● 摘要
随着P2P应用的逐渐普及,其安全问题日益显现。在众多安全隐患中,基于漏洞传播的P2P蠕虫是对等网和互联网极具危险性的潜在威胁之一,然而目前还缺乏相关的检测和防御机制,一旦网络中突发了这种蠕虫,会造成严重的损失,这种风险最近才引起广泛重视。本文针对P2P蠕虫的传播特点及相应的检测防御机制进行了研究与探索。作为恶意代码的一种,P2P蠕虫既有一般网络蠕虫的共性,又具有其特殊性。现有的一般网络蠕虫传播模型和检测机制无法直接应用于P2P蠕虫;另一方面,P2P蠕虫流量往往混杂于游戏、P2P等多种背景流量中,如何在应用未知蠕虫检测前消除这些干扰也是需要解决的问题。本文在深入研究和分析网络蠕虫和P2P蠕虫相关现状之后,综合运用多种数学工具,建立了P2P蠕虫传播模型;基于大量的文献查阅和网络流量分析,设计、实现了P2P蠕虫检测方法PWD(P2P worm detection)。本文的主要成果包括:(1)建立了基于典型结构化对等网中的P2P蠕虫传播模型,刻画了P2P蠕虫的传播特征,揭示了其迅速传播的危险性以及逻辑拓扑对传播的负面作用。(2)提出了P2P蠕虫检测方法PWD。PWD融合了基于流的预处理、未知蠕虫检测、指纹计算及特征匹配等技术,是针对P2P蠕虫检测的有效方法。(3)针对P2P蠕虫检测,重新界定干扰流量,改进了相应的识别法则;给出了P2P蠕虫检测法则;并引入博弈论讨论了检测周期的选取问题。(4)上述结果都获得了模拟仿真实验结果和真实环境下实验结果的验证。最后,本文指出下一步工作需要围绕扩大实验规模展开PWD的进一步研究。