摘要: 诸如Gnutella、Freenet之类的P2P网络的节点度分布函数P(k)近似服从形如P(k) ~ k-γ的幂律（power law）分布（其中k为节点度，γ为幂指数），具有无标度（scale free）复杂网络的基本特征，并呈现出明显的小世界（small world）现象（网络拥有“小的直径”和“大的聚类系数”）。同时，节点度的幂律分布也导致了这类复杂网络对随机故障的鲁棒性和对蓄意攻击的脆弱性（robust yet fragile）：随机去除网络中的大量节点，无标度网络仍可保持基本的连通性；但蓄意去除少量度最高的节点就可严重破坏网络的连通性。近年来，来自于Internet的计算机病毒和恶意攻击正越来越多地通过利用这一拓扑脆弱性对具有无标度特性的P2P网络实施入侵，严重威胁P2P网络的安全。针对这类威胁提出有效的免疫策略是其中的一个重要研究课题。针对这类蓄意攻击脆弱性问题，已相继提出多种免疫算法或免疫策略，如基于全局最高度节点的目标免疫、基于全局最高度节点的比例偏好目标免疫、基于随机选择直接邻居节点的熟人免疫、基于Distance-d覆盖问题的局部目标免疫、利用同配网络的高聚类特性和正向度-度关联特征的局部免疫策略等。尽管这些方法已被证实取得了良好的免疫效果，但由于它们或者是基于数学或物理学概念上的泛化的理论网络，或者仅针对位于AS级别的Internet，不具有对P2P网络的直接适用性，且均未考虑对具体网络领域启发知识的利用。基于此，本文提出并实现了一种面向无标度P2P网络的局部目标免疫策略：DeepCure，旨在尽可能快地将免疫信息（或免疫更新信息）转发到（且仅转发到）少量“正确”的节点上。为此，我们充分挖掘和利用P2P网络的领域启发性知识，将“正确”节点定义为：(a) 具有最高连接度的节点、(b) 具有最高可用性的节点、以及 (c) 与具有最高负载的链路直接相连的节点。为了确定这些免疫目标的最佳选取范围，我们集中研究P2P网络度-度关联的异配性（disassortativity）和语义聚类这两种拓扑特性对于免疫成本和免疫效率的影响，设计了基于NoN indexing的2-local选取范围，必要时还考虑对拓扑距离很远但语义距离很近的节点实施免疫。基于上述改进，DeepCure能够以完全分散（decentralized）的方式，仅利用网络拓扑局部知识和仅免疫少量关键节点，即可大幅度提高P2P网络的抗蓄意攻击能力。缺少显式的流量控制是现有免疫策略的共同缺陷，为此我们还设计了一种基于本地hub的扼流机制，通过限制给定时间段内网络中本地hub节点上新建连接的数目进而强行限制病毒的传播速率。该机制不受网络拓扑变化影响，并且不需要在病毒爆发之前知道其传染机制，能够在不影响P2P网络正常工作的情况下短时间内大幅度地降低病毒传播速率。配合该机制，经适当延迟的DeepCure免疫策略除了能够有效抵御针对网络无标度特性的蓄意攻击外，还能够在当病毒（或恶意攻击）在网络中瞬时间大规模爆发时从容应对。我们对DeepCure进行了原型实现，建立仿真环境，对其主要性能指标进行了详尽的数值模拟。与其它类似策略的实验对比分析表明，DeepCure在免疫成本、免疫效率、可扩展性和鲁棒性等方面都明显优于已有的基于局部知识的免疫策略，并在某些指标上接近或超过基于全局拓扑知识的目标免疫策略。