[发明专利]多特征对等网络监测体系和策略

说明书

技术领域

本发明涉及电子信息安全和网络信息安全领域，具体涉及一种多特征对等网络(Peer-to-Peer Networking，P2P)监测体系和策略。

背景技术

对等网络攻击防范和监控技术是近年来网络信息安全邻域的一个热点方向。对等网络是建立在Internet之上的大规模、自组织、高度动态的分布式协作网络，对等网络监测主要是指对等网络系统运行信息的搜集和特征识别分析，研究关于对等网络在网络结构、流量行为、用户行为等方面的高效数据采集、特征分析、以及业务流量识别分类算法。其中的关键技术问题包括：统一测量分析模型框架的探索研究；测量指标体系和评价方法的研究；对等网络综合特征分析算法模型探索研究等。面向对等应用的网络监测根据研究内容的不同可以划分为3类：

(1)对等网络拓扑特征监测

测量不同的对等网络应用拓扑图，分析相应拓扑的图属性和动态属性，探索邻居选择策略和用户行为对网络拓扑结构的影响，从而优化对等网络应用，提高系统性能，主要包括：

①对等网络拓扑图属性测量与分析。通常，利用图论中的结论，分析测量获取的对等网络图的各项指标，主要包括：节点连通度分布、节点对距离分布、网络图小世界特性、节点间连接偏好特性、网络弹性等。随着复杂网络理论研究的深入，更多的图属性指标将会引入到图属性分析中。

②对等网络拓扑动态属性测量分析。由于对等连接的持续变化，其网络拓扑具有天生的动态性，这些动态性会对整个对等网络的性能造成显著的影响。目前，对等网络拓扑动态特性的研究还处于起步阶段，尤其在国内，对等网络的测量研究还不多见，一方面的原因在于对等网络研究刚刚起步，测量对等网络还比较困难；另一方面，相应的网络测量技术、分析方法和理论都还不成熟。

(2)对等网络流量监测

获取对等应用流量的各项统计信息，分析对等网络应用流量的空间特性和时间特性，构建对等网络流量模型，寻求有效的对等网络流量控制策略。其中，对等网络流量空间特性监测主要从宏观上观察对等网络流量在地域分布上的差异性，以及对等网络流量在网络中不同节点之间分布的非均匀性；对等网络流量时间特性监测主要关注对等网络流量在时间上的演变特点，如昼行性(time of day)，流量的自相似性等。现有技术实验结论已经表明，在对等网络中，不同节点之间整体流量分布存在不均匀性，不同节点间流量的上传/下载比也存在着相当的差异。另外，主要的对等网络应用的流量在傍晚和凌晨之间也存在着显著的差异。

(3)对等网络应用可用性监测

对等网络应用可用性监测描述了对等网络应用提供给用户的服务水平，分析用户行为、服务内容、以及系统可用性之间的相互影响，发现对等网络应用网络中诸如垃圾信息、恶意代码等不良因素，寻找合理的对等网络应用优化、管理和赢利模式。包括：

①主机可用性的测量。对等网络中主机可用性主要通过主机活跃时间以及活跃主机的比例来反映。通常的测量方法是在特定对等网络中随机选择一个待测主机集合，周期性地向这些主机发送探测消息，并统计响应的数量。活跃主机的比例K等于收到响应数量n和待测主机数量N的比值。

②内容可用性测量。内容可用性主要用于描述用户从对等网络系统中获得目标资源的难易程度，即用户查询和下载资源的难易程度。内容可用性的相关因素比主机可用性更为复杂，因此只能通过对查询返回数量、查询响应时间、内容稳定性、内容重复度(当前节点发起的搜索中，特定文件重复出现的数量)、下载完成时间等量化指标的测量来间接反映。在实际中，对等网络流媒体网络经常会受到信息污染的严重威胁，而目前的主要防御对策，都还不能有效的治理这些信息污染的扩散。另一方面，目前单纯的黑名单、信任系统等策略不能有效抑制污染的扩散。

发明内容

该发明探索了一种新型实用的多特征融合的对等网络攻击监测方案，基于该方案提出了一种多层次的对等网络监测体系和策略。该检测体系和策略在分析归类当前主流对等网络的基础上，采用主动、被动相结合的方式，从宏观网络结构、流量特性、微观用户行为特征、内容特征等多个层面上，针对对等网络的结构特征、流量特征、以及用户行为特征等，实现对P2P网络的多层次、多特征的监测和分析。

在监测体系的设计上，该发明将协议分析处理功能独立出来，这样使监测体系具有良好的协议适应能力。同时，在上述研究的基础上，建立监测结果评价指标子系统，从数据准确性、完整性、以及稳定性等多个方面对获取的对等网络特征数据进行评价。