CN102299826A - 多特征对等网络监测体系和策略 - Google Patents
多特征对等网络监测体系和策略 Download PDFInfo
- Publication number
- CN102299826A CN102299826A CN201010207203XA CN201010207203A CN102299826A CN 102299826 A CN102299826 A CN 102299826A CN 201010207203X A CN201010207203X A CN 201010207203XA CN 201010207203 A CN201010207203 A CN 201010207203A CN 102299826 A CN102299826 A CN 102299826A
- Authority
- CN
- China
- Prior art keywords
- peer
- network
- node
- peer network
- strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
该发明提出了一种多层次的对等网络监测体系和策略,在分析归类当前主流对等网络的基础上,采用主动、被动相结合的方式,从宏观网络结构、流量特性、微观用户行为特征、内容特征等多个层面上,针对对等网络的结构特征、流量特征、以及用户行为特征等,实现对对等网络的多层次、多特征的监测和分析。在监测体系的设计上,该发明将协议分析处理功能独立出来,这样使监测体系具有良好的协议适应能力。同时,该发明建立了监测结果评价指标子系统,从数据准确性、完整性、以及稳定性等多个方面对获取的对等网络特征数据进行评价。该发明实现了与对等网络应用协议无关的监测框架策略,建立了监测准确性评价指标体系,为建立对等网络监测完整模型提供标准化思路,进而为对等网络宏观监测预警产业化打下坚实的技术基础。
Description
技术领域
本发明涉及电子信息安全和网络信息安全领域,具体涉及一种多特征对等网络(Peer-to-Peer Networking,P2P)监测体系和策略。
背景技术
对等网络攻击防范和监控技术是近年来网络信息安全邻域的一个热点方向。对等网络是建立在Internet之上的大规模、自组织、高度动态的分布式协作网络,对等网络监测主要是指对等网络系统运行信息的搜集和特征识别分析,研究关于对等网络在网络结构、流量行为、用户行为等方面的高效数据采集、特征分析、以及业务流量识别分类算法。其中的关键技术问题包括:统一测量分析模型框架的探索研究;测量指标体系和评价方法的研究;对等网络综合特征分析算法模型探索研究等。面向对等应用的网络监测根据研究内容的不同可以划分为3类:
(1)对等网络拓扑特征监测
测量不同的对等网络应用拓扑图,分析相应拓扑的图属性和动态属性,探索邻居选择策略和用户行为对网络拓扑结构的影响,从而优化对等网络应用,提高系统性能,主要包括:
①对等网络拓扑图属性测量与分析。通常,利用图论中的结论,分析测量获取的对等网络图的各项指标,主要包括:节点连通度分布、节点对距离分布、网络图小世界特性、节点间连接偏好特性、网络弹性等。随着复杂网络理论研究的深入,更多的图属性指标将会引入到图属性分析中。
②对等网络拓扑动态属性测量分析。由于对等连接的持续变化,其网络拓扑具有天生的动态性,这些动态性会对整个对等网络的性能造成显著的影响。目前,对等网络拓扑动态特性的研究还处于起步阶段,尤其在国内,对等网络的测量研究还不多见,一方面的原因在于对等网络研究刚刚起步,测量对等网络还比较困难;另一方面,相应的网络测量技术、分析方法和理论都还不成熟。
(2)对等网络流量监测
获取对等应用流量的各项统计信息,分析对等网络应用流量的空间特性和时间特性,构建对等网络流量模型,寻求有效的对等网络流量控制策略。其中,对等网络流量空间特性监测主要从宏观上观察对等网络流量在地域分布上的差异性,以及对等网络流量在网络中不同节点之间分布的非均匀性;对等网络流量时间特性监测主要关注对等网络流量在时间上的演变特点,如昼行性(time of day),流量的自相似性等。现有技术实验结论已经表明,在对等网络中,不同节点之间整体流量分布存在不均匀性,不同节点间流量的上传/下载比也存在着相当的差异。另外,主要的对等网络应用的流量在傍晚和凌晨之间也存在着显著的差异。
(3)对等网络应用可用性监测
对等网络应用可用性监测描述了对等网络应用提供给用户的服务水平,分析用户行为、服务内容、以及系统可用性之间的相互影响,发现对等网络应用网络中诸如垃圾信息、恶意代码等不良因素,寻找合理的对等网络应用优化、管理和赢利模式。包括:
①主机可用性的测量。对等网络中主机可用性主要通过主机活跃时间以及活跃主机的比例来反映。通常的测量方法是在特定对等网络中随机选择一个待测主机集合,周期性地向这些主机发送探测消息,并统计响应的数量。活跃主机的比例K等于收到响应数量n和待测主机数量N的比值。
②内容可用性测量。内容可用性主要用于描述用户从对等网络系统中获得目标资源的难易程度,即用户查询和下载资源的难易程度。内容可用性的相关因素比主机可用性更为复杂,因此只能通过对查询返回数量、查询响应时间、内容稳定性、内容重复度(当前节点发起的搜索中,特定文件重复出现的数量)、下载完成时间等量化指标的测量来间接反映。在实际中,对等网络流媒体网络经常会受到信息污染的严重威胁,而目前的主要防御对策,都还不能有效的治理这些信息污染的扩散。另一方面,目前单纯的黑名单、信任系统等策略不能有效抑制污染的扩散。
发明内容
该发明探索了一种新型实用的多特征融合的对等网络攻击监测方案,基于该方案提出了一种多层次的对等网络监测体系和策略。该检测体系和策略在分析归类当前主流对等网络的基础上,采用主动、被动相结合的方式,从宏观网络结构、流量特性、微观用户行为特征、内容特征等多个层面上,针对对等网络的结构特征、流量特征、以及用户行为特征等,实现对P2P网络的多层次、多特征的监测和分析。
在监测体系的设计上,该发明将协议分析处理功能独立出来,这样使监测体系具有良好的协议适应能力。同时,在上述研究的基础上,建立监测结果评价指标子系统,从数据准确性、完整性、以及稳定性等多个方面对获取的对等网络特征数据进行评价。
该发明提出的多特征融合的对等网络监测框架体系和策略,实现了与对等网络应用协议无关的监测框架策略,建立了监测准确性评价指标体系,这将为建立对等网络监测完整模型提供标准化思路,改变当前对等网络监测体系混乱、标准不统一的局面,进而为对等网络宏观监测预警产业化打下坚实的技术基础。
附图说明
图1为对等网络基本拓扑特征有限集中元素的相互关系
图2为对等网络测量框架
具体实施方式
对等网络的测量,在本质上可以归结为:网络特征的快速广度优先访问遍历。该发明的测量体系和策略的设计针对各类对等网络的特点,对对等网络测量问题的实施分为3个部分:
(1)对等网络协议抽象
一般的,对等网络中节点可以被分成三类,即:
①新加入对等网络的新节点(new node);
②通过网页等形式保留的缓存节点(cache node),它们是新节点加入网络时选择连接的节点;
③其它的节点称为老节点(old node)。当一个新节点加入对等网络时,它首先通过主机服务器(host server)或者地址规则计算获取对等网络中缓存节点的地址信息,接着按照一定的规则选择一些缓存节点作为其邻居,随后的过程中,它可以通过某些替换策略更改邻居关系,直到退出网络。
这个抽象协议的描述如下:
表3-4对等网络抽象协议
对等网络中的节点具有较强的动态特性,节点随机加入、离开网络。节点随机加入对等网络的统计行为可以使用参数为λ的泊松分布(Possion distribution)模型描述;而节点在线时间的统计行为可以表示为独立的、服从参数为μ的指数分布(exponential distribution)的随机模型。这两个模型在经典的电话干线网络和后来对P2P网络实例分析(Gnutella和Napster网络等实例)中得到了验证,能够较好的说明对等网络节点的动态行为。
根据上述对等网络协议和行为的抽象,令Gt=(Vt,Et)是时刻t的网络拓扑,节点加入网络的泊松分布参数λ,节点在线时间的指数分布参数为μ;令N=λ/μ。由此我们希望可以得到如下一些结论:
(a)对于任意时刻t=Ω(N),|Vt|=Θ(N);当t/N→∞时,,|Vt|=N±O(N)。它们成立的概率P=1-N-Ω(1)。
(b)存在一个常数c,对于给定的任意时刻t>clogN,对等网络图Gt满足概率关系:
Pr(Gt是连通的)≥1-O(log2N/N)
如果上述两个结论成立,说明根据本抽象协议描述的对等网络,经过一段时间后,该网络的节点数量是相对稳定的,同时网络是连通的。这是该发明提出的P2P网络测量框架和策略的前提基础。
(2)测量过程描述和分析
主动式对等网络测量过程可以描述为:
预先收集对等网络入口节点(缓存节点)的地址信息,将其保存到队列Q中。其中,队列Q中的元素是唯一的。
从队列Q中每次取出m个未访问的节点,获取这些节点的信息以及其k个邻居地址信息。
将k个邻居节点地址信息保存到队列尾部,保存m个节点的邻居关系。重复第2步直到访问完队列Q中的所有节点或访问了网络中ε比例的节点。
由于对等网络大规模、强动态的特性,在对等网络测量过程中,对等网络拓扑一直在不停的变化。要保证测量完整性和数据准确性,一般地,可以通过采用多点并行分布式测量策略来增大测量系统的获取速度。实验证明,BA等模型描述的具有幂率特征的网络,高连接度节点是网络成长过程中的“老节点”,在P2P网络中,高连接度数节点的在线时间也相对较长,状态也相对稳定。因此,连续拓扑快照中,前一拓扑快照中的大节点,极有可能在这次拓扑快照中仍然在线并且是大连接度数节点。同时,技术网络具有disassortative mixing特性,即:网络中大度节点偏好与低度节点建立邻居关系。因此,根据排队理论,优先选择大度节点访问能获得更多的节点信息,产生访问回路的概率也相对较小。对于规则网络和正态简单随机网络,优先选择大度节点访问不会影响测量速度;而且,对于幂律网络和具有混杂特征(mixing pattern)的随机网络,这一策略显然更具优势。因此,在构造测量框架和测量策略时,通过优先选择大度节点的方式(增大d),采用多点并行分布式测量策略(增大m),以及关联时间上连续快照数据(寻求θ的下界)等方式,提高测量速度,减少测量误差。
(3)测量数据准确性评价
测量结果的评价包括测量数据的完整性和准确性两方面。作为衡量系统框架和策略中测量结果数据的指标,有如下定义:
定义1:设:Nmax,Emax分别表示网络中节点和边的总数;n,e为测量系统当前获取节点、边的数量,定义拓扑数据完整性指数ε为:
ε是测量系统在某一时刻获取的拓扑数据占网络总体的比例。分析表明,ε与每次访问的节点数m、这m个节点的平均度数d,以及运行时间T等密切相关,通过增加m和d可以在短时间内获得较大比例的网络节点。当爬行时间大于30分钟时,统边、点获取速度非常小(小于0.3K/分钟)。因此,在实际应用中,选择测量系统30分钟获取的节点和边的总数分别作为Nmax,Emax。
定义2:同时做两次反向爬行(Back-to-Back Crawling),获取拓扑图G0={V0,E0},G1={V1,E1},定义G0,G1的点差异集合Vd={v|v∈(V0-V1)或v∈(V1-V0)},边差异集合Ed={e|e∈(E0-E1)或e∈(E1-E0)}。
定义3:设:δe为集合Ed中元素个数,δv为Vd中元素个数,N,E分别为G0,G1节点数和边数的均值。定义拓扑数据形变指数δ为:
δ反映测量系统运行其间,拓扑图微观结构变化情况。测量系统越准确,δ值越小。δ值与每次访问的节点数m、这m个节点的平均度数d,以及运行时间T等密切相关,通过增加m和d可以在短时间内获得较小形变的网络拓扑图。
定义4:设x,y分别为G0,G1节点度排名前K的节点分布序列,则拓扑数据稳定性指数S定义为:
拓扑数据稳定性指数S衡量连续两次快照拓扑图G0,G1节点度分布序列的相似程度,从而比较拓扑图在宏观结构上的一致性。S越大,说明测量系统获取的拓扑图越稳定,数据越可靠。
通过以上衡量方法,能够定量分析该发明测量框架和策略的结果数据的准确性、完整性。
Claims (10)
1.一种多特征对等网络(Peer-to-Peer Networking,P2P)监测体系和策略,是在现有对等网络监测技术的基础上,从宏观网络结构、流量特性、微观用户行为特征、内容特征等多个层面上,对对等网络进行监测,其特征在于:
该体系使用主、被动一体化的测量方式;
该发明构建了多层次的对等网络监测体系和策略;
该体系建立了多特征的网络测量框架;
该发明的体系和策略与对等网络应用协议无关。
2.如权利要求1所述的主动式对等网络测量方式,其基本方法是预先收集对等网络入口节点(缓存节点)的地址信息,将其保存到队列Q中。其中,队列Q中的元素是唯一的;然后从队列Q中每次取出m个未访问的节点,获取这些节点的信息以及其k个邻居地址信息;将k个邻居节点地址信息保存到队列尾部,保存m个节点的邻居关系;重复该步骤直到访问完队列Q中的所有节点或访问了网络中ε比例的节点;主动式测量主要是应用于对等网络中的信令流数据包的测量。
3.如权利要求1所述的被动式对等网络测量方式,其基本方法是收集物理网络边界路由器中的流量记录或转发报文记录;位于不同物理网络节点之间的通信,必定会经过边界路由器,因此在边界路由器上获取的流量数据可以客观地描述不同节点之间的通信特征;该体系在TCP或UDP报文头中加入本系统的特定标志字段和采用特定的端口号;根据特殊字段和特定的端口号可以判断边界路由器转发的数据包是否源于对等网络应用;被动式测量主要用于对数据流报文的测量。
4.如权利要求1所述,对对等网络测量的实施分为3个层次:对等网络协议抽象;测量过程描述和分析;测量数据准确性评价。
5.如权利要求4所述的网络协议抽象,其特征在于,这个抽象协议的描述如下:
节点v连接D个缓存点,缓存节点的选择可以采用随机选择策略或其它更为复杂的选择策略;
当节点v的邻居离开网络后,节点v将选择新的缓存节点作为其邻居,缓存节点的选择策略可以是随机选择或更为复杂的策略;
当缓存节点v的邻居数超过C,或者离开对等网络,需要选择其它节点(非缓存节点)作为新的补充;
当节点v收到邻居信息请求消息时,v将自己当时所有邻居的地址信息,以及自己的相关信息一同发送给请求者。
6.如权利要求5所述,对等网络中的节点具有较强的动态特性,节点随机加入、离开网络;节点随机加入对等网络的统计行为可以使用参数为λ的泊松分布模型描述;而节点在线时间的统计行为可以表示为独立的、服从参数为μ的指数分布的随机模型;对于任意时刻的网络拓扑,计算对等网络图满足的概率关系,证明根据本发明抽象协议描述的对等网络,经过一段时间后,该网络的节点数量是相对稳定的,同时网络是连通的。
7.如权利要求4所述,在对等网络测量过程中,对等网络拓扑一直在不停的变化,因此,通过优先选择大度节点的方式,采用多点并行分布式测量策略,以及关联时间上连续快照数据等方式,提高测量速度,减少测量误差。
8.如权利要求4所述的测量结果的评价,包括测量数据的完整性和准确性两方面,其特征在于,定义了如下作为衡量系统框架和策略中测量结果数据的指标:
拓扑数据完整性指数,表示测量系统在某一时刻获取的拓扑数据占网络总体的比例;
点差异集合与边差异集合;
拓扑数据形变指数,反映测量系统运行其间,拓扑图微观结构变化情况,测量系统越准确,其值越小;
拓扑数据稳定性指数,用于比较拓扑图在宏观结构上的一致性;
通过计算以上这些指标就能够定量分析结果数据的准确性、完整性。
9.如权利要求1所述,该测量框架利用正反馈机制,通过比较分析时间上连续的多个拓扑快照数据,更新拓扑信息采集部分的初始节点集合,在提高拓扑信息的采集速度的同时,保证了拓扑快照数据的稳定性和可靠性。
该测量框架拓扑信息采集部分采用分布式、多点主动探测方式,快速遍历对等网络中的节点,获取网络拓扑快照数据;通过被动任务请求分配策略、基于连接数和计算能力的负载均衡机制等,实现多点间高效的任务分配和协作;
该测量框架结合了拓扑特征分析功能,利用网络图的基本拓扑属性,作为指引测量部分下一次动作的指引,从而保证了测量的拓扑数据在时间上的稳定性和可靠性;同时,通过反相爬行策略,比较两个拓扑快照的拓扑特征,确保获取的拓扑快照是全面、准确的。
10.如权利要求1所述,该监测体系将协议分析处理功能独立出来,使监测体系具有良好的协议适应能力;其次,建立监测结果评价指标子系统,从数据准确性、完整性、以及稳定性等多个方面对获取的对等网络特征数据进行评价;此外,该测量框架是针对混杂型式、可测量对等网络提出的框架,与对等网络应用协议无关。通过简单修改拓扑信息采集部分的通讯模块,即能应用于其它对等网络实例的测量和分析。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010207203XA CN102299826A (zh) | 2010-06-23 | 2010-06-23 | 多特征对等网络监测体系和策略 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010207203XA CN102299826A (zh) | 2010-06-23 | 2010-06-23 | 多特征对等网络监测体系和策略 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102299826A true CN102299826A (zh) | 2011-12-28 |
Family
ID=45360013
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010207203XA Pending CN102299826A (zh) | 2010-06-23 | 2010-06-23 | 多特征对等网络监测体系和策略 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102299826A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102724317A (zh) * | 2012-06-21 | 2012-10-10 | 华为技术有限公司 | 一种网络数据流量分类方法和装置 |
| CN109002856A (zh) * | 2018-07-20 | 2018-12-14 | 西安交通大学 | 一种基于随机游走的流量特征自动生成方法与系统 |
| CN113095426A (zh) * | 2021-04-22 | 2021-07-09 | 西安交通大学 | 一种加密流量分类方法、系统、设备及可读存储介质 |
-
2010
- 2010-06-23 CN CN201010207203XA patent/CN102299826A/zh active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102724317A (zh) * | 2012-06-21 | 2012-10-10 | 华为技术有限公司 | 一种网络数据流量分类方法和装置 |
| CN102724317B (zh) * | 2012-06-21 | 2016-05-25 | 华为技术有限公司 | 一种网络数据流量分类方法和装置 |
| CN109002856A (zh) * | 2018-07-20 | 2018-12-14 | 西安交通大学 | 一种基于随机游走的流量特征自动生成方法与系统 |
| CN113095426A (zh) * | 2021-04-22 | 2021-07-09 | 西安交通大学 | 一种加密流量分类方法、系统、设备及可读存储介质 |
| CN113095426B (zh) * | 2021-04-22 | 2023-03-31 | 西安交通大学 | 一种加密流量分类方法、系统、设备及可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Tournoux et al. | Density-aware routing in highly dynamic DTNs: The rollernet case | |
| Rasti et al. | Respondent-driven sampling for characterizing unstructured overlays | |
| Ramachandran et al. | FORK: A novel two-pronged strategy for an agent-based intrusion detection scheme in ad-hoc networks | |
| Li et al. | A weighted crowdsourcing approach for network quality measurement in cellular data networks | |
| Guan et al. | Dynamic feature analysis and measurement for large-scale network traffic monitoring | |
| CN102299826A (zh) | 多特征对等网络监测体系和策略 | |
| Saroop et al. | Crawlers for social networks & structural analysis of Twitter | |
| CN102299897A (zh) | 基于特征关联的对等网络特征分析方法 | |
| CN113162793A (zh) | 一种环境感知的用于网络测量的节点重要性度量方法 | |
| Yoneki et al. | Distinct types of hubs in human dynamic networks | |
| Wang et al. | Residual-based estimation of peer and link lifetimes in P2P networks | |
| Bolla et al. | A measurement study supporting p2p file-sharing community models | |
| Wang et al. | Look deep into the new deep network: a measurement study on the ZeroNet | |
| Zhuang et al. | [Retracted] Braking Control System of Oilfield Minor Repair Machine Based on Wireless Sensor Network | |
| Geibig et al. | Self-organized aggregation in irregular wireless networks | |
| Lee et al. | Searching method through biased random walks on complex networks | |
| Liang et al. | Predicting network response times using social information | |
| Delaviz et al. | Targeted and scalable information dissemination in a distributed reputation mechanism | |
| CN118353827B (zh) | 动态路由优化方法、装置、设备及存储介质 | |
| He | [Retracted] Immersive VR Network Management Analysis considering Automatic Topology Discovery Algorithms | |
| CN111314156B (zh) | 面向对等网络流媒体的覆盖网络快照获取方法及评价方法 | |
| Liu et al. | Cyber Security Situation Awareness Based on Data Mining | |
| Su et al. | Evaluating the topology coverage of BGP monitors | |
| Danielis et al. | Survey of mobile opportunistic networks for parallel data dissemination and processing | |
| CN118590410B (zh) | 一种物联网通信监测分析方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| DD01 | Delivery of document by public notice |
Addressee: University of Electronic Science and Technology of China Document name: Notification of Publication of the Application for Invention |
|
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20111228 |