[发明专利]一种P2P网络中基于块的病毒检测方法

说明书

技术领域

本发明网络病毒检测技术领域，特别是涉及P2P网络环境下的病毒检测方法。

背景技术

P2P网络相对传统网络中的C/S结构而言是一种全新的变革，发展到今日，随着使用人数的快速增长，P2P在网络电视，分布式计算，网络数据库，资源共享重要等领域的逐渐普及应用。P2P中的网络安全问题有着与普通网络安全中的一些共性，同时也有自己的一些特点，只有有针对性地进行P2P网络结构网络安全研究，才能够有效的抵御针对P2P网络结构的攻击。

然而，知名杀毒软件Norton、Kaspersky等能够成功检测到网络中传播的病毒与蠕虫，却不能检测到P2P中传播的病毒，原因在于P2P软件有分块传输机制以及数据包结构，病毒特征码就有机会被分配到不同的数据块中通过P2P软件传播而不被检测到。与传统网络中的安全问题相比，P2P网络给研究人员带来了新的挑战。P2P网络中的病毒和蠕虫攻击较传统网络中有了更大的灵活性，出现了专门针对P2P系统的网络病毒，能够利用系统漏洞达到迅速破坏、瓦解、控制系统的目的。例如，P2P中蠕虫可以不需要全网扫描IP来进行攻击，因为有大量的peer链接到当前主机，主机在共享网络资源时也会大量链接其他主机，此时病毒和蠕虫就可以通过这些链接进行感染，提高了效率，范围更广，破坏性更大。可以说若不能有效检测P2P网络中的病毒，那么P2P的使用者越多，用户被病毒感染的可能也就越大。

P2P网络病毒早在2002年就有出现，同时也出现了针对P2P网络病毒检测与防御的研究。P2P网络设计有方便的共享和快速的选路机制，这为蠕虫病毒以及分布式拒绝服务攻击(DDoS)提供了更好的入侵P2P网络机会。

由于P2P网络中的逻辑相邻的节点地理位置可能相隔很远，而参与P2P网络的节点数量又非常大，因此通过P2P系统传播的病毒波及范围大，覆盖面广，从而造成的损失会很大。另外，现有的P2P应用都有很强的防火墙穿越能力，将有可能被恶意代码利用，进一步加强他们的传播能力。在P2P网络中每个节点防御病毒的能力是不同的，只要有一个节点感染病毒，就可以通过内部共享和通信机制将病毒扩散到附近的邻居节点，在短时间内可以造成网络拥塞甚至瘫痪，共享信息丢失，机密信息失窃，甚至通过网络病毒可以完全控制整个网络。P2P的独特网络结构和路由算法也为拒绝服务攻击(DDoS)等提供了温床。

在实际应用中主要有以下几种行之有效的病毒检测方法：

1、基于特征码的病毒检测方法

该技术的核心是模式匹配。方法是监视网络中数据，查找具有病毒特征的字符串并加入特征库，但需要在很短的时间内完成对大量数据的处理及对比。可以使用存储特征码的哈希值，增长哈希值长度来减少计算量，例如Rabinfingerprint就是一个非常有效地增长哈希码的方法。此外关于样本的抽取也是在字符串哈希的基础上抽取，既可以加快速度又能保证样本属于同一个子串。基于特征码的病毒检测技术具有高效、准确的特点，但缺点是：只要蠕虫的个体稍有变异，这种方法往往就失去效力，需要定期的更新特征库。

2、基于流量的病毒检测方法

该方法充分利用没有病毒攻击与存在病毒攻击时流量的差异性来实现蠕虫的检测：将网络中的几个特征组成向量，病毒不同的攻击方式时所针对的不同量的变化来诊断是否受到了病毒攻击。基于流量的检测方法的难点在于各种参数的阈值的确定，这影响着检测结果的准确性，阈值设置得太低容易造成太多的误报，而如果设置得太高，则又容易造成漏报而起不到应有的检测作用。基于流量的病毒检测技术与其他的病毒检测技术相比较，它不仅对已知的病毒有效，而且能及时地检测未知的病毒，改变了病毒防范的被动局面。

3、基于蜜罐的病毒检测方法