超點分類及基于bit位共享的超點檢測算法研究.pdf

1、超點是指在一個測量周期內(nèi)基數(shù)超過指定閾值的源主機或目的主機，它反映網(wǎng)絡(luò)中端到端應(yīng)用的問題，是評價網(wǎng)絡(luò)性能的一個非常重要的指標(biāo)。隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)入侵事件也頻繁發(fā)生，日常生活中，比較常見的網(wǎng)絡(luò)入侵就有蠕蟲病毒、垃圾郵件的傳播、僵尸網(wǎng)絡(luò)、分布式拒絕服務(wù)攻擊等等。這幾種攻擊存在一個共同的特點，它們會在短時間內(nèi)向目的主機（源主機）發(fā)送（接收）大量的數(shù)據(jù)報，檢測這些攻擊屬于超點檢測的一種。因此，超點檢測對于網(wǎng)絡(luò)安全有著非常重要的意義。

2、　　本文在總結(jié)分析現(xiàn)有超點檢測算法的優(yōu)缺點的基礎(chǔ)上，提出了基于bit位共享的超點檢測算法，使用共享的bit位數(shù)組存儲網(wǎng)絡(luò)流信息，減少測量算法的內(nèi)存消耗。該算法包括兩個測量模塊:在線測量過程和離線統(tǒng)計過程。為了提高超點檢測的準(zhǔn)確度，在線測量過程使用3個共享的bit位數(shù)組存儲源主機鏈接的目的信息，當(dāng)一個報文到達時，首先判讀該報文是否屬于一個新流，如果是則對其進行映射，如果不是則將其拋棄不做任何處理;離線統(tǒng)計過程參照在線統(tǒng)計過程中三個bit位

3、數(shù)組記錄的網(wǎng)絡(luò)報文信息，對數(shù)組中各個源主機的基數(shù)進行估計，然后將基數(shù)值大于閾值的主機判定為超點。
　　為了更好地掌握超點的特征，研究其對網(wǎng)絡(luò)異常造成的影響。本文根據(jù)超點鏈接的不同目的IP數(shù)目和不同端口數(shù)目的比值，將超點大致分為三類:水平掃描超點定義為不同目的IP數(shù)遠大于不同端口數(shù)的超點;垂直掃描超點定義為不同目的IP數(shù)遠小于不同端口數(shù)的超點;塊掃描型超點是水平掃描型超點和垂直掃描型超點的結(jié)合。利用基于bit位共享的超點檢測算法，針