[发明专利]基于eMule的主动式特定信息传播监测方法

摘要

本发明公开了一种基于eMule的主动式特定信息传播监测方法，从互联网或者服务器上获取eMule资源，对eMule资源收集器获取的eMule资源进行分析，得到eMule资源中所包含的有效信息，采用仿真客户端方法来连接eMule网络，根据eMule协议和Ed2k或者Kad协议对返回数据包进行分析，获取该节点的状态信息。由于通过模拟EMule客户端向EMule网络发送仿真数据包，并对返回的数据包进行分析，有效地解决了EMule特定信息传播及其受众的监测问题，为网络安全监管部门提供了受众信息监测与取证手段，同时为网络安全态势宏观分析和预警预报提供了基础数据和决策依据。

主权项

1、一种基于eMule的主动式特定信息传播监测方法，其特征在于包括下述步骤：(a)以两种方式获取eMule资源：(1)从互联网上获取eMule资源时，先从系统中读取eMule资源在网页中的匹配关键字“<a href＝″ed2k://”，再从系统设置信息中读取搜索起始地址，将该地址所指定的网页信息读取到本地并使用文本方式打开，对文本中的内容根据已读取的eMule资源匹配关键字进行单词匹配，将该匹配位置的后续信息作为eMule资源的链接地址进行保存，同时进行5～20的线程数配置，即先将线程数配置信息设为5，开始获取eMule资源，判断计算机系统的CPU占用率是否达到80％，如果没有达到，则将线程数配置信息加1，直到计算机系统的CPU占用率达到80％或者线程数配置信息达到20为止；系统对当前网页信息进行匹配搜索，发现有链接标签：<a></a>，将链接标签中的链接地址作为后续需要处理的地址信息存放到未处理队列中，当前网页信息处理完成后，从未处理队列中读取出该队列的第一个地址重复上述的匹配处理操作，直到未处理队列中的链接地址为空为止；(2)从eMule服务器上获取eMule资源时，根据eMule的公开协议，模拟eMule客户端与eMule服务器之间的查询交互过程，向eMule服务器发送查询数据包，eMule服务器接收到该查询命令后，在自有的服务器上进行搜索，并向eMule客户端返回搜索结果，返回时的搜索结果以eMule资源列表的方式进行组织；(b)对eMule资源收集器获取的eMule资源进行分析，得到eMule资源中所包含的有效信息，包括：文件名、文件大小、文件Hash值、来源地址、端口号信息、完整的Hash Set信息，并将这些信息存储到数据库中，在通过仿真客户端进行“受众信息”获取时，根据指定的查询条件快速查找相关的eMule资源；(c)采用仿真客户端方法来连接eMule网络，以获取共享特定文件的Peers节点列表信息，eMule仿真客户端启动，连接到eMule网络，服务器提供给仿真客户端一个客户端ID，在任务列表中存在需要下载文件的任务时，根据当前仿真客户端所连接的eMule网络类型Ed2k或者Kad进行交互模拟；根据eMule资源中的文件Hash值仿造真实的网络链接请求信息向Ed2k或者Kad网络服务器发起查询请求，Ed2k或者Kad网络服务器接收到当前查询请求后，根据Ed2k或者Kad网络协议在Ed2k或者Kad网络中查询可提供下载eMule资源对应文件的节点信息，节点列表信息使用TCP数据包返回给仿真客户端；采用分布式系统结构，通过部署多个仿真客户端，每个仿真客户端向eMule网络提交多次查询请求，进而可以获得参与文件传输的所有节点信息；(d)eMule仿真客户端获取到Ed2k网络和Kad网络的返回信息后，根据eMule协议和Ed2k或者Kad协议对返回数据包进行分析，得到当前eMule资源对应文件下载的Peer节点列表信息，每个Peer节点信息包含客户端ID和端口号，这些节点列表信息在数据包中按协议规范进行组织；当仿真客户端收到Ed2k网络或者Kad网络的返回信息数据包后，将数据包按照协议规范进行分解，得到Ed2k网络或者Kad网络的节点列表信息；得到Ed2k网络或者Kad网络返回的节点列表信息后，对所有节点节点信息进行重新组织，将重复的节点删除，并将节点按照客户端ID进行排序，对整理后的节点信息进行链接，获取该节点的状态信息；当仿真客户端获得节点列表后，根据eMule协议规范，对于每个节点，使用该节点的客户端ID和端口号生成仿真握手数据包，并向该节点发出握手请求，建立用于数据传输的TCP链接，与节点之间的链接建立起来后，仿真客户端模拟eMule协议中的数据请求数据包，并向该节点发送，同时接收该节点的返回数据包，通过固定时间段的发送与接收，对接收到的数据量进行统计、取时间平均值，得出该TCP链接的传输速率和节点状态信息，对于收集的eMule资源信息和受众信息，形成了完整的受众监控信息，但是由于在收集信息的过程中没有进行过滤，对于重复的数据只保留一条，以标准的数据格式存入受众数据库。