P2P僵尸网络的检测技术

点对点(P2P)分布式架构的提出为恶意代码提供了更具隐蔽性和弹性的命令分配机制,使得P2P僵尸网络成为互联网上最严重的威胁之一。研究这种僵尸网络的检测技术非常具有现实意义,由于它具有较强的个性化差异,目前还没有通用的检测方法,现有的检测方法主要是通过分析其恶意行为及网络通信流量,析取其内在活动规律和传播机制等。讨论了P2P僵尸网络的结构和机制,分析相关的几种主要的检测技术并对未来可能的研究重点作出了预测。

分层次的无状态单分组IP溯源技术

提出了一种分层次的无状态单分组IP溯源(HSSIT)技术。该技术实现了在域间和域内两级粒度上攻击路径的重构,且网络核心不存储分组的任何数据,其主要思路为:对分组头空闲字段重定义,以GBF数据结构记录各分组所经历的路径摘要信息(即路由器AS号和IP地址信息),重构路径时先利用GBFAS确定攻击源AS,然后由该AS内的边界路由器再利用GBFIP确定距离攻击源最近的路由器。分别从理论分析和模拟测试两方面,将HSSIT与PPM、SPIE、ASEM等技术进行性能比较,其结果表明,HSSIT在对抗节点摘要信息的篡改和伪造方面有更强的顽健性,在收敛性方面也有很大改善。最后,还对更一般情形下(即AS路径长度常在3～7之间)的DoS攻击路径进行了验证性重构,其域间和域内路径重合度分别为100%～98%和98%～90%,结果表明,HSSIT技术能准确重构攻击路径,实现对攻击源的溯源目的。