特定子树中,则随机选择所述最近节点集合中的一个节点为中继路由节点,返回执行步骤1;步骤4,显示获取到的僵尸网络节点列表。到的僵尸网络节点列表。到的僵尸网络节点列表。
【技术实现步骤摘要】
一种针对P2P僵尸网络的渐进式节点主动追踪方法及装置
[0001]本专利技术涉及信息安全
,尤其涉及一种针对P2P僵尸网络的渐进式节点主动追踪方法及装置。
技术介绍
[0002]近年来,DDoS僵尸网络家族活动依然以 Mirai 和 Gafgyt 为代表的传统 IoT 木马家族为主导。这些传统 IoT 木马以增加漏洞及通信控制方式为手段,发展变种。在这种迭代的过程中,产生了Mozi 和 BigViktor 等 IoT 僵尸网络,进一步加剧了僵尸网络的内斗态势。
[0003]更为严重的是,Mozi僵尸网络攻击目标聚焦存在安全漏洞的物联网设备。随着5G与IoT的快速发展,如何监测与防御此类僵尸网络成为掌握物联网安全态势、保障物联网安全的重要工作。
[0004]此外,有别于传统的僵尸网络通信方法,Mozi僵尸网络采用了P2P进行通信与控制,节点进行身份校验,通信流程和通信内容加密,这些措施提高了僵尸网络的隐匿度和顽固程度。
[0005]僵尸网络节点隐匿于正常p2p网络的高隐匿性僵尸网络模型极大增加了僵尸网络追踪和清理的难度,迫切需要一种的针对p2p型僵尸网络的追踪方法。
技术实现思路
[0006]本专利技术的主要目的在于提出一种针对P2P僵尸网络的渐进式节点主动追踪方法及装置,旨在解决如何提高物联网的网络安全性,实现对物联网僵尸网络的快速准确追踪。
[0007]为实现上述目的,本专利技术提供的一种针对P2P僵尸网络的渐进式节点主动追踪方法,应用于包括多个节点的P2P网络中,该方法包括以下步骤:步骤1,构建包括正常P2P节点的初始节点集合;步骤2,选择节点作为中继路由节点,向其发送目标为特定子树下随机节点的find_node请求,接收节点返回的路由表中离特定子树随机节点的最近节点集合。
[0008]步骤3,遍历所述最近节点集合中的节点,判断所述最近节点集合中的节点是否存在于特定子树中,对存在于特定子树中的节点信息保存至僵尸网络节点列表;遍历结束后,如果所述最近节点集合中的所有节点均不在特定子树中,则随机选择所述最近节点集合中的一个节点为中继路由节点,返回执行步骤1;步骤4,显示获取到的僵尸网络节点列表。
[0009]其中,所述特定子树为Kademlia网络中,根据节点ID构建的节点二叉树中Mozi节点聚集的子树;其中,所述节点信息包括IP 地址、端口号、节点ID。
[0010]其中,该方法还进一步包括:步骤5,对僵尸网络节点列表中的节点进行验证,发送1:v4:flag(4 bytes)格式的数据,判断所述节点是否发送相同格式的数据,如果是则确定
其为Mozi节点。
[0011]本专利技术提供的一种针对P2P僵尸网络的渐进式节点主动追踪装置,应用于包括多个节点的P2P网络中,该装置包括:初始节点构建模块,用于构建包括正常P2P节点的初始节点集合;最近节点获取模块,用于选择节点作为中继路由节点,向其发送目标为特定子树下随机节点的find_node请求,接收节点返回的路由表中离特定子树随机节点的最近节点集合。
[0012]特定子树识别模块,用于遍历所述最近节点集合中的节点,判断所述最近节点集合中的节点是否存在于特定子树中,对存在于特定子树中的节点信息保存至僵尸网络节点列表;遍历结束后,如果所述最近节点集合中的所有节点均不在特定子树中,则随机选择所述最近节点集合中的一个节点为中继路由节点,返回最近节点获取模块;显示模块,用于显示获取到的僵尸网络节点列表。
[0013]其中,所述特定子树为Kademlia网络中,根据节点ID构建的节点二叉树中Mozi节点聚集的子树;其中,所述节点信息包括IP 地址、端口号、节点ID。
[0014]其中,还装置还进一步包括:验证模块,对僵尸网络节点列表中的节点进行验证,发送1:v4:flag(4 bytes)格式的数据,判断所述节点是否发送相同格式的数据,如果是则确定其为Mozi节点。
[0015]本专利技术的有益效果包括:(1)以正常p2p节点作为中继路由节点,解决了僵尸网络节点追踪的冷启动问题;(2)通过追踪特定子树尽可能多的获取到这些子树下的节点,然后进行Mozi节点的确认,这与漫无目的进行随机节点的Mozi确认相比,极大的提升了追踪效率。
附图说明
[0016]图1为本专利技术的方法流程图。
具体实施方式
[0017]Kademlia协议(以下简称Kad)是美国纽约大学的PetarP. Maymounkov和David Mazieres.在2002年发布的一项研究结果《Kademlia: A peerto
ꢀ‑
peer information system based on the XOR metric》。简单的说,Kad是一种分布式哈希表(DHT)技术,通过独特的以异或算法(XOR)为距离度量基础,建立了一种全新的DHT拓扑结构,大大提高了路由查询速度。
[0018]在2005 年5 月著名的BiTtorrent 在4.1.0 版实现基于Kademlia协议的DHT 技术后,很快国内的BitComet 和BitSpirit 也实现了和BitTorrent 兼容的DHT 技术,实现trackerless下载方式。
[0019]Kad 现已成为DHT的主流实现方式,Mozi僵尸网络寄生的p2p网络也是基于Kad实现的。Kademlia算法是一种分布式哈希存储及路由的算法,基于Kad协议实现的P2P网络的每个节点均存放部分资源。此时,需要考虑的问题如下:1. 如何分配存储内容到各个节点
2. 如何找到存储文件的节点/地址/路径如何快速高效的进行目标节点的路由,是Kad所解决的一个重要问题。
[0020]在Kademlia协议构建的p2p网络中,所有信息均以的哈希表条目的形式加以存储,这些条目被分散地存储在各个节点上,从而以全网方式构成一张巨大的分布式哈希表。
[0021]节点距离。Kademlia网络中数据关键值(Key)、节点ID(NodeID)均用160个bit表示,NodeID是加入网络时随机分配的。Kad协议规定每一个节点维护如下2个信息:1. 需要存储的资源,资源以<key, value>对的形式存储,可以理解为文件名的哈希值和文件内容。2. 一个路由表,称为“k
‑
bucket”,按Node ID分层,记录有限个数的其他节点的ID、IP地址、端口。
[0022]在Kad网络中,两个节点之间距离Dinstance并不是依靠物理距离、路由器跳数来衡量的,而是依靠节点ID的异或距离。
[0023]对上面描述的另一种理解方式:如果将整个网络的节点梳理为一个按节点ID排列的二叉树,树最末端的每个叶子便是一个节点。每一个节点的位置都由其 ID 值的最短前缀唯一的确定。由节点组成Kad网络节点树的过程如下:
‑ꢀ
Step1:先把key(如节点ID)以二进制形式表示,本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种针对P2P僵尸网络的渐进式节点主动追踪方法,应用于包括多个节点的P2P网络中,该方法包括以下步骤:步骤1,构建包括正常P2P节点的初始节点集合;步骤2,选择节点作为中继路由节点,向其发送目标为特定子树下随机节点的find_node请求,接收节点返回的路由表中离特定子树随机节点的最近节点集合;步骤3,遍历所述最近节点集合中的节点,判断所述最近节点集合中的节点是否存在于特定子树中,对存在于特定子树中的节点信息保存至僵尸网络节点列表;遍历结束后,如果所述最近节点集合中的所有节点均不在特定子树中,则随机选择所述最近节点集合中的一个节点为中继路由节点,返回执行步骤1;步骤4,显示获取到的僵尸网络节点列表。2.如权利要求1所述的方法,其特征在于,所述特定子树为Kademlia网络中,根据节点ID构建的节点二叉树中Mozi节点聚集的子树。3.如权利要求1所述的方法,其特征在于,所述节点信息包括IP 地址、端口号、节点ID。4.如权利要求1所述的方法,其特征在于,该方法还进一步包括:步骤5,对僵尸网络节点列表中的节点进行验证,发送1:v4:flag(4 bytes)格式的数据,判断所述节点是否发送相同格式的数据,如果是则确定其为Mozi节点。5.一种针对P2P僵尸网络的渐进式节点主动追踪装置,应用于包括多个节点的P2P网络中,该装置包括:初始节点构建模块,用于构建包括正常P2P节点的初始节点集合;最近节点获取模块,用于选择节点作为中继路由...
【专利技术属性】
技术研发人员:王大浩,杜雄杰,姜栋,朱星迪,杨帆,刘弋嘉,
申请(专利权)人:苏州知微安全科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。