對等網絡流量信息結構異常的檢測技術探究

葉衛華

【摘要】 當前針對網絡流量信息的異常結構展開的檢測技術還未取得統一完善的研究，本文在闡述對等網絡的相關概念后，著重就對等網絡的流量異常檢測技術進行了研究，提出了基于節點行為的對等網絡流量異常檢測方法。

【關鍵詞】 對等網絡 流量信息 異常檢測

當前，許多來自互聯網的惡意攻擊會導致計算機用戶網絡癱瘓、配置失效、鏈路頻繁中斷等問題，久而久之，整個網絡環境被嚴重污染，網絡運營商的服務評價將日漸降低。只有積極針對網絡流量的異常信息進行檢測，才能確保網絡秩序的正常化。

一、對等網絡的概述

對等網絡的實質也就是網絡的分布式規劃，這樣的網絡形式強調的是鏈接到網絡中每一個節點用戶都能夠共享到網絡的部分資源，這些可以共享的資源在網絡中可以被其他的節點用戶直接訪問并使用有關服務，而無需再次搭建不同對象之間的中間連接。整個網絡中的所有計算機都在提供或享受著不同的資源或服務，如實現信息共享、數據交換、計算及存儲資源、共享打印等。

二、對等網絡的流量異常檢測技術

不同的異常檢測系統對P2P網絡的流量異常檢測中，需要重視檢測精確度、運轉實時性、檢測全面性和新的網絡異常行為等幾個方面的關鍵性元素。每一種異常檢測技術都應該考慮到網絡異常攻擊的全新形式、網絡病毒的全新變種、部分應激噪聲流量可能出現的隱蔽性異常，才能讓技術的設計優化更有針對性。

2.1 對等網絡流量的應用分類

按照P2P網絡應用的不同，可以將網絡流量分為以下幾種：（1）文件共享類，如專用下載軟件等；（2）網絡傳輸類，如網絡直播電視軟件等；（3）即時通信類；如QQ軟件等；（4）網絡電子游戲類，如QQ游戲等；（5）共享服務或其他處理類軟件。

在采用這樣的分類標準重新規劃對等網絡流量后，采用基于數據包內容實現網絡流量異常的檢測方法就有些不合時宜。首先對于不斷更新升級的軟件，無法確保有效的高檢測準確率，無法做到檢測數據庫的同步更新。其次，一旦出現不同類型的新軟件，在無法確定該軟件應用類型前，數據包檢測沒有匹配的流量范圍用于支持檢測。這些問題，也正是本文考慮基于計算機節點行為來改進對等網絡流量異常檢測的關鍵。

2.2 基于節點行為的對等網絡流量異常檢測方法

2.2.1 節點行為

我們使用以迅雷等專用下載軟件為代表的文件共享類 P2P應用為案例進行節點行為分析。首先需要明確，P2P應用中很多節點為從目標服務器上獲得資源，可能出現不同的鏈接情況。如迅雷在啟動后，程序初始化后的短時間內軟件運行呈現穩態，多節點時間連接有效進行數據服務。在這個短時間內，申請資源的用戶計算機將以客戶端的身份發出請求，加入分布式哈希表等存儲列中，得到其他節點共享該資源的情況。文件共享類P2P應用中這些節點行為，在初始化分布式哈希表后進行資源申請時，都會完成大量的互連節點通信，確保當實現軟件運行穩態后，新增節點不再變化。這樣用戶對于所需資源的搜索，基本可以靠幾個大流量的節點就能完成。基于節點行為的網絡流量異常檢測技術就是對初始狀態的所有數據流產生必要的解析，整理出于主機保持聯系的信息，從而觀察主機在網絡結構的傳輸層中的行為反應，并將行為反應與眾多的應用相互關聯，實現流量的檢測與異常識別。

2.2.2 思路建模

（1）主機網絡位置。應該積極獲取所要觀察的主機與其他對象之間的通信行為，判斷是否具有不同樣的交互信息，大膽分析目標主機的IP地址，并確定不同主機之間的鏈接情況。（2）主機網絡功能。應分析主機在網絡環境中的功能定位，區別屬于用戶還是服務器。（3）主機應用行為。分析主機應用行為，需要得到主機網絡傳輸層的交互數據。通過特定時長與通信節點數判斷數據流的應用類型。

本文基于節點行為的網絡流量異常檢測方法可以按以下模型來予以表達：

結束語

對等網絡流量異常檢測需要不斷提供技術的可行性，才能發揮更好的作用。基于網絡節點行為的流量異常檢測，主要通過標識節點來進行異常檢測，提高對等網絡大數據環境中的檢查效果。

參 考 文 獻

[1] 王蛟. 基于行為的P2P流量及異常流量檢測技術研究[D]. 北京郵電大學， 2008.

[2] 朱應武，楊家海，張金祥. 基于流量信息結構的異常檢測[J]. 軟件學報， 2010， 21（10）：2573-2583.