一种p2p僵尸网络检测和应对系统的制作方法
【技术领域】
[0001]本实用新型涉及网络入侵领域一种僵尸网络监测和应对系统,具体涉及一种P2P僵尸网络检测和应对系统。
【背景技术】
[0002]随着P2P僵尸网络的不断增加和P2P技术的不断成熟,针对P2P僵尸网络的防御技术也在不断的发展。有很多的学者在研宄如何探测僵尸网络,如何监控并且关闭僵尸网络。僵尸网络是一种从传统恶意代码进化而来的新型攻击形式。低成本高效地僵尸网络通过发送垃圾邮件、拒绝服务攻击、窃取敏感信息等恶意活动已对正常的网络服务造成严重威胁。僵尸网络研宄涉及防御或抑制、迀移、传播、检测、可视化等各个方面,而其中的僵尸网络检测是对其进行有效防御和反制的基本前提。现有多数检测算法均基于包或流方式。虽然这类算法在很多实际环境中取得了较高的准确率等性能,但导致了诸如检测率低、特征敏感、处理数据量大及无法识别未知僵尸等问题。
【实用新型内容】
[0003]本实用新型提供了一种P2P僵尸网络检测和应对系统,该实用新型采用关键节点检测并通过“恶意”节点主机侵入P2P僵尸网络,逐步将僵尸主机与节点主机分离的方式,有效检测并应对P2P僵尸网络的蔓延,网络结构设计合理,僵尸网络的控制效果显著。
[0004]为了达到上述目的,本实用新型有如下技术方案:
[0005]本实用新型一种P2P僵尸网络检测和应对系统,包括关键节点探测服务器、引导服务器、控制服务器和恶意节点主机,所述关键节点探测服务器和所述引导服务器并行与控制服务器连接,所述控制服务器与所述网络入侵检测引擎连接,所述恶意节点主机与网络入侵检测引擎连接并接入网络。
[0006]其中,所述恶意节点主机可以为一台或多台串联接入网络。
[0007]其中,所述引导服务器包含一个无效IP列表定时与恶意节点主机保持更新。
[0008]由于采取了以上技术方案,本实用新型的优点在于:
[0009]1、网络结构设计合理;
[0010]2、僵尸网络的控制效果好。
【附图说明】
[0011]图1为本实用新型的一种整体网络结构示意图。
[0012]图中:1、关键节点探测服务器2、引导服务器3、控制服务器4、恶意节点主机5、网络入侵检测引擎
【具体实施方式】
[0013]以下实施用于说明本实用新型,但不用来限制本实用新型的范围。
[0014]参见图1,本实用新型的一种P2P僵尸网络检测和应对系统,包括关键节点探测服务器1、引导服务器2、控制服务器3和恶意节点主机4,所述关键节点探测服务器I和所述引导服务器2并行与控制服务器3连接,所述引导服务器2包含一个无效IP列表定时与恶意节点主机4保持更新,所述控制服务器3与所述网络入侵检测引擎5连接,所述恶意节点主机4与网络入侵检测引擎5连接并接入网络,所述恶意节点主机4可以为一台或多台串联接入网络。
[0015]工作原理:
[0016]P2P僵尸网络关键节点探测关键节点集就是一个或者多个节点的最小集合,在它们不参与转发命令时,可以导致P2P僵尸网络的其它超级节点产生不可达关系,从而导致某些超级节点收不到命令。在此使用两种方法来检测P2P僵尸网络中关键节点的存在:分布式检测和集中式检测。
[0017]几乎所有的P2P僵尸网络都有一个弱点,那就是所有的对等主机会使用相同的运行机制。节点主机需要维护包含其他节点的列表,同时共享给工作机,使它们能够分布式地连接到一系列节点上。如果主控者手动为每个节点提供其他节点的地址,将耗费难以估计的时间,甚至是不可能做到的,因此交给节点自动完成。当一个僵尸节点被认定可以接受连入请求时,节点主机便连接到它,并给它共享一个节点列表。那么如果引入一台对僵尸网络来说居心叵测的计算机,它有条件作为节点主机,并且向其他节点共享一个包含无效IP的列表。很可能效果不是很大,节点会校验新获取的IP以确保它们可用。引入许多这样的“恶意”计算机,并非提供无效的节点IP,而是提供它们各自的IP。资源充足的情况下,“恶意”计算机会成为僵尸网络中重要的一部分,并且把僵尸主机和节点主机分离。通过这样的方式,可以使工作机只能获取“恶意”的节点,从而显著降低它们重新成为僵尸网络一员的可能性。在一定的时间内,“恶意”节点会阻止正常节点传播命令,于是工作机也无法接收到指令,打了主控者一个措手不及。这个办法不太可能将所有的工作机分离出来,但已大大削弱了僵尸网络的影响程度。保持“恶意”节点持续运行能够将更多的主机占为己有,也时刻监视着那些可能存有“正常”节点IP地址的僵尸主机。
[0018]显然,本实用新型的上述实施例仅仅是为清楚地说明本实用新型所作的举例,而并非是对本实用新型的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无法对所有的实施方式予以穷举。凡是属于本实用新型的技术方案所引伸出的显而易见的变化或变动仍处于本实用新型的保护范围之列。
【主权项】
1.一种P2P僵尸网络检测和应对系统,其特征在于:包括关键节点探测服务器、引导服务器、控制服务器、网络入侵检测引擎和恶意节点主机,所述关键节点探测服务器和所述引导服务器并行与控制服务器连接,所述控制服务器与所述网络入侵检测引擎连接,所述恶意节点主机与网络入侵检测引擎连接并接入网络。
2.如权利要求1所述的一种P2P僵尸网络检测和应对系统,其特征在于:所述恶意节点主机可以为一台或多台串联接入网络。
【专利摘要】本实用新型公开了一种P2P僵尸网络检测和应对系统,包括关键节点探测服务器、引导服务器、控制服务器和恶意节点主机,所述关键节点探测服务器和所述引导服务器并行与控制服务器连接,所述控制服务器与所述网络入侵检测引擎连接,所述恶意节点主机与网络入侵检测引擎连接并接入网络。本实用新型提供了一种P2P僵尸网络检测和应对系统,该实用新型采用关键节点检测并通过恶意节点主机侵入P2P僵尸网络,逐步将僵尸主机与节点主机分离的方式,有效检测并应对P2P僵尸网络的蔓延,网络结构设计合理,僵尸网络的控制效果显著。
【IPC分类】H04L29-06, H04L12-26
【公开号】CN204425392
【申请号】CN201520061019
【发明人】高见, 芦天亮, 蔡满春, 王威
【申请人】高见
【公开日】2015年6月24日
【申请日】2015年1月28日