[发明专利]基于eMule的主动式特定信息传播监测方法

说明书

技术领域

本发明涉及一种信息传播监测方法，特别是基于eMule的主动式特定信息传播监测方法。

背景技术

P2P文件共享系统模型总体上可分成4种：

(1)采用中心拓扑的集中目录式P2P模型，资源发现依赖于中心目录服务器，典型的代表是Napster系统；

(2)采用全分布非结构化拓扑的纯粹P2P模型，节点间的文件查询和共享都是直接通过相邻节点的广播方式传递，典型的代表是Gnutella系统；

(3)采用半分布式结构拓扑的混合式P2P模型，在纯粹P2P的基础上，引入了超级节点的概念，综合了集中目录式P2P的查找快速和纯粹P2P非中心化的优势，典型的代表是Kazaa系统等；

(4)采用全分布结构化拓扑的结构化P2P模型，利用分布式消息传递机制和分布式哈希表(Distributed Hash Table，DHT)技术实现信息定位与文件共享。在互联网上流行的P2P软件是以混合式P2P模型和结构化P2P模型为主，典型的是EMule、eMule/eDonkey等。

P2P网络监测模型主要有2种：

(1)基于流量特征的监测模型，根据各种P2P软件通信过程所呈现出的流量特征进行识别和监测，主要用于网络运营商对P2P流量的管理；

(2)基于流量内容的监测模型，根据P2P软件所传输的流量内容进行识别和监测，但对加密的P2P流量内容则无法识别。

文献1“Thomas Karagiannis，Andre Broido，Michalis Faloutsos，et al.Transport layeridentification of P2P traffic[C].IMC’04，October 25-27，2004，Taormlna，Sicily，Italy.Copyright2004ACM：121-134”公开了一种基于传输层特征的P2P流量检测方法，该方法以P2P流量在传输层所表现出来的一般性特征为依据，结合传统的端口检测技术，能够检测到新的P2P应用和加密的P2P应用的数据流，但该方法过于复杂且不能对P2P应用进行分类。总的来看，基于流量特征的监测模型主要用于网络运营商对P2P流量限制和管理，并不适合P2P特定信息传播监控和取证。

文献2“Ho Gyun Lee，Taek yong Nam，Jong Soo Jang.The Method of P2P Traffic Detectingfor P2P Harmful Contents Prevention[C].ICACT2005.Feb 21-23，2005，Phoenix Park，Korea”公开了一种基于内容恢复的P2P文件共享系统特定内容监控方法，该方法首先对P2P数据流进行识别，将P2P数据流按传输内容的类型分为文本、图像和视频数据。对于文本类型数据内容采用字典比较的方法，将文本中携带的关键字与事先建立好的不良信息字典库进行比较，以实现对不良内容的监测。对于图像内容，文中只提及对色情内容的监测，通过图像处理的方法检测文件中“皮肤区域”所占整个图像的比例，超过一定的阈值则认为该图像携带色情内容。对于视频文件，采用两种监测方法：一是从视频文件中获取关键帧，对关键帧的内容进行判断；二是恢复视频文件的某一片段，根据该片段的内容判断视频文件是否存在非法内容。该方案的缺点在于系统架构过于复杂，缺乏统一的检测机制；数据报文内容恢复技术难度大，无法恢复加密的数据内容；图像和视频的检测方法只能采取事后分析，需要使用复杂的图像处理技术，计算量大，实时性差，检测准确率较低。由于基于流量内容的监测模型需要对P2P软件所传输的流量内容进行恢复性识别，却无法恢复和监控被加密的P2P信息内容。

国内外现有P2P网络监测技术主要用于网络运营商对P2P流量的识别与管理，无法实现对P2P特定信息传播及其受众进行有效的监测和分析，不能满足网络安全监管的应用需求。

发明内容

为了克服现有技术方法对eMule特定信息传播及其受众进行监测和分析效果差的不足，本发明提供一种基于EMule的主动式特定信息传播监测方法，通过模拟EMule客户端向EMule网络发送仿真数据包，并对返回的数据包进行分析，可以有效的对EMule网络特定信息传播进行监测和分析。

本发明解决其技术问题所采用的技术方案：一种基于EMule的主动式特定信息传播监测方法，其特点是包括下述步骤：