P2P網(wǎng)絡(luò)中的病毒分析與檢測研究.pdf

1、P2P網(wǎng)絡(luò)作為一種分布式的網(wǎng)絡(luò)結(jié)構(gòu),改變了以往C／S(客戶端／服務(wù)器)為主的網(wǎng)絡(luò)結(jié)構(gòu),成為得到網(wǎng)絡(luò)用戶廣泛認(rèn)可一種結(jié)構(gòu)。然而,P2P高效的文件分發(fā)機(jī)制在為用戶帶來便利的同時也加快了病毒在網(wǎng)絡(luò)中的傳播速度。因此,如何有效檢測P2P網(wǎng)絡(luò)中病毒便成為P2P安全的一個重要課題。
　　 論文首先對病毒原理及P2P網(wǎng)絡(luò)不同于傳統(tǒng)網(wǎng)絡(luò)的特點進(jìn)行了分析,并以eMule為例分析了造成P2P網(wǎng)絡(luò)中病毒漏檢的因為。因為P2P的文件分塊機(jī)制有可能將P2

2、P網(wǎng)絡(luò)中傳播的病毒的特征碼劃分到不同的數(shù)據(jù)塊中造成漏檢。隨后,對造成漏檢的概率進(jìn)行量化的分析,得出漏檢的概率與特征碼的長度與分塊的長度的比例有關(guān)。另外,還分析了各種傳統(tǒng)病毒檢測方法在檢測P2P網(wǎng)絡(luò)中病毒的利弊,一些檢測方法是不適用于P2P網(wǎng)絡(luò)中的病毒檢測的。例如,流量統(tǒng)計的方法。分析得出基于特征碼的病毒檢測方法是檢測P2P網(wǎng)絡(luò)中傳播的病毒的有效方法。根據(jù)上述分析,提出了一種P2P網(wǎng)絡(luò)中基于病毒特征碼的分塊重組檢測方法。這種方法并不是把所

3、有數(shù)據(jù)分塊重組后再進(jìn)行檢測,而是對先到來的數(shù)據(jù)塊進(jìn)行檢測。若數(shù)據(jù)分塊中有部分?jǐn)?shù)據(jù)與特征碼匹配,則將其緩存并等待與下一個數(shù)據(jù)分塊進(jìn)行重組后重新檢測。這有效避免了因為病毒特征碼被分配到不同的數(shù)據(jù)塊中而造成的漏檢情況。
　　 最后,在Windows環(huán)境下對檢測系統(tǒng)進(jìn)行了實現(xiàn),在取不同長度,不同位置的特征碼的情況下,從檢測成功率等方面與沒有分塊重組的方法進(jìn)行了仿真和實驗比較,漏檢情況得到解決,并在eMule中對檢測系統(tǒng)進(jìn)行測試,實驗結(jié)果