（通信与信息系统专业论文）具有自免疫功能的p2p节点及其仿真实现.pdf

独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中 不包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或 其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所 做的任何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：见堤日期： 7 - o1o ；i 厂 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权 保留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅 和借阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印 或其它复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密范围，在一年解密后适用本授权书。 非保密论文注释：本学位论文不属于保密范围，适用本授权书。 本人签名： 导师签名： 乓峻 日期：竺! ! 羔二 同期：丛! 竺：三：! 苎 具有自免疫功能的p 2 p 节点及其仿真实现 摘要 p 2 p 技术的飞速发展和广泛应用使得p 2 p 安全问题越来越引起关 注。p 2 p 结构相对于传统网络的分布式和自组织的特点使得安全问题 有了进一步的发展，传统的安全技术并不能很好地抵御p 2 p 网络安全 威胁，但是另一方面，p 2 p 节点集客户端，服务器和路由器多重角色 于一身的特点又为感知异常状况，进行安全保护提供了便利条件。 本文旨在设计和实现一种具有自免疫功能的p 2 p 节点，使得网络 中的参与者能够抵御已知安全威胁并对未知异常状况作出自动规避， 尽可能地保证节点的安全性和网络的可用性，达到自免疫的效果。 本文首先对p 2 p 网络的安全威胁进行了全面和系统化的分析，理 。 清他们的相互关系，可以更加有效地制定防御策略，为系统化地设计 和完成免疫功能提供参考。在免疫的具体安全研究中，我们对于在免 疫保护中面临的重要的安全威胁之一，身份窃取攻击提出了检测算 法。本文设计了自免疫p 2 p 节点的结构及模块划分和定义，并完成了 对三种具体安全威胁的部署以及数据输出和分析。为配合自免疫系统 的实验本论文同时完成攻击库的设计实现。他们将作为开源代码贡献 给其他的研究者作为进行其他安全研究的工具。 关键词：自免疫，p 2 p ，安全，身份窃取攻击，检测 北京邮电大学学位论文 a b s t r a c t d e s i g na n ds i m u l a t i o no f a u t o i m m u n ep 2 pn o d e a b s t r a c t p 2 p s e c u r i t yp r o b l e m sa t t r a c tm o r ea t t e n t i o na st h e f a s td e v e l o p m e n t a n dw i d ea p p l i c a t i o no fp 2 pt e c h n o l o g y t h en e wc h a r a c t e r so f d i s t r i b u t i o na n ds e l f - o r g a n i z a t i o nw h i c hp 2 pn e t w o r kh a sp r o m p tt h e d e v e l o p m e n to fs e c u r i t yp r o b l e m sa n dt r a d i t i o n a ls e c u r i t yt e c h n o l o g i e s 一 c a nn o tt o t a l l yr e s i s tt h e m h o w e v e r ，a sc o m p o u n do fc l i e n t ，s e r v e ra n d r o u t e r , p 2 pn o d eh a sa d v a n t a g e s t od e t e c ta t t a c k sa n dn e t w o r ka n o m a l i e s t h i sp a p e ra i m e dt od e s i g na n dr e a l i z ep 2 pn o d ew i t ha u t o i m m u n i t y f u n c t i o n t h i sk i n do fs t r u c t u r ec a nm a k et h ep a r t i c i p a t e so fn e t w o r kc a n d e f e n d s e c u r i t y t h r e a ta n de v a d en e t w o r ka n o m a l i e st or e a c h a u t o i m m u n i t ye f f e c t f i r s t ，t h i sp a p e rp r e s e n tc o m p r e h e n s i v ea n ds y s t e m a t i ca n a l y s i so f p 2 ps e c u r i t y p r o b l e m s r e l a t i o n s h i p sb e t w e e na t t a c k s a r e a n a l y z e d u n d e r s t a n d i n gt h e i rr e l a t i o n s h i p sw i l lh e l pt ob u i l ds e c u r i t ym e c h a n i s m t h e ni d e n t i t yt h e f td e t e c t i o na r i t h m e t i ca r es t u d i e d a sa ni m p o r t a n tp a r t ， t h i sp a p e rd e s i g nt h es t r u c t u r eo fa u t o i m m u n ep 2 pn o d ea n dt h em o d u l e i i 北京邮电大学学位论文 a b s t r a c t d i v i s i o n i nt h i sf r a m e w o r k ，t h r e ed e t e c t i o na r i t h m e t i ca r ei m p l e m e n t e d a n dr e l a t e de x p e r i m e n td a t aa r ee x p o r t e da n da n a l y z e d t oc o o p e r a t et h i s e x p e r i m e n t ，w eb u i l da t t a c ks y s t e ma sw h i l e b o t ho ft h e mw i l lb e c o n t r i b u t e dt oo p e ns o u r c ec o m m u n i t ya n df u r t h e rs t u d yt o o l s k e y w o r d s ： a u t o i m m u n i t y ，p 2 p ，s e c u r i t y ，i d e n t i t yt h e f t i i i 北京邮电大学学位论文 目录 摘要 a b s t r a c t 目录 目录 第一章绪论 l 1 1 研究背景l 1 2 研究意义2 1 3 本论文结构安排3 第二章p 2 p 网络安全威胁与自免疫思想 5 2 1p 2 p 网络安全威胁模型5 2 2p 2 p 网络的自免疫思想。8 2 3 相关工作一8 2 3 1 方i ：兰基础8 2 3 1 i 已知安全威胁的检测。 2 3 1 2 未知安全事件的检测：9 2 3 2 已有研究基础：。1 0 2 3 2 1 基于节点的安全防护，l o 2 3 2 2 节点的分布式协作- 1 0 2 3 2 3 有中心节点的情况；二- 2 4 习e 章t 卜结1 2 第三章攻击关系分析及身份窃取攻击的检测方法设计 3 1 研究动机与挑战1 3 3 2 攻击关系分析1 3 3 3 身份窃取检测算法15 3 3 1c h o r d 路由原理1 5 3 3 2 检测算法描述1 7 3 3 3 检测算法流程2 0 3 4 本章小结。2 l 第四章节点自免疫功能的设计及部分实现 4 1 研究动机与挑战2 2 4 2 自免疫功能设计2 2 4 2 1 需求分析2 2 4 2 2 总体结构设计。2 3 4 3 基于仿真平台的详细设计2 5 4 3 1 平台介绍。2 5 4 3 1 1o v e r s i m 简介2 5 4 3 1 2o w r s i m 的结构2 6 i v 目录 ：1 9 ：1 9 ：1 9 ：；i 3 2 ：1 8 4 0 4 0 4 4 4 6 4 7 4 8 5 0 5 2 5 3 北京邮电大学学位论文第一章绪论 1 1 研究背景 第一章绪论 对等网络( p e e r - t o p e e r ，p 2 p ) ，通过交换来共享资源和服务。不同于传统的 客户端n 务器模式，p 2 p 网络中所有的节点都处于相同的地位，他们既可以向 别的节点索取服务，同时也必须要为其他节点提供服务。这种非中心化的方式实 现了资源和服务的直接交互，避免服务器的介入最大程度上避免了可能发生的瓶 颈效应。分布式的结构对于网络的可扩展性的要求很低，p 2 p 网络是以共享为根 本目标的，节点加入到网络中增加了网络中需要提供的服务，但是同时他们也为 网络增加可服务的资源，这是一种互惠互利的局面，对于利用p 2 p 提供资源共 享的服务来说，网络规模的增加恰恰是很有好处的。由于这种资源的分布式存储， 每个节点只负责其中的少量资源，减弱了传统服务器的关键性效应，网络的负载 均衡得到了很大的满足。这种协调合作的模式增加了网络的健壮性，单个节点的 失效或退出对于整个网络的影响是微乎其微的，而且其自组织特性能够使得网络 在节点加入，退出或失效时能够自主调节其网络结构。 ， p 2 p 的网络拓扑主要有三种形式：集中式，无结构以及有结构的p 2 p 网络形 式。集中式的p 2 p 中有中心节点的存在，资源的查找和管理都是由中心节点负 责的。用户节点检索到资源所在节点的位置再直接与其通信。集中目录式结构的 主要代表有n a p s t e r t l l 。无结构p 2 p 网络中完全没有中心节点，资源的查找主要 是利用洪泛的方式，这类结构的代表是g n u t e l l a t 2 i 。另一种有结构的p 2 p 网络将 节点以某种规则组织起来以便于快速查找，避免洪泛方式的随机性。现在有结构 的p 2 p 网络主要是采用分布式哈希表的方式( d h t ) 的方式组织。这类的主要 代表有c h o r d t 3 1 ，c a n t 4 1 ，p a s t r y l 5 】等。另外还有分层模式的p 2 p 网络结构，它结 合了几种目录式和完全分布式的优点，在网络中有超级节点和普通节点之分，将 一些带宽和计算能力高的节点提升为超级节点，负责一部分资源检索和维护功 能，相当于超级节点和所负责的普通节点是集中目录式的关系，而超级节点之间 是完全分布式的关系。这样的结合使得系统具有更好的鲁棒性，扩展性又满足了 资源快速定位的需求。 p 2 p 技术的由于其自身的这些优良特性，近年来已经大量参与到文件共享， 流媒体，协同办公等应用中。正是这些广泛的运用场景使得p 2 p 技术的标准化 工作也得到了广泛的开展，目前p 2 p 技术相关的标准化工作组有i e t f 的p 2 p s i p ， a l t o 和p p s p ，i t u t 确定为n g n 下一步演进的主要研究方向之一，另外还有 北京邮电大学学位论文 第一章绪论 中国通信标准化协会c c s a 制定的p 2 p 标准，中国p 2 p 标准化工作组的d d p 标准， 美国分布式计算产业协会( d c i a ) 的p 4 p 标准。 p 2 p 技术相对于集中式技术的显著优势，使得p 2 p 应用得到了广泛迅速的发 展。然而p 2 p 技术的分布式和自组织特性，使得它存在许多不可忽视的安全威 胁。比如，o v e r l a y 层的查找定位是基于每个参与的节点所提供的o v e r l a y 层的 路由信息，相当于p 2 p 网络中的节点具有类似于传统网络中路由器的身份的功 能，它的意义在于能够一定程度上决定节点的路由查找路径。有查找需求的用户 是要依赖于路由参与节点的信任，然而p 2 p 网络中的节点是自组织的，他们同 样也是普通用户，他们同样可以是恶意的节点。对于可以充当路由器身份的恶意 节点来说，对于别的节点实施攻击或者意图破坏整个网络是有很大便利的。在 p 2 p 网络这种特定的环境下如果没有一个很好的监控和防御措施攻击者只需要 付出很少的代价就可以破坏整个网络的路由过程；另外，除了作为路由查找过程 的参与者，作为应用的参与者，攻击更是直接可以使用户数据丢失，服务中断， 严重地破坏网络的可用性，导致客户流失。因此基于p 2 p 技术的应用必须具备 一套完整的安全机制体系来保障网络的可用性需求。从而对于p 2 p 网络环境下 安全问题的研究也愈发显得重要和迫切。 1 2 研究意义 p 2 p 技术的迅速发展，使得其安全问题越发突出。当前关于p 2 p 的安全研究 很多，但是大部分停留在单个的研究和分析上，缺乏全面的和系统化的研究成果。 本论文试图从p 2 p 安全问题的层次和相互关系入手，理清攻击之间的相互关系， 提出攻击检测算法，设计并完成具有自免疫功能的p 2 p 节点，全面保护节点自身 和整个网络的安全性和可用性。 本文根据p 2 p 节点的工作的相对独立性将安全问题分为了三个层面，分别是 节点身份分配，路由和应用业务。文中分析了层与层之间的安全威胁以及每一层 内部的安全威胁关系，并特别对p 2 p 攻击与分布式拒绝服务攻击的关系进行了深 入的分析探讨，理清他们之间的关系，对攻击进行系统化分析有利于以更少的代 价达到抵御攻击的效果。p 2 p 技术的精髓是资源共享，资源共享的关键之一是快 速定位，而资源定位就要依赖于o v e r l a y 层面的路由能够安全准确地查找转发。 因此保证路由的安全具有重要的现实意义。p 2 po v 甜a y 层的结构当前较多选择分 布式哈希表形式( d h t ) ，c h o r d 是d h t 结构中最为常见的路由协议方式，因此 2 北京邮电大学学位论文第一章绪论 本文的路由研究是以c h o r d 协议为基础的。 在路由安全的研究中身份窃取攻击在基于前缀的路由方式中有研究者提出 利用网络密度进行攻击检测，但是在c h o r d 网络结构中身份窃取攻击同样可以发 生，相关的检测方法还没有研究人员提出。因此关于如何检n c h o r d 环境中的身 份窃取攻击也将是本文的研究点之一。本文结合基于前缀的路由结构中身份窃取 的检测方法和路由表构造原理提出在c h o r d 结构中进行身份窃取攻击检测的算 法。 p 2 p 网络分布式特性使得传统安全域的保护方式失效，用户的安全更多地依 赖于自身安全防护的强度。因此基于节点自身的威胁保护应该是一个较好的途 径。从这个角度来说，一方面当前的研究成果主要集中于单个安全威胁检测的探 讨，另一个方面将当前研究的安全防护方法付诸于实际系统实现的也可谓寥寥。 另外，p 2 p 节点的多重身份为进行攻击避免和进行网络异常状况检测提供了便 利。出于这些考虑本文将设计和部分实现具有自免疫功能的p 2 p 节点。能够做到 面临网络中的攻击和异常进行自我保护。 p 2 p 节点的免疫系统可以将其他攻击的检测或防护算法添加进去，除了用于 保护节点安全也可以作为检测算法有效性的平台，进行数据的统计和分析。本论 文将包括身份窃取攻击检测在内的算法研究在这个平台中实现，对关键参数进行 测试，分析算法的有效性和实施代价等方面，为能够全面和合理地评估算法，找 到效率和代价的折衷点提供参考。 为了配合性能验证，本论文同时也实现了p 2 p 网络攻击库，目前已将三种路 由攻击实现到攻击库中。攻击库和检测系统将贡献为开源软件，为以后的研究提 供便利，贡献自己的力量。 1 3 本论文结构安排 本论文的组织结构如下：第二章论述p 2 p 网络的安全问题，提出了自免疫 的初步思想，对相关工作和方法进行了调研。第三章分析了p 2 p 攻击之间的相 互关系，为进行系统化地安全保护做好准备。另外对c h o r d 路由算法进行回顾， 分析了其他结构形式中身份窃取攻击的研究成果，提出了基于c h o r d 结构的身份 窃取攻击检测算法，根据初步仿真结果对算法进行优化，并描述了算法的工作流 3 第一章绪论 节点的结构，进 路由表毒害的免 测试和分析。第 北京邮电大学学位论文第二章p 2 p 网络安令威胁与自免疫思想 第二章p 2 p 网络安全威胁与自免疫思想 2 1p 2 p 网络安全威胁模型 如图2 - 1 所示，可以将p 2 p 节点的结构分为三个部分：u n d e r l a y 层，o v e r l a y 层和应用层。 图2 - 1 节点结构图 u n d e r l a y 层，即传输层及以下，网络的安全威胁与传统网络无异，面临着口 地址伪造，窃听等风险，利用传统的安全技术可以得到一定程度上的保护。 o v e r l a y 层面上，依据功能的区分可以将o v e r l a y 划分为两个部分：i d 分配 和路由查找。选择何种i d 分配机制对于路由查找来说是无关的，他们只关心分 配给自己的i d 是什么，生成的节点i d 是分配机制和路由查找之间的唯一接口。 p 2 p 路由层面负责为上层的应用业务提供统一的定位服务，他们只完成路由查找 任务。不论采用何种的路由查找机制和什么样的网络结构，路由层面对应用层面 提供的接口都是统一的，比如p u t ，g e t 等操作。应用层面根据下层快速定位 得到的结果为用户提供资源共享，多媒体通信等方面的服务。因此在分析p 2 p 网络安全问题时我们将从三个角度来讨论：i d 分配，路由查找和基于p 2 p 的应 用。 2 1 1 id 分配 北京邮电大学学位论文第二章p 2 p 网络安全威胁与自免疫思想 i d 分配是节点加入p 2 p 网络的重要步骤，在结构化的p 2 p 网络中i d 的获取 关系着资源的存储位置和控制权等重要因素。针对d 分配的攻击总体上来说可 以从数量和位置上来讨论。 i d 分配方面最著名的攻击之一s y b i l t 6 】攻击就是以少量的物理实体获得大量 的节点i d 。s y b i l 攻击的危害是无穷的，虽然很多大规模的p 2 p 网络应对恶意用 户和攻击者都采用备份机制，但是如果一个攻击者有多个身份加入网络的话就能 控制网络中的一部分，冗余备份机制也就不起作用了。s y b i l 攻击发挥作用的关 键是与其他的攻击形式结合：比如利用此攻击少量的恶意实体可以控制大量的网 络资源，甚至可以和路由攻击结合调停网络通信，在后面的分析中我们可以很多 攻击在少量节点的情况下对于整个网络的影响或许没那么大，但是一旦与针对身 份分配的攻击结合就发挥出巨大的威力。 i d 分配攻击的另一种是i dm a p p i n 9 7 】攻击。这种攻击适用于i d 分配的原则 已知，攻击者可以根据分配原则推算出理想的i d ，或者在网络规模不大的情况 下，攻击者具有足够的存储能力和计算能力，攻击者以字典的方式推算出所有的 映射关系，在需要特定的i d 时选取出对应的映射关系。节点可以根据自己的需 要获得相应的i d 意味着在采用d h t 的p 2 p 网络中恶意节点可以按照自己的需 要控制某些关键资源了。 2 1 2 路由层面 p 2 p 相当于在传统网络层的路由转发之上又叠加了一层查找定位机制，但是 p 2 p 层面的路由决策不是由路由器来完成的，而是参与到p 2 p 应用中的用户节点， 即用户的权限被扩大了，相当于拥有了传统网络中路由器的功能和权利。普通用 户权利的提升意味着安全威胁的等级的提升。 路由攻击方面有身份窃取攻击，e c l i p s e t 8 】攻击，路由表毒害攻击【9 1 ，错误的 路由转发【1 0 1 和快速加入退出攻击【1 1 1 等方式。 e c l i p s e 攻击是将恶意节点联合起来对正常节点的对外通信构成威胁，它的 一个很大的危害是能够构成网络分割，将使正常节点加入到由恶意节点控制的网 络中，对外通信完全被恶意节点所掌握，致使这些节点与其他正常节点的通信完 全需要通过恶意节点的转发。 错误的路由更新：在p 2 p 网络中为了在节点不断加入离开的前提下进行正 常的路由过程节点必须不断的进行路由更新，恶意节点在这个过程中进行不正确 的路由更新，破坏正常节点的路由表或者也称为路由表毒害，破坏了网络中正常 节点的路由过程，如果使得某些节点的路由表中的项只有恶意节点，那么这实际 上是构成了网络分割，另一方面，如果能够使得一定量节点的路由表项中都有一 个特定节点，当他们转发消息的时候就有可能选择这个特定节点进行转发，这样 6 北京邮电大学学位论文第二章p 2 pl 旬j 络安全威胁与自免疫思想 的无辜节点达到一定数量就会对这个特定节点构成分布式拒绝服务攻击。 错误的路由转发是当恶意节点收到正常节点要求转发的消息时没有按照路 由规则予以转发，而是发送到不正确或者不存在的节点上，当这种恶意节点达到 一定规模并且一致将消息都转发到同一个节点，可以造成拒绝服务攻击，这个我 们将在后面进行讨论。 身份窃取攻击【1 2 】是在路由过程中的中间节点声称自己就是保存查找资源的 节点而回复源节点，窃取真正节点的身份。 快速加入退出攻击：由于p 2 p 网络的分布式结构特点，节点的加入退出意味 着网络拓扑的变化和其他节点的路由表调整，恶意节点不断的加入离开网络，造 成网络拓扑的不断变化，网络为了维护稳定必须要不断地通知其他节点网络的变 化，大量维护信息的传递和业务数据的转移造成网络通信冗余，降低可用性。 2 1 3 应用层面 相对与传统网络，在这个以共享和相互提供服务为原则的网络中节点是服务 请求者，同时也是服务的提供者，相当于较c s 模式而言，每个节点都多了一重 服务器的身份，这成为了恶意节点可以发动应用层面攻击的契机。利用p 2 p 网 络这个特点进行的攻击形式有：存取与检索攻击【”l ，内容污染f 1 4 1 和索引毒害f 1 5 】。 在存取与检索攻击中恶意节点对于其他节点的正常请求不提供服务，或者否 。认其上保存有用户请求的数据。这种情况一方面是由于用户的自私行为导致的， 因为提供服务意味着需要消耗自己的带宽或计算资源。另一方面，也可能是恶意 节点的蓄意行为，结合d 分配的攻击方式，攻击者可以获得关键资源的控制权 利。比如一个网络中的热门资源的保存节点不为其他的请求节点服务，旨在破坏 网络的可用性，达到致使用户放弃对该网络的使用等目的。 d e c o y 攻击可以分为内容污染和索引毒害。内容污染是用相同标题的不可用 版本插入到网络中，降低网络的可用性，索引毒害是用与条目相同的元数据构成， 但是它的内容不可读，损坏的或者根本就不是使用者想要的。一个特定的情况， 攻击者伪造一个热门文件的索引，但是链接指向根本没有这个内容的目标攻击节 点，当大量用户通过此链接找到此目标节点时造成此目标节点受到拒绝服务攻 击。 查询洪泛【1 6 1 是利用某些非结构化p 2 p 网络的协议缺陷进行攻击。在这种类 型的网络中，节点对于自己没有保存的资源的查询请求向邻居节点洪泛。恶意节 点利用这个特点定期发出检索请求，而所请求的资源可能是不存在的，因此这些 请求被最大范围地传播，造成网络通信拥塞。 7 北京邮电大学学位论文 第二章p 2 p 网络安全威胁与自免疫思想 2 2p 2 p 网络的自免疫思想 由2 1 节的威胁模型可以看到，p 2 p 网络的分布式和自组织特点，较传统网 络而言面临着更多的安全威胁，除了依赖于p 2 p 网络新特性出现的s y b i l ，快速 一加入退出攻击等攻击外，分布式拒绝服务攻击这样的传统的安全威胁在p 2 p 网络 中也有新的发展。另外，p 2 p 网络也更易出现一些难以清楚解释的网络异常状态， 这必将影响到p 2 p 网络的业务可用性。 但是另一方面，同样考虑到p 2 p 网络的自组织和分布式特性，由于p 2 p 网络 中一些节点直接参与了网络中路由、搜索、服务提供等功能，类比于传统 i n t e r n e t 网，这些节点集路由器、服务器、客户端的功能于一身，能更清楚地 了解网络结构及网络流量的全貌，因此在这些节点上增加网络异常和攻击检测， 可以及早发现和早期遏制网络异常和安全事件的扩散，使p 2 p 网络在一定程度上 具有自免疫功能。 本论文提出的p 2 p 网络自免疫的思想是将p 2 p 节点自我保护和相互协作结合 起来，对网络中的攻击和异常事件及时规避和尽可能地遏制，保护节点本身的安 全和整个p 2 p 网络的安全。 为了使p 2 p 网络达到自免疫的设计初衷，可以从两方面来考虑： 1 从功能上来说要达到对于已知安全威胁的避免和对于未知事件的自动规 避。 2 从结构上来说，需要节点自身加强安全防护机制和利用p 2 p 网络分布式的 先天条件，节点之间协作保障网络安全。 2 3 相关工作 2 3 1 方法基础 2 3 1 1 已知安全威胁的检测 已知安全威胁的检测首先要对已知的攻击行为特征建模并存放在模式库当 中，检测系统系统将收集到的事件与模式库中的攻击特征进行比对，若两者匹配 就认定系统收到了攻击。常用方法有专家系统，模型推理，状态转换分析和模式 匹配。 1 专家系统 用专家系统对攻击进行检测，经常是针对有特征的攻击行为。该技术根据安 全专家对可以行为的分析经验来形成一套推理规则，然后在此基础上建立专家系 统，由此专家系统自动对攻击行为进行分析。专家系统的建立依赖于知识库的完 北京邮电大学学位论文第二章p 2 p 网络安全威胁与自免疫思想 备性。 2 模型推理 攻击者在攻击时形成的行为序列够横了具有一定行为特征的模型。该技术根 据攻击者在进行攻击时所执行的某些行为程序的特征建立一种攻击行为模型，并 根据这种模型所代表的攻击意图的行为特征来判断用户执行的操作是否属于攻 击行为。 3 状态转换分析 状态转换法针对每一种攻击方法确定系统的处事状态和被攻击状态，以及导 致状态转换的条件，即导致系统进入被攻击状态的特征事件。如根据对应的条件 布尔表达式系统从安全状态转移到不安全的状态，则把该事件标记为攻击事件。 系统通过对事件序列进行分析来判断攻击是否发生。 4 模式匹配 该方法将已知的攻击特征编码成与审计记录相符合的模式，并通过将新的审 计事件与已知攻击模式想比较来判断是否发生了攻击。当新的审计事件产生时， 该方法将寻找与它想匹配的已知攻击模式，找到就意味着发生了攻击。 2 3 1 2 未知安全事件的检测 对于未知安全事件的检测一般采用基于行为的检测，是指根据使用者的行为 或资源使用情况来判断是否发生了攻击，而不依赖于具体行为是否出现来检测。 该方法的前提是假设攻击行为是异常的。检测的基础是要对正常行为进行建模， 分析器可以将捕获的事件与正常行为的模型进行比较，如果两者不符合则认为发 生了攻击。基于异常检测的技术关键是正常行为建模的全面性和完备性，尽量避 免发生非攻击但异常以及攻击但非异常的情况发生。异常检测的方法主要有用户 行为概率统计模型，预测模式生成和神经网络等。 1 用户行为概率统计模型 基于对用户历史行为建模审计系统的被检测用户对系统的使用情况，然后根 据系统内部保存的用户行为概率统计模型进行检测，并将那些与正常活动之间存 在较大统计偏差的活动标识为异常活动。 2 预测模式生成 它基于如下假设：审计时间的序列不是随机的，而是符合可识别的模式。与 纯粹的统计方法相比，它增加了对时间顺序额与相互关系的分析，从而能检测出 统计方法所不能检测的异常事件。这一方法首先根据已有的事件集合按事件顺序 归纳出一系列规则，在归纳过程中，随着新事件的加入，它可以不断改变规则集 9 北京邮电大学学位论文第二章p 2 p 网络安全威胁与自免疫思想 合，最终得到的规则能够准确地预测下一步要发生的事件。 3 神经网络 通过训练神经网络，使之能在给定前n 个动作或命令的前提下预测出用户下 一动作或命令。一段事件后变可根据网络中已存在的用户特这个文件来匹配真实 的命令。任何不符合的预测事件或命令都将被视为异常行为而被检测出来。 2 3 2 已有研究基础 2 3 2 1 基于节点的安全防护 基于节点的安全防护，就是要依靠节点本身对攻击的判断来进行攻击检测。 它依赖于节点对于攻击特征的学习和更新，在符合攻击特征或发现异常情况时能 作出及时规避。 对于e c l i p s e 攻击，研究者提出限制路由表项活动范围的思想来防御e c l i p s e 攻击【吲，该思想是在有结构的p 2 p 网络中有一定改善效果，但是限制条件不可能 很严格，严格的限制条件将会导致路由表项的空缺，另一方面，当恶意实体比例 较大时，攻击者还是可以突破限制，发起e c l i p s e 攻击的。 文章 8 】提出了节点度数均衡来限制e c l i p s e 的破坏力，在e c l i p s e 攻击里面， 恶意实体的度数远远高于正常节点的度数，恶意节点的度数越高控制，控制正常 节点数越多。在度数均衡前提下，恶意节点之间的度数无法发现，恶意实体只与 正常实体建立连接，这样恶意实体的作用范围还是很大。 文章 1 2 】中对身份窃取攻击的检测思路主要是用存在性证明的方法。首先用 空间密度来估计返回的根结点是否真的是查找资源的保存节点，针对怀疑的节点 查找它的存在性证明进行确认。 对于路由更新的攻击的检测一般是根据分布式哈希表的路由表构建规则进 行检查f 1 8 】，而对于无结构的p 2 p 网络进行路有更新攻击的检测一般比较困难。 2 3 2 2 节点的分布式协作 节点之间协作保障网络安全要解决三个方面的问题：节点之间的协作检测通 过什么样的方式进行；数据如何收集和处理以及节点之间的安全通信和信息共 享。 当前的p 2 p 网络的安全研究中较多采用分布式结构的是节点身份认证和信 誉度评价体系。 传统的认证基本依赖于集中式的c a 中心，在p 2 p 网络中如何避免集中式 c a 的瓶颈问题以及更好地适应这种分布式环境引出了对分布式认证的探索。分 1 0 北京邮电大学学位论文第二章p 2 p 网络安全威胁与自免疫思想 布式认证，即将集中式c a 的功能分散到节点上，由节点之间互相协作完成认证 的功能。当前提出的分布式认证的方法主要有( n ，t ) 门限密码技术【1 9 】和基于身份 的签名【2 0 l 。在叫，t ) 门限密码技术中证书由n 个节点合作保存，当节点a 要与b 通信时，b 只要获得n 个节点中的至少t 个节点所保存的信息就可以恢复出a 的证书。而基于身份的签名原理是通过节点的一个唯一标识符( 可以是节点i d 或i p 地址等) 和公私密钥对身份进行认证( 产生公私密钥的节点也需要验证申请 节点的身份) ，而不需要通过统一的c a 中心进行。但是就当前的分布式c a 的 研究成果来看，还是存在管理比较困难的问题。研究人员还提出了半分布式的 c a 中心的想法，统一的分配密钥，利用p 2 p 网络对证书和公钥进行分布式存储， 减轻c a 中心的负担，尽可能地提高安全性而降低其瓶颈效应。 在分布式网络中信誉度系统的难点在于采用何种结构实现参数收集，信誉度 值的存放方式和在节点的交互过程中如何运用信誉度进行评价，已经对于评价后 的结果如何处理等。分布式的信誉度系统没有统一的服务器，信誉参数的收集和 评价都要靠节点之间的相互协作，针对信誉度评价体系的恶意节点行为是必须要 考虑的关键环节，需要防范的的典型攻击比如”重新洗牌( w h i t e w a s h i n g ) 什，欺 骗，篡改等。 2 3 2 3 有中心节点的情况 最典型的采用中心节点结构的情况是i d 分配的安全防护。 应对i d 分配方面攻击的方法有几种：一种是将p 2 p 网络中的i d 与现实身 份相联系，既避免了一对多的s y b i l ，也避免了攻击者随意获取想要的i d 的i d m a p p i n g ，但是这个方法违背了p 2 p 匿名性的原则。另外一种用于抵御s y b i l 攻 击的方法是解谜【2 l 】：每个要申请i d 的节点都必须要花费一定的计算资源解答服 务器提出的问题，计算结果正确才能分配到i d ，攻击者要申请多个i d 需要付出 大量的计算资源，可以从一定程度上抵御s y b i l 攻击。但是需要考虑的是节点之 间物理能力的差异，需要的计算资源太高会使得物理配置不高的正常节点难以加 入网络，而如果要求付出的计算资源太小又难以起到防御s y b i l 攻击的目的。另 外还有根据i d 付费的方式以及强制i d 选择的方式等用来解决i d 分配攻击的方 法。选择何种i d 分配方式需要根据业务类型和采用的网络结构来决定。 针对各种各样的p 2 p 安全威胁采用基于节点的，分布式协作的还是增加中心 化节点并无定论，以上所做的背景调查是针对当前的较为热门的研究趋势而言。 但是当前的成果几乎都是针对单个攻击的研究，缺乏多攻击的系统化研究，要完 成具有白免疫功能的p 2 p 网络，需要多源多形式的安全威胁全面系统地研究，基 于节点本身和节点之间的协作；已知攻击和未知威胁相结合的形式来共同保障网 北京邮电大学学位论文 第二章p 2 p 网络安全威胁与自免疫思想 络的安全和可用性。 如何系统化地研究这些安全威胁和整合和发展这些研究成果，系统化地研究 p 2 p 网络的安全防护方法，达到自免疫的预期效果是本文以及今后的工作重点。 2 4 本章小结 本章首先综述了p 2 p 网络中的安全威胁，基于对p 2 p 网络中的安全威胁和 未知事件进行全面和系统化地防范考虑提出了自免疫的思想。利用p 2 p 节点的 客户端，服务器和路由器的多重身份的便利，将对已知安全威胁和未知异常事件 的防范相结合的思想以及基于节点本身，节点之间相互协作和考虑部分功能采用 中心化节点的多样检测形式协同工作的灵活形式，设计和完成具有自免疫功能的 p 2 p 网络。 1 2 北京邮电人学学位论文第三章攻击关系分析及身份窃取攻击的检测方法设计 第三章攻击关系分析及身份窃取攻击的检测方法设计 3 1 研究动机与挑战 为了实现具有自免疫功能的p 2 p 网络设计思想，本章首先对p 2 p 网络中的 攻击进行系统化地研究，根据攻击实施的原理对他们的关系进行分析。在网络攻 击中，某些攻击的发生将会作为其他攻击实施的有利因素，因此理清攻击之间的 关系将有利于进行系统化地防御，达到以较少的防御代价达到最好的检测效果。 在p 2 p 的网络攻击中身份窃取攻击的危害不可忽视的安全威胁之一，因为p 2 p 这种特殊的网络结构导致源节点不知道自己最终的目的地在哪里，如何判断声称 的目的节点是否是真实的在当前的d h t 网络中都是需要研究和解决的问题。对 这个问题的研究是有普适意义的，节点的i d 分配原则和p 2 p 的应用业务是可能 随着需求的不同而变化的，但是基于最基本的路由查找而进行的攻击却是在什么 情况下都有可能发生，我们必须要提出一套解决机制来应对它。身份窃取攻击是 节点自免疫功能必须要能够防范的威胁之一。 。 3 2 攻击关系分析 p 2 p 网络的攻击并不是相互独立的，一种攻击往往可以为另一种攻击提供条 件。系统化地研究攻击之间的关系有利于更好的研究防范方法，以较少的安全防 御代价达到较高地防御效果。基于对现有p 2 p 网络攻击的理解可以将他们的关 系表示如图3 1 中箭头所示【2 2 l ： 针对i d 分配的攻击往往是需要大量节点才能实施的类型攻击的前提。比如 e c l i p s e 攻击是恶意节点联合起来对正常节点的通信进行调停，它必须让恶意节 点要达到一定的规模才能起作用。如果不利用针对d 分配的攻击，恶意节点需 要大量的物理实体才能实施；然而通过与针对i d 分配的攻击相结合，依靠少量 节点获取大量i d ，弱化了实施e c l i p s e 攻击所需的必要条件，攻击者可以更加轻 松地对网络中某些正常节点的对外通信进行调停。 另外，由于节点负责自己所保存资源的检索与共享，在应用层的存取与检索 攻击中的恶意节点利用了这一点，不为其他节点提供服务，破坏网络的共享性和 可用性。但是这种攻击方式除了由于节点自私性的原因而不愿意为其他节点提供 服务之外，攻击者单纯的想要利用这种方式破坏网络可用性，致使用户放弃网络 的目的是很难达到的，因为在空间规模巨大的网络中攻击者单纯利用自身所拥有 北京邮电人学学位论文第三章攻击关系分析及身份窃取攻击的检测方法设计 的i d 来实施基本上效果是微乎其微的。它必须通过占有大量的网络i d 从而控 制大量的资源存储才能使得攻击具有规模效益，用户的检索不成功率达到一定的 百分比才能够导致其放弃网络。存取与检索攻击与i d 分配攻击结合的另一个例 子是攻击者通过对i d 分配的攻击得到想要的关键i d ，从而控制网络中的关键资 源或者热门资源。 。d e c o y 一 图3 - 1p 2 p 攻击关系分析图 2 2 1 c o n t e n t p o l l u t i o n 路由层面上的攻击我们可以看到，路由表毒害攻击也是造成e c l i p s e 攻击的 一个导火索，恶意节点通过对受害者节点的路由表进行毒害控制其消息的传递， 将受害者节点与正常网络分割开。而由于e c l i p s e 攻击造成的对外通信的被控制， 恶意节点很容易冒充与受害者节点通信的外部节点，发生身份窃取的攻击。 p 2 p 网络的分布式和自组织的特性简化了中心服务器的负担为资源共享创 造了条件，但是无法忽视的一点是它也为拒绝服务攻击提供了契机。基于p 2 p 结构的网络组织形式及其应用的攻击实质其实是拒绝服务攻击的三个方面：正常 1 4 北京邮电大学学位论文第三章攻击关系分析及身份窃取攻击的检测方法设计 节点的应用服务请求得不到响应或者得到不正确的响应，攻击者向正常节点发动 的拒绝服务攻击使得正常节点无法响应服务请求和整个网络的通信数据冗余。第 一个方面我们可以称之为被动的拒绝服务攻击，因为他们保存有资源而违背了节 点之间互惠的原则，在收到请求后拒绝为其他节点提供服务，属于这种类型的攻 击有存取与检索攻击和行为不一致攻击。对于第二个方面，其攻击效果相当于传 统意义上分布式拒绝服务攻击，但是在p 2 p 系统中，攻击者除了可以控制傀儡 机还可以根据p 2 p 的特点利用正常节点的工作和服务请求发动拒绝服务攻击， 比如利用路由表毒害攻击使得某些正常节点的路由表中将攻击目标保存为其中 的一条转发路径，致使这些节点在进行正常的路由转发时帮助了攻击者进行对攻 击目标的拒绝服务攻击。索引毒害也是利用这个原理进行攻击的。第三个方面的 攻击方式主要是制造大量的冗余数据，降低网络的工作效率从而降低网络可用性 的方式实施攻击的。比如快速加入退出攻击导致大量消息更新和网络数据的转 移；还有查询洪泛这样利用协议漏洞制造冗余消息的方式。 3