一种P2P网络大规模蠕虫爆发检测方法

摘要

本发明公开了一种P2P网络大规模蠕虫爆发检测方法。本发明向P2P网络部署多个检测端点和一个决策中心装置，每个检测端点对应一个随机选中的P2P节点，安装路由表监测装置监测P2P节点的两个关键参数,指针表查询频率（FFQ，FrequencyofFingerTableQuery）和单位时间指针表使用率（RFQ，RatioofFingerTableQuery）。P2P节点定时将这两个参数值发送给决策中心。检测端点视为样本，来自检测端点的FFQ可视为所有节点的FFQ的样本值。决策中心根据本发明提出的基于贝叶斯公式的检测算法来判断当前网络是否有蠕虫爆发。本发明克服了现有的网络蠕虫检测方法不适于检测P2P蠕虫、对P2P蠕虫的检测率低误报率高等不足，可有效检测到P2P网络的蠕虫爆发。

主权项

一种P2P网络大规模蠕虫爆发检测方法，其特征在于它的步骤如下：1)在计算机中安装决策中心装置，并加入互联网，开放特定网络端口，接收来自检测端点的注册消息、预警消息；2)在n台计算机中安装P2P客户端软件，同时安装路由表监测装置，每个检测端点利用P2P客户端软件加入P2P网络，成为P2P网络中的一个节点，每个检测端点利用路由表监测装置向决策中心装置注册，并与决策中心装置建立网络连接；3)计算每个检测端点关键参数指针表查询频率和单位时间指针表使用率，对于检测端点k，在时间窗口w1之内第i次发生指针表查询时，将被查询的目标节点记为Di，并设置标志符Fi，若Di≠Di‑1，则置Fi为1，否则Fi为0，经过滑动时间m1后，统计时间窗口w1之内有效标志符数量SF以及使用的指针数Pk，计算指针表查询频率和单位时间指针表使用率；4)每隔单位时间t，检测端点通过已建立的网络连接向决策中心发送关键参数指针表查询频率和单位时间指针表使用率以及包含时间戳t的消息；5)系统预先定义4类事件：W为网络爆发蠕虫，N为网络正常，S为FFQ＞0，F为FFQ＝0，FFQ代表针表查询频率；6)利用公式(1) P ( W | S ) = P ( W ) * P ( S | W ) P ( W ) * P ( S | W ) + P ( N ) * P ( S | N ) 检测S事件的发生，P(W|S)是在S事件发生后，W事件发生的概率。P(S|W)是在W事件发生后，S事件发生的概率。P(S|N)是在N事件发生后，S事件发生的概率。其中P(W)初始取值η，相应的P(N)＝λ；7)利用公式(2) P ( W | F ) = P ( W ) * P ( F | W ) P ( W ) * P ( F | W ) + P ( N ) * P ( F | N ) 检测F事件的发生，P(W|F)是在F事件发生后，W事件发生的概率。P(F|W)是在W事件发生后，F事件发生的概率。P(F|N)是在N事件发生后，F事件发生的概率。其中P(W)初始取值η，相应的P(N)＝λ；8)每次使用公式(1)或公式(2)计算之后，用得到的结果作为先验概率，更新P(W)的值，控制P(W)不小于η，若P(W)＞λ，则认为爆发蠕虫；9)若决策中心装置认为P2P网络已爆发蠕虫，则发出蠕虫爆发报警。