一种Ｐ２Ｐ网络大规模蠕虫爆发检测方法技术

本发明专利技术公开了一种Ｐ２Ｐ网络大规模蠕虫爆发检测方法。本发明专利技术向Ｐ２Ｐ网络部署多个检测端点和一个决策中心装置，每个检测端点对应一个随机选中的Ｐ２Ｐ节点，安装路由表监测装置监测Ｐ２Ｐ节点的两个关键参数，指针表查询频率（ＦＦＱ，ＦｒｅｑｕｅｎｃｙｏｆＦｉｎｇｅｒＴａｂｌｅＱｕｅｒｙ）和单位时间指针表使用率（ＲＦＱ，ＲａｔｉｏｏｆＦｉｎｇｅｒＴａｂｌｅＱｕｅｒｙ）。Ｐ２Ｐ节点定时将这两个参数值发送给决策中心。检测端点视为样本，来自检测端点的ＦＦＱ可视为所有节点的ＦＦＱ的样本值。决策中心根据本发明专利技术提出的基于贝叶斯公式的检测算法来判断当前网络是否有蠕虫爆发。本发明专利技术克服了现有的网络蠕虫检测方法不适于检测Ｐ２Ｐ蠕虫、对Ｐ２Ｐ蠕虫的检测率低误报率高等不足，可有效检测到Ｐ２Ｐ网络的蠕虫爆发。

【技术实现步骤摘要】

【技术保护点】
１．一种Ｐ２Ｐ网络大规模蠕虫爆发检测方法，其特征在于它的步骤如下：１）在计算机中安装决策中心装置，并加入互联网，开放特定网络端口，接收来自检测端点的注册消息、预警消息；２）在ｎ台计算机中安装Ｐ２Ｐ客户端软件，同时安装路由表监测装置，每个检测端点利用Ｐ２Ｐ客户端软件加入Ｐ２Ｐ网络，成为Ｐ２Ｐ网络中的一个节点，每个检测端点利用路由表监测装置向决策中心装置注册，并与决策中心装置建立网络连接；３）计算每个检测端点关键参数指针表查询频率和单位时间指针表使用率，对于检测端点ｋ，在时间窗口ｗ１之内第ｉ次发生指针表查询时，将被查询的目标节点记为Ｄｉ，并设置标志符Ｆｉ，若Ｄｉ≠Ｄｉ－１，则置Ｆｉ为１，否则Ｆｉ为０，经过滑动时间ｍ１后，统计时间窗口ｗ１之内有效标志符数量ＳＦ以及使用的指针数Ｐｋ，计算指针表查询频率和单位时间指针表使用率；４）每隔单位时间ｔ，检测端点通过已建立的网络连接向决策中心发送关键参数指针表查询频率和单位时间指针表使用率以及包含时间戳ｔ的消息；５）系统预先定义４类事件：Ｗ为网络爆发蠕虫，Ｎ为网络正常，Ｓ为ＦＦＱ＞０，Ｆ为ＦＦＱ＝０，ＦＦＱ代表针表查询频率；６）利用公式（１）＊＊＊检测Ｓ事件的发生，Ｐ（Ｗ｜Ｓ）是在Ｓ事件发生后，Ｗ事件发生的概率。Ｐ（Ｓ｜Ｗ）是在Ｗ事件发生后，Ｓ事件发生的概率。Ｐ（Ｓ｜Ｎ）是在Ｎ事件发生后，Ｓ事件发生的概率。其中Ｐ（Ｗ）初始取值η，相应的Ｐ（Ｎ）＝λ；７）利用公式（２）＊＊＊检测Ｆ事件的发生，Ｐ（Ｗ｜Ｆ）是在Ｆ事件发生后，Ｗ事件发生的概率。Ｐ（Ｆ｜Ｗ）是在Ｗ事件发生后，Ｆ事件发生的概率。Ｐ（Ｆ｜Ｎ）是在Ｎ事件发生后，Ｆ事件发生的概率。其中Ｐ（Ｗ）初始取值η，相应的Ｐ（Ｎ）＝λ；８）每次使用公式（１）或公式（２）计算之后，用得到的结果作为先验概率，更新Ｐ（Ｗ）的值，控制Ｐ（Ｗ）不小于η，若Ｐ（Ｗ）＞λ，则认为爆发蠕虫；９）若决策中心装置认为Ｐ２Ｐ网络已爆发蠕虫，则发出蠕虫爆发报警。...

【技术特征摘要】

【专利技术属性】
技术研发人员：林怀忠，
申请(专利权)人：浙江大学，
类型：发明
国别省市：86