与P2P技术相关的信息安全问题
时间:2008-04-28 来源: 作者:
(4)基于会话(Session)的分类:TCP/UDP端口可能存在任何一个数据包中,高层协议的特征代码却只能存在于一个会话包的头几个数据报中。因此,当在一个会话包的第一个数据报中发现P2P特征代码时,该会话包的其余数据报也就可以判断为P2P数据报。有时P2P软件甚至使用多个会话包,这就需要系统软件能关联匹配这多个会话包进行P2P判定。
(5)双向识别:当某个方向的流(五元组定义的流)被识别为P2P流,则其反方向流必然也是P2P流。
(6)流统计状态的识别:在IP层通过统计流量特征的方式识别P2P流。研究表明,P2P流量具有长时固定连接的特点,因此理论上基于流状态的统计识别方式可以识别一切大规模P2P流量。当然该方法无法精确判断出该IP流采用的P2P协议类型。
对于采用可变端口及伪装端口的分布式P2P应用软件产生的流量,当前最为有效的识别手段是DPI扫描,通过扫描应用层数据报的关键字加以识别。然而,DPI扫描方式的缺点是无法识别加密的P2P流,可预见P2P软件的下一发展趋势是加密化。对此,国外一些研究人员进行了有益的尝试,试图通过在传输层考察固定时长内IP地址数目与端口号数目的对应关系区分出P2P流,依据是Web服务通常针对同一IP地址同时使用多个端口号进行下载,而P2P流则对一个IP地址仅使用一个端口号连接。然而,该方案在区分P2P流与游戏、视频流等其它数据流时,仅能采取简单的排除法。所以,文献[11]认为,研究P2P流的统计特性(连接时长、连接速率、连接突发度等),利用流统计状态信息准确区分P2P流将是下一步P2P流量控制研究的主要方向。
6.6 P2P“蠕虫”建模
对“蠕虫”的研究常借用传染病传播模型。在传染病传播模型中,把传播分为SI(易感-感染)、SIS(易感-感染-易感)、SIR(易感-感染-免疫)3种类型[12]。考虑“蠕虫”传播的一般情况,SIR比较符合主机在受到“蠕虫”攻击时经历的3个状态,所以SIR模型在“蠕虫”传播模型的研究中应用比较广泛[13]。
虽然传统的SIR蠕虫传播模型在研究蠕虫的传播趋势上取得了比较理想的结果,但由于SIR模型未能考虑实际网络中的拓扑结构和“蠕虫”传播对网络设备影响等因素,不能很好地模拟具体网络环境下蠕虫的传播情况。
在P2P网络环境下,“蠕虫”能用P2P的方式互相联系、互传信息、自动更新。例如,利用QQ或者MSN Messenger这类即时通信(IM)工具进行传播的病毒,已经逐渐成为“蠕虫”病毒的流行趋势。这类病毒的共性是:一旦在机器上获得控制权,会首先查看用户是否安装了QQ或MSN Messenger,一旦发现用户安装了此类程序,该蠕虫就会通过对话窗口向在线好友发送欺骗性的信息,信息包含一个超级链接。如果对方在接收窗口中点击链接,就能启动IE并和这个服务器建立连接,下载html页面。这个页面中含有恶意代码,把“蠕虫”下载到本机并运行,完成了一次传播。然后再以这台机器为基点,向本机所能发现的好友发送同样的欺骗性消息,传播迅速。
所以,研究P2P网络环境下的“蠕虫”病毒建模时,需要对SIR模型进行了扩展,考虑网络延迟和拓扑结构对蠕虫传播的影响。
7、结束语
P2P作为一种崭新的传输模式,不仅能提供隐私保护与匿名通信,还能提高网络的健壮性和抗毁性。然而,P2P技术也由于其自身存在的一些缺陷,如缺乏相互信任机制和内容鉴别、查询泛洪等,面临着相当严重的安全威胁,P2P技术仍然存在一系列安全问题需要进一步的研究。
参考文献
[1] Lua E K.Crowcroft J. et al.A Survey and Comparison of Peer-to-Peer Overlay Network Schemes.IEEE Communications Survey and Tutorial,March 2004.1~22
0
