[发明专利]一种P2P网络中基于行为相似度的共谋团体识别方法

说明书

技术领域

本发明涉及一种网络中共谋团体的识别方法，尤其涉及一种P2P网络中基于行为相似度的共谋团体识别方法，属于信息安全技术领域，特别是P2P网络安全领域。 

背景技术

P2P网络的出现在很大程度上改变了互联网的发展模式，许多网络应用程序依托P2P网络技术得到迅猛发展，典型的如eMule，BT等文件共享系统。由于P2P网络天生的开放性、匿名性和难以追踪性等特点，恶意节点很容易侵入到网络中并发起攻击，因此，P2P网络在带来便利的同时，也产生一些安全威胁，甚至成为传播病毒的途径。为了解决这一问题，P2P网络引入了信任机制，对网络中恶意节点的活动起到了比较好的抑制作用。 

信任机制的工作原理是通过对恶意节点赋予低信任值的方法达到抑制恶意节点活动的目的，实践证明该机制效果显著。但是信任机制本身也存在一系列安全问题，也会遭受恶意节点的攻击。现有的针对P2P信任机制的攻击方式可以大致分为单节点攻击和共谋团体攻击两类，其中，单节点攻击能力有限，且相对容易识别并防范，而共谋团体攻击由于可以采用更加复杂高效和难以识别的攻击方式，破坏性远大于单节点攻击。因此对共谋团体攻击的识别和抵制措施显得非常有必要。 

现有的针对共谋团体的识别方案主要是基于对节点IP聚类分析，但是这种基于节点IP的共谋团体识别方案的应用范围受到很大的限制。它的工作原理是通过对节点的IP来源进行聚类分析，将来源相近的节点视作共谋团体成员。该方案正确运行的前提是，共谋团体的成员同时在地理分布上也是邻近的，即该方案只限于识别由IP比较接近的节点组成的特殊共谋团体。但是现实中这种特殊情况并不总是出现，尤其在botnet网络出现之后，恶意节点可以很方便的集合大量IP分布于各地的节点组成共谋团体发起攻击，在这种情况下，基于节点IP的共谋团体识别方案无效。 

因此有必要提出一种新型的更加有效的共谋团体识别方案。 

发明内容

本发明的目的是为P2P网络信任机制提供一种适用范围更广、更加有效的共谋团体识 别方案。 

本发明的技术内容：一种P2P信任模型中的共谋团体识别方案。该方案通过分析节点之间行为的相似度检测网络中是否存在共谋团体，与现有的共谋团体识别方案相比，它的理论基础可靠，适用范围更为广泛，可以有效地对P2P网络中的共谋团体进行识别。 

本发明对共谋团体的定义如下所示： 

设若干节点组成的集合U，如果U中的节点个数不小于设定值δ，且U中任意两个节点之间的相似度不小于设定值ε，则我们称该集合U构成一个共谋团体。 

该方法的工作原理如下：同一共谋团体中的成员由于发起攻击的需要，在行为模式上表现出较大的相似性，因此我们可以根据这种相似性识别出属于同一共谋团体的节点。 

本发明的技术方案为： 

一种P2P网络中基于行为相似度的共谋团体识别方法，其步骤为： 

1)为网络中每个节点分配一个信任管理节点和一个行为记录节点； 

2)每个节点的信任管理节点监测网络中其他节点对该节点的评分行为；其具体方法为：任一节点i完成从节点j的下载后，根据下载结果形成对节点j的评价数据，然后将评价数据提交给节点j的信任管理节点，同时节点j的信任管理节点判断所接收的评分数据是否存在异常，如果存在异常则标记节点i为评分行为异常的节点；所述评价数据包括：评价节点ID、被评价节点ID、评价结果、具体评分；所述评分行为异常的节点的判定公式为： 其中R_ij为节点i对节点j的信任评价，R_j为节点j的当前全局信任值，当s＞σ时判定节点i为评分异常节点，σ为系统设定的行为异常阈值； 

3)每个节点的行为记录节点负责跟踪记录该节点对其他节点的评分行为，并汇总得到该节点的评分向量； 

4)信任管理节点定期检测在对所负责节点进行评分的节点中，评分行为异常的节点集合的数量是否超过设定值，如果超过设定值则启动共谋团体检测过程； 

5)针对评分行为异常的节点集合，共谋团体检测过程如下：首先从该集合中各个节点的行为记录节点处收集相关节点的评分向量；然后根据节点的评分向量计算节点之间的行为相似度；最后对行为相似度计算结果进行聚类分析，检查行为相似节点的数量是否超过设定值，从而判断是否存在共谋团体； 

6)信任管理节点根据反馈的检测结果更新节点的全局信任值。 

进一步的，所述方法中利用安全hash函数中的SHA-1算法为节点分配所述信任管理 节点和所述行为记录节点。