研究P2P網(wǎng)絡(luò)中的病毒檢測與防御論文
P2P 網(wǎng)絡(luò)之中具有大量的節(jié)點,在網(wǎng)絡(luò)環(huán)境之中,節(jié)點以及節(jié)點之間的數(shù)據(jù)通信的安全性都相對比較低。而P2P 網(wǎng)絡(luò)又具有匿名,共享速度快,等特點。P2P 網(wǎng)絡(luò)的這些特點為網(wǎng)絡(luò)病毒的傳播奠定了良好的基礎(chǔ)。同時P2P 網(wǎng)絡(luò)由于其自身的特點,一旦一個節(jié)點被病毒感染,很快就會造成整個網(wǎng)絡(luò)的癱瘓。P2P 網(wǎng)絡(luò)巨大的安全隱患給用戶的生活和工作以及社會的穩(wěn)定帶來了巨大的威脅。目前有關(guān)P2P 網(wǎng)絡(luò)安全防護方面的研究比較缺乏和滯后。本文總結(jié)了前人的研究結(jié)果,對P2P 的安全性問題展開深入的探討和研究。
1 P2P 網(wǎng)絡(luò)病毒分析
P2P 網(wǎng)絡(luò)由于其自身的特點,決定著其中的病毒能夠利用和蔓延開來。因此,P2P 網(wǎng)絡(luò)病毒的泛濫與P2P 網(wǎng)絡(luò)自身的結(jié)構(gòu)和特點有著密切的關(guān)系,因此在探討P2P 網(wǎng)絡(luò)病毒之前我們需要對P2P 網(wǎng)絡(luò)有一個簡單的認識。
1. 1 P2P 網(wǎng)絡(luò)結(jié)構(gòu)
P2P 網(wǎng)絡(luò)在經(jīng)過這些年的發(fā)展之后得到廣泛運行的結(jié)構(gòu)模式有三種三種,本文對著三種結(jié)構(gòu)模式作了簡要的介紹。第一種是集中式P2P 網(wǎng)絡(luò)結(jié)構(gòu)。這種網(wǎng)絡(luò)結(jié)構(gòu)的突出特點是“使用一個或多個節(jié)點索引服務(wù)器來提供節(jié)點查詢應(yīng)答服務(wù)”P2P網(wǎng)絡(luò)之中的節(jié)點在其上線之后,索引服務(wù)器之中將會存儲它的所有的信息,通過索引服務(wù)器,用戶可以查詢節(jié)點上共享的其他節(jié)點的所有的信息。這種模式的P2P 結(jié)構(gòu)之中,雖然存在一個結(jié)構(gòu)中心服務(wù)器,但是它與其他的文件下載模式采用的客戶端/服務(wù)端模式仍然存在本質(zhì)上的不同。這種不同的突出表現(xiàn)就是信息的存儲位置不同。在P2P 結(jié)構(gòu)之中,信息存在于各個節(jié)點上,而客戶端/服務(wù)端這種模式下信息存在與服務(wù)器之中,同時這種模式之中客戶端的用戶無法實現(xiàn)相互之間的通信,而在P2P 模式之中用戶端是可以實現(xiàn)互相通信的。P2P 網(wǎng)絡(luò)的這種集中式網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點是不需要復雜的算法,通過節(jié)點就可以查詢索引服務(wù)器進而獲得存儲于節(jié)點上的信息。這是一種非常簡單有效的方法,但是它的缺點也非常的明顯和突出。最直接的體現(xiàn)就是一旦索引服務(wù)器出現(xiàn)故障或受到攻擊而導致其不能正常工作,那么整個P2P 網(wǎng)絡(luò)體制就會無法運轉(zhuǎn)。在這種模式下,運營和維護索引服務(wù)器是非常重要的。
P2P 網(wǎng)絡(luò)的第二種模式是完全分布式網(wǎng)絡(luò)結(jié)構(gòu)。在這種P2P網(wǎng)絡(luò)結(jié)構(gòu)下,沒有集中的索引服務(wù)器,節(jié)點間通過端與端之間的連接實現(xiàn)一個邏輯覆蓋網(wǎng)絡(luò)。整個網(wǎng)絡(luò)結(jié)構(gòu)是一個松散的組織,網(wǎng)路之中相鄰的節(jié)點之間通過廣播進行信息的查詢和傳遞。這種結(jié)構(gòu)的優(yōu)點是不需要中心服務(wù)器,解決了網(wǎng)絡(luò)結(jié)構(gòu)中心化的問題。在這種結(jié)構(gòu)模式之中通常不會出現(xiàn)單個節(jié)點的問題,但是在這種模式之中,所有的節(jié)點都是未知的,在網(wǎng)絡(luò)規(guī)模較大時,查詢的泛洪會導致信息的泛濫以及消耗大量的.寬帶從而造成沉重的網(wǎng)絡(luò)負擔。這種模式下信息的查詢還存在查詢結(jié)果不確定,網(wǎng)絡(luò)半徑不確定的風險。
第三種P2P 網(wǎng)絡(luò)結(jié)構(gòu)是混合式。這種模式總吸收了集中式P2P 結(jié)構(gòu)良好的可擴展性和完全分布式的較強容錯性兩方面的優(yōu)點。混合式結(jié)構(gòu)的三個組成部分別是索引節(jié)點,搜素節(jié)點,用戶節(jié)點。
這三種節(jié)點的劃分是根據(jù)各個節(jié)點在整個網(wǎng)絡(luò)結(jié)構(gòu)之中所起的不同作用而劃定的。在網(wǎng)絡(luò)運作的過程之中用戶節(jié)點僅僅是資源共享節(jié)點,不處理額外的信息;搜索節(jié)點是用來進行信息的存儲與信息的查詢工作,索引節(jié)點的作用是進行網(wǎng)絡(luò)范圍內(nèi)的搜索記錄工作,索引節(jié)點是從搜索節(jié)點之中選取出來的。混合式P2P 結(jié)構(gòu)的查詢速度比完全分布式有極大的提升,同時查詢的結(jié)果也更加的準確還消除了完全分布式之中的搜素遲緩問題。
1. 2 P2P 網(wǎng)絡(luò)的特點分析
為進一步說明P2P 網(wǎng)絡(luò)的行為特點和運行機制,本文選取了第三代混合型P2P 網(wǎng)絡(luò)結(jié)構(gòu)之中的Bit Torrent 網(wǎng)絡(luò)做為實例進行一次詳細的分析。選取Bit Torrent 做為實例是因為目前的統(tǒng)計數(shù)據(jù)顯示Bit Torrent 流量占據(jù)了整個P2P 流量之中的50%以上。同時Bit Torrent 協(xié)議也是目前運用最廣泛的P2P 技術(shù)協(xié)議。BitTorrent 網(wǎng)絡(luò)目前已經(jīng)成為世界上最重要的資源共享平臺。
Bit Torrent 網(wǎng)絡(luò)做為一種典型的P2P 結(jié)構(gòu)網(wǎng)絡(luò),其具有P2P 網(wǎng)絡(luò)的所有典型的特點。第一個特點就是“每個下載數(shù)據(jù)的客戶端也會同時將數(shù)據(jù)上傳給其他客戶端,因而能充分利用用戶富余的上行寬帶”。第二個特點是在Bit Torrent 網(wǎng)絡(luò)之中,沒有“服務(wù)器”與“客戶機”的區(qū)別。在網(wǎng)絡(luò)實際的運行過程之中每一個“客戶機”就是“服務(wù)器”。在運行的過程之中,一個用戶在下載的同時上行的寬帶也會向其他的用戶提供該用戶已經(jīng)下載完成的部分。
在這種情況下,下載的人數(shù)越多,實際的網(wǎng)絡(luò)寬帶就越大,下載的傳播速度就越快。Bit Torrent 網(wǎng)絡(luò)協(xié)議與傳統(tǒng)的網(wǎng)絡(luò)協(xié)議也存在著巨大的差別,Bit Torrent 網(wǎng)絡(luò)協(xié)議與傳統(tǒng)的網(wǎng)絡(luò)協(xié)議的區(qū)別在于:Bit Torrent 在數(shù)據(jù)的應(yīng)用層之中將所有的數(shù)據(jù)分割成了體積較小的數(shù)據(jù)塊,在傳輸?shù)倪^程之中,是以數(shù)據(jù)塊為基本單位進行傳輸,這樣傳輸?shù)膬?yōu)點在于能夠進一步提高傳輸速度和并行性,并且能夠降低資源共享者的寬帶消耗。
信息的發(fā)布者在Bit Torrent 網(wǎng)絡(luò)之中發(fā)布信息時是根據(jù)共享資源來生成特定的種子文件。所謂的種子文件具體是指依據(jù)一定的編碼規(guī)則描述共享資源的概要信息,索引信息以及資源的校驗碼信息。校驗碼是通過哈希算法而生成的。哈希計算的基本原理是“把待發(fā)布的目標文件虛擬的分成若干個體積相等的分片,而后在對每個分片計算哈希值。”種子文件是整個Bit Torrent 網(wǎng)絡(luò)之中的共享資源的索引文件。在用戶需要通過Bit Torrent 網(wǎng)絡(luò)獲取資源時首先將自己想要獲取的資源對應(yīng)的種子添加到Bit Torrent 軟件之中,然后創(chuàng)建下載任務(wù)。下載節(jié)點會通過種子查詢到所需資源的共享點信息,當用戶連接上共享點之后,用戶便可以從節(jié)點之中獲取自己想要的資源信息。在這個過程之中,由于每一個用戶可以同時向多個共享點請求共享,因此每一個節(jié)點的寬帶負擔都比較小,故流量分布比較均勻整個網(wǎng)絡(luò)還能保持比較高的數(shù)據(jù)傳輸速度。
一般情況下一個完整的Bit Torrent 網(wǎng)絡(luò)由5 個部分組成:第一個部分是靜態(tài)元信息文件。這個文件是由共享資源的初始擁有者制作的這一文件也稱做torrent 文件。實質(zhì)上該文件就是前文所論述的種子文件。第二部分是普通Web 服務(wù)器,該服務(wù)器的主要功能就是為用戶發(fā)布種子文件和為用戶提供種子文件的下載。第三部分是Tracker 服務(wù)器,該服務(wù)器是一個中心服務(wù)器,它的作用是保存,追蹤和傳輸各個節(jié)點的信息,該服務(wù)器實質(zhì)上就是前文所論述的索引服務(wù)器。用戶可以在這個服務(wù)器上搜索到自己需要的資源的下載節(jié)點,然后自行選擇其中的節(jié)點進行下載。第四部分是指分布式哈希表網(wǎng)絡(luò)。該網(wǎng)絡(luò)的作用是查詢下載同一資源的用戶并對節(jié)點之中的信息進行分布式的存儲。第五部分是下載用戶。在P2P 網(wǎng)絡(luò)之中,下載用戶既是原始的“下載者”同時也是原始文件的擁有者。在P2P 網(wǎng)絡(luò)之中,節(jié)點的作用分為兩個方面。第一個方面是從別的地方下載文件分片;第二個方面是將自己所擁有的文件分片提供給其他的需求者。
1. 3 P2P 網(wǎng)絡(luò)病毒傳播機理分析
P2P 病毒就是指以“P2P 網(wǎng)絡(luò)為活動空間和傳播途徑的病毒”。在P2P 網(wǎng)絡(luò)之中節(jié)點擔負著服務(wù)器,路由器,客戶端等多種角色,這直接導致了節(jié)點的拓撲信息極易被病毒利用。利用這一特點病毒在P2P 模式之中不需要進行大量的無用掃描,只需要以自身的身份混入正常的信息之中,就可以在不引起任何網(wǎng)絡(luò)異常的前提下快速的在P2P 網(wǎng)絡(luò)之中快速的進行大范圍傳播。P2P 病毒的在傳播的過程之中通常是依附在正常的P2P 信息之中,因此用戶在通過P2P 網(wǎng)絡(luò)下載資源時就在不知不覺之中感染了P2P病毒。
2 P2P 病毒檢測與預防方法
完整的P2P 網(wǎng)絡(luò)之中具有數(shù)量眾多的節(jié)點,不同的節(jié)點檢測與防御病毒的能力存在比較大的差距。在進行P2P 網(wǎng)絡(luò)的安全防護時首先應(yīng)以節(jié)點為核心建立P2P 對等端的病毒檢測節(jié)點。在以節(jié)點為核心的保護措施的建立的過程之中,我們要考慮到如果病毒的檢測節(jié)點只具有自身的病毒檢測和防御能力,那么我們設(shè)計的P2P 網(wǎng)絡(luò)保護機制將無法確保那些自身防護能力較弱的節(jié)點是否能夠面對病毒的攻擊。為平衡P2P 網(wǎng)絡(luò)之中各個節(jié)點的防衛(wèi)能力的差異,我們需要構(gòu)建的等端P2P 網(wǎng)絡(luò)病毒檢測節(jié)點不僅能檢測自身是否帶有病毒,還可以對病毒進行有效的抵御。
P2P 網(wǎng)絡(luò)中的病毒檢測與防御節(jié)點是基于P2P 對等端的構(gòu)建而實現(xiàn)的。這一安全保護機制是在P2P 網(wǎng)絡(luò)正常進行信息交互的過程之中,對信息進行病毒檢測的。在P2P 網(wǎng)絡(luò)工作的過程之中,節(jié)點可以在一定的范圍之內(nèi)進行針對病毒傳播的防御工作。節(jié)點通過加載P2P 病毒的三元列表進而識別出P2P 網(wǎng)絡(luò)之中帶有P2P病毒片段的數(shù)據(jù)分片。此后該分片會通過Tracker 注冊及DHT 擴散的方式除去攜帶病毒資源之中的swarm。此后在此節(jié)點上的傳輸過程之中便不會再有病毒的數(shù)據(jù)分片,這種方法將最大限度的減少資源的下載者下載到的資源之中包含的病毒。這樣以對等端構(gòu)建的P2P 網(wǎng)絡(luò)中的檢測與防御節(jié)點,既能讓P2P 資源傳輸更加的便利與快捷,還能夠有效的增強P2P 網(wǎng)絡(luò)病毒的檢測與防御功能。
在 P2P 網(wǎng)絡(luò)之中,當普通下載的過程之中對等端與病毒的防御節(jié)點連接之后,病毒的防御節(jié)點請求之中包含了一部分病毒的數(shù)據(jù)片段之后,實質(zhì)的下載完成之后,下載的對等端也會得到若干并不包含病毒的數(shù)據(jù)分片,造成這樣一個結(jié)果的原因是,此刻下載用戶得到的數(shù)據(jù)并不是上一個請求節(jié)點之中對應(yīng)的數(shù)據(jù),而是防御節(jié)點為避免病毒進一步快速傳播而構(gòu)造的無害數(shù)據(jù),實質(zhì)上當節(jié)點檢測到病毒之后,節(jié)點就會進入受防御的節(jié)點保護狀態(tài)進行節(jié)點的隔離保護。含有病毒的數(shù)據(jù)在重復的傳播的過程之中,下載節(jié)點會不斷的向病毒所在的節(jié)點請求數(shù)據(jù)塊時,防御節(jié)點并不將含有病毒的數(shù)據(jù)分片傳遞下去,而是生成一個無毒的數(shù)據(jù)塊進行傳輸,在傳輸?shù)倪^程之中,當包含病毒的數(shù)據(jù)分片的校驗碼錯誤之后,此一數(shù)據(jù)分片失去繼續(xù)傳播的能力。
3 結(jié)語
P2P 網(wǎng)絡(luò)之中匿名,自由等一系列優(yōu)點使它無法避免的成為了病毒和惡意代碼的攻擊對象。本文在充分的研究了P2P 網(wǎng)絡(luò)的各種結(jié)構(gòu)的結(jié)構(gòu)特點之后,分析了P2P 病毒的傳播機理,最后提出了一種確保P2P 網(wǎng)絡(luò)安全運行的方法。
【研究P2P網(wǎng)絡(luò)中的病毒檢測與防御論文】相關(guān)文章:
P2P網(wǎng)絡(luò)體系及檢測技術(shù)研究論文11-06
網(wǎng)絡(luò)攻擊與防御論文02-25
網(wǎng)絡(luò)入侵檢測系統(tǒng)研究論文07-03
網(wǎng)絡(luò)檢測論文03-12
網(wǎng)絡(luò)防御技術(shù)論文范文04-05
網(wǎng)絡(luò)信息理入侵檢測技術(shù)研究論文11-07