叶卫华

【摘要】 当前针对网络流量信息的异常结构展开的检测技术还未取得统一完善的研究，本文在阐述对等网络的相关概念后，着重就对等网络的流量异常检测技术进行了研究，提出了基于节点行为的对等网络流量异常检测方法。

【关键词】 对等网络 流量信息 异常检测

当前，许多来自互联网的恶意攻击会导致计算机用户网络瘫痪、配置失效、链路频繁中断等问题，久而久之，整个网络环境被严重污染，网络运营商的服务评价将日渐降低。只有积极针对网络流量的异常信息进行检测，才能确保网络秩序的正常化。

一、对等网络的概述

对等网络的实质也就是网络的分布式规划，这样的网络形式强调的是链接到网络中每一个节点用户都能够共享到网络的部分资源，这些可以共享的资源在网络中可以被其他的节点用户直接访问并使用有关服务，而无需再次搭建不同对象之间的中间连接。整个网络中的所有计算机都在提供或享受着不同的资源或服务，如实现信息共享、数据交换、计算及存储资源、共享打印等。

二、对等网络的流量异常检测技术

不同的异常检测系统对P2P网络的流量异常检测中，需要重视检测精确度、运转实时性、检测全面性和新的网络异常行为等几个方面的关键性元素。每一种异常检测技术都应该考虑到网络异常攻击的全新形式、网络病毒的全新变种、部分应激噪声流量可能出现的隐蔽性异常，才能让技术的设计优化更有针对性。

2.1 对等网络流量的应用分类

按照P2P网络应用的不同，可以将网络流量分为以下几种：（1）文件共享类，如专用下载软件等；（2）网络传输类，如网络直播电视软件等；（3）即时通信类；如QQ软件等；（4）网络电子游戏类，如QQ游戏等；（5）共享服务或其他处理类软件。

在采用这样的分类标准重新规划对等网络流量后，采用基于数据包内容实现网络流量异常的检测方法就有些不合时宜。首先对于不断更新升级的软件，无法确保有效的高检测准确率，无法做到检测数据库的同步更新。其次，一旦出现不同类型的新软件，在无法确定该软件应用类型前，数据包检测没有匹配的流量范围用于支持检测。这些问题，也正是本文考虑基于计算机节点行为来改进对等网络流量异常检测的关键。

2.2 基于节点行为的对等网络流量异常检测方法

2.2.1 节点行为

我们使用以迅雷等专用下载软件为代表的文件共享类 P2P应用为案例进行节点行为分析。首先需要明确，P2P应用中很多节点为从目标服务器上获得资源，可能出现不同的链接情况。如迅雷在启动后，程序初始化后的短时间内软件运行呈现稳态，多节点时间连接有效进行数据服务。在这个短时间内，申请资源的用户计算机将以客户端的身份发出请求，加入分布式哈希表等存储列中，得到其他节点共享该资源的情况。文件共享类P2P应用中这些节点行为，在初始化分布式哈希表后进行资源申请时，都会完成大量的互连节点通信，确保当实现软件运行稳态后，新增节点不再变化。这样用户对于所需资源的搜索，基本可以靠几个大流量的节点就能完成。基于节点行为的网络流量异常检测技术就是对初始状态的所有数据流产生必要的解析，整理出于主机保持联系的信息，从而观察主机在网络结构的传输层中的行为反应，并将行为反应与众多的应用相互关联，实现流量的检测与异常识别。

2.2.2 思路建模

（1）主机网络位置。应该积极获取所要观察的主机与其他对象之间的通信行为，判断是否具有不同样的交互信息，大胆分析目标主机的IP地址，并确定不同主机之间的链接情况。（2）主机网络功能。应分析主机在网络环境中的功能定位，区别属于用户还是服务器。（3）主机应用行为。分析主机应用行为，需要得到主机网络传输层的交互数据。通过特定时长与通信节点数判断数据流的应用类型。

本文基于节点行为的网络流量异常检测方法可以按以下模型来予以表达：

结束语

对等网络流量异常检测需要不断提供技术的可行性，才能发挥更好的作用。基于网络节点行为的流量异常检测，主要通过标识节点来进行异常检测，提高对等网络大数据环境中的检查效果。

参 考 文 献

[1] 王蛟. 基于行为的P2P流量及异常流量检测技术研究[D]. 北京邮电大学， 2008.

[2] 朱应武，杨家海，张金祥. 基于流量信息结构的异常检测[J]. 软件学报， 2010， 21（10）：2573-2583.