一种基于P2P僵尸网络评估模型的防御和反击系统
阅读:0发布:2021-01-23
专利汇可以提供一种基于P2P僵尸网络评估模型的防御和反击系统专利检索,专利查询,专利分析的服务。并且本实用新型公开了一种基于P2P僵尸网络评估模型的防御和反击系统,包括入侵检测系统(IDS)、入侵防御系统(IPS)、反击 服务器 、交换机和 防火墙 ,所述入侵检测系统(IDS)、入侵防御系统(IPS)、反击服务器依次与交换机连接,交换机与防火墙连接,防火墙与外网连接。本实用新型提供了一种P2P僵尸网络防御和反击系统,该实用新型采用入侵检测系统(IDS)和入侵防御系统(IPS)对僵尸网络入侵进行检测和防御,有效检测并应对P2P僵尸网络的蔓延,并通过bot 节点 列表服务器为反击服务器提供支持对僵尸网络进行反击,网络结构设计合理,僵尸网络的防御效果显著。,下面是一种基于P2P僵尸网络评估模型的防御和反击系统专利的具体信息内容。
一种基于P2P僵尸网络评估模型的防御和反击系统
技术领域
[0001] 本实用新型涉及网络入侵领域一种僵尸网络防御和应对系统,具体涉及一种基于P2P僵尸网络评估模型的防御和反击系统。
背景技术
[0002] 随着P2P僵尸网络的不断增加和P2P技术的不断成熟,针对P2P僵尸网络的防御技术也在不断的发展。有很多的学者在研究如何探测僵尸网络,如何监控并且关闭僵尸网络。僵尸网络是一种从传统恶意代码进化而来的新型攻击形式。低成本高效地僵尸网络通过发送垃圾邮件、拒绝服务攻击、窃取敏感信息等恶意活动已对正常的网络服务造成严重威胁。僵尸网络研究涉及防御或抑制、迁移、传播、检测、可视化等各个方面,而其中的僵尸网络检测是对其进行有效防御和反制的基本前提。现有多数检测算法均基于包或流方式。虽然这类算法在很多实际环境中取得了较高的准确率等性能,但导致了诸如检测率低、特征敏感、处理数据量大及无法识别未知僵尸等问题。
实用新型内容
实用新型内容
[0003] 本实用新型提供了一种基于P2P僵尸网络评估模型的防御和反击系统,该实用新型采用入侵检测系统(IDS)和入侵防御系统(IPS)对僵尸网络入侵进行检测和防御,有效检测并应对P2P僵尸网络的蔓延,并通过bot节点列表服务器为反击服务器提供支持对僵尸网络进行反击,网络结构设计合理,僵尸网络的防御效果显著。
[0004] 为了达到上述目的,本实用新型有如下技术方案:
[0005] 本实用新型一种P2P僵尸网络防御和反击系统,包括入侵检测系统(IDS)、入侵防御系统(IPS)、反击服务器、交换机和防火墙,所述入侵检测系统(IDS)、入侵防御系统(IPS)、反击服务器依次与交换机连接,交换机与防火墙连接,防火墙与外网连接。
[0006] 其中,所述反击服务器与bot节点列表服务器连接,所述反击服务器与bot节点列表服务器可以为多台并且单独划分在独立安全域中。
[0007] 由于采取了以上技术方案,本实用新型的优点在于:
[0008] 1、网络结构设计合理;
[0010] 图1为本实用新型的一种整体网络结构示意图。
[0011] 图中:1、入侵检测系统(IDS) 2、入侵防御系统(IPS) 3、交换机 4、反击服务器5、防火墙 6、bot节点列表服务器
具体实施方式
[0012] 以下实施用于说明本实用新型,但不用来限制本实用新型的范围。
[0013] 参见图1,本实用新型的一种基于P2P僵尸网络评估模型的防御和反击系统,包括入侵检测系统(IDS)1、入侵防御系统(IPS)2、反击服务器4、交换机3和防火墙5,所述入侵检测系统(IDS)1、入侵防御系统(IPS)2、反击服务器4依次与交换机3连接,所述反击服务器4与bot节点列表服务器6连接,所述反击服务器4与bot节点列表服务器6可以为多台并且单独划分在独立安全域中,交换机3与防火墙5连接,防火墙5与外网连接。
[0014] 工作原理:
[0015] 为了躲避入侵检测和防火墙,大部分僵尸网络都采用了通信加密机制,使得僵尸程序能够躲避受控主机使用者和入侵检测的防范,从而提高僵尸网络的生存能力。Sinit在通信过程中使用了公钥加密进行更新过程的验证;Nugache则通过实现一个加密混淆的控制信道来躲避检测。Wang等人进一步提出了通过命令认证、点对点的不同密钥的机制保证僵尸网络的安全性,其中每个不同的超级节点拥有不同的密钥。调整IDS(入侵检测系统)和IPS(入侵防御系统),使之查找有僵尸特征的活动。重复性的与外部的IP地址连接或非法的DNS地址连接都是相当可疑的。虽然难于发现,不过,另一个可以揭示僵尸的征兆是在一个机器中SSL通信的突然上升,特别是在某些端口上更是这样。这就可能表明一个僵尸控制的通道已经被激活了。您需要找到那些将电子邮件路由到其它服务器而不是路由到您自己的电子邮件服务器的机器,它们也是可疑的。它们会激活位于一个Web页面上的所有的链接,而一个高层次的访问可能会指明一台机器正被一个恶意的Web站点所控制。
[0016] 一个IPS或IDS系统可以监视不正常的行为,这些行为指明了难于发现的、基于HTTP的攻击和来自远程过程的攻击、Telnet和地址解析协议(即ARP)欺骗等等。然而,值得注意的是,许多IPS检测器使用基于特征的检测技术,也就是说,这些攻击被发现时的特征被添加到一个数据库中,如果数据库中没有有关的特征就无法检测出来。因此,IPS或IDS就必须经常性的更新其数据库以识别有关的攻击,对于犯罪活动的检测需要持续不断的努力。
[0017] bot节点集就是一个或者多个节点的最小集合,在它们不参与转发命令时,可以导致P2P僵尸网络的其它超级节点产生不可达关系,从而导致某些超级节点收不到命令。对等网的“网络分割”问题及相关研究一直被研究者广泛关注,然而很少有人把“网络分割”问题应用到P2P的僵尸网络防御上来。在此使用两种方法来检测P2P僵尸网络中关键节点的存在:分布式检测和集中式检测。
[0018] 几乎所有的P2P僵尸网络都有一个弱点,那就是所有的对等主机会使用相同的运行机制,僵尸网络中的僵尸程序作为一种恶意代码,必须要存在自启动模块、通信模块、隐藏模块等。如果想在装有杀毒软件的机器上正常运行,就必须有对抗杀毒软件的模块,这样才能保证僵尸程序的隐蔽性。节点主机需要维护包含其他节点的列表,同时共享给工作机,使它们能够分布式地连接到一系列节点上。如果主控者手动为每个节点提供其他节点的地址,将耗费难以估计的时间,甚至是不可能做到的,因此交给节点自动完成。当一个僵尸节点被认定可以接受连入请求时,节点主机便连接到它,并给它共享一个节点列表。那么如果引入一台对僵尸网络来说居心叵测的计算机呢,它有条件作为节点主机,并且向其他节点共享一个包含无效IP的列表。很可能效果不是很大,节点会校验新获取的IP以确保它们可用。安全人员可以引入许多这样的“恶意”计算机,并非提供无效的节点IP,而是提供它们各自的IP。资源充足的情况下,“恶意”计算机会成为僵尸网络中重要的一部分,并且把僵尸主机和节点主机分离。通过这样的方式,可以使工作机只能获取“恶意”的节点,从而显著降低它们重新成为僵尸网络一员的可能性。在一定的时间内,“恶意”节点会阻止正常节点传播命令,于是工作机也无法接收到指令,打了主控者一个措手不及。这个办法不太可能将所有的工作机分离出来,但已大大削弱了僵尸网络的影响程度。保持“恶意”节点持续运行能够将更多的主机占为己有,也时刻监视着那些可能存有“正常”节点IP地址的僵尸主机。
[0019] 为了通过bot节点列表服务器收集节点,对僵尸网络的鲁棒性做针对性分析,得出重要指标,很多对僵尸网络的研究从不同的方面对僵尸网络的鲁棒性进行了分析。因为僵尸网络所有控制的节点分布在各个地方,它们有可能是普通机器也有可能是服务器,因此它们的在线时间存在着不确定性,有些节点可能频繁地加入或者退出僵尸网络,而有些节点可能白天在线,夜晚下线。无论是节点的临时退出还是永久的查杀,在僵尸网络的表现都是离线。因此离线节点对整个僵尸网络的影响是本章研究鲁棒性的重要方面。在对现有僵尸网络的鲁棒性进行研究时,通常是通过模拟删除一定数量的节点后,观察连接率的变化。连接率的影响越少,说明网络中删除的节点,对余下的节点的影响不大,因此鲁棒性越好。然而对于真实的僵尸网络,删除一定的节点来研究其鲁棒性是不可能的。因此本章采用平均度数和度数差异作为反映其鲁棒性的两个指标。
[0020] 节点的平均度数是研究鲁棒性的一个重要指标,平均度数越大,每个节点的邻居节点数目就越多,同时僵尸网络的鲁棒性就越好。但是,僵尸网络产生的维护通信量也就越大,节点被捕获后暴露的节点数目也就越多。整个网络所有P2P节点的平均度数可以表示为如下公式。
[0021]
[0022] 节点度数的分布也反映了整个网络稳定性,某些节点的度数过高可能会导致节点负载过重,高度数节点的离线也会导致对整个网络较大的影响。因此节点度数的差异性可以表示为如下公式。
[0023]
[0024] 在此对10000个节点进行模拟,最初始状态下只有5个节点,且每个节点的邻居节点是其它的四个节点。在此使用两种节点加入策略,策略一,每个新的节点加入进来后,随机选取现有节点中的四个作为自己的邻居,被选取的节点同时也把该新节点加入自身的邻居列表;策略二,每个新的节点加入进来后,选取四个度数最低的节点作为自身的邻居,同样道理,被选取节点也要把新节点加入自身的邻居列表。经过对节点的模拟,根据公式一、公式二计算出其平均度数为7.998,度数差异为28.6025。策略二的模拟结果,从中可以看出大部分的节点度数集中在6和10,根据公式3-15、3-16计算其平均度数仍然为7.998,度数差异却很小为0.06925。以往的研究认为平均度数对整个网络的鲁棒性有着非常重要的作用,经过研究发现,在平均度数一定的情况下,度数差异是衡量网络鲁棒性的又一个重要指标。对前面两种策略形成的网络随机的去掉0到8000个节点,发现度数差异越小的网络,其鲁棒性越好。基于这项重要指标由反击服务器根据bot节点列表服务器中的列表逐一向bot节点分发僵尸网络反击程序并提示bot节点进行安全扫描和防范。
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 一种基于云平台的管理系统架构 | 2020-08-22 | 1 |
| 一种智慧城市云安全架构的方法 | 2020-12-02 | 1 |
| 一种多媒体宽带接入网络系统 | 2021-03-01 | 1 |
| 使用通过近距离通信接收的标记的信息共享 | 2021-03-09 | 2 |
| 一种带主动消防系统的建筑防火墙及其施工方法 | 2020-11-06 | 2 |
| 一种防火墙虚拟化的模块以及管理方法 | 2020-11-16 | 0 |
| System, method and computer program product for a firewall summary interface | 2022-10-20 | 0 |
| 一种mooc平台的信息整合框架 | 2020-07-31 | 0 |
| 一种减少综合管廊集水坑数量的排水构造 | 2020-05-13 | 2 |
| 준 불연 더블 라셀 편지 | 2021-07-24 | 0 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
分析报告
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
防火墙热门专利
QQ群二维码
意见反馈
意见反馈