超點(diǎn)分類(lèi)及基于bit位共享的超點(diǎn)檢測(cè)算法研究.pdf

1、超點(diǎn)是指在一個(gè)測(cè)量周期內(nèi)基數(shù)超過(guò)指定閾值的源主機(jī)或目的主機(jī)，它反映網(wǎng)絡(luò)中端到端應(yīng)用的問(wèn)題，是評(píng)價(jià)網(wǎng)絡(luò)性能的一個(gè)非常重要的指標(biāo)。隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)入侵事件也頻繁發(fā)生，日常生活中，比較常見(jiàn)的網(wǎng)絡(luò)入侵就有蠕蟲(chóng)病毒、垃圾郵件的傳播、僵尸網(wǎng)絡(luò)、分布式拒絕服務(wù)攻擊等等。這幾種攻擊存在一個(gè)共同的特點(diǎn)，它們會(huì)在短時(shí)間內(nèi)向目的主機(jī)（源主機(jī)）發(fā)送（接收）大量的數(shù)據(jù)報(bào)，檢測(cè)這些攻擊屬于超點(diǎn)檢測(cè)的一種。因此，超點(diǎn)檢測(cè)對(duì)于網(wǎng)絡(luò)安全有著非常重要的意義。

2、　　本文在總結(jié)分析現(xiàn)有超點(diǎn)檢測(cè)算法的優(yōu)缺點(diǎn)的基礎(chǔ)上，提出了基于bit位共享的超點(diǎn)檢測(cè)算法，使用共享的bit位數(shù)組存儲(chǔ)網(wǎng)絡(luò)流信息，減少測(cè)量算法的內(nèi)存消耗。該算法包括兩個(gè)測(cè)量模塊:在線測(cè)量過(guò)程和離線統(tǒng)計(jì)過(guò)程。為了提高超點(diǎn)檢測(cè)的準(zhǔn)確度，在線測(cè)量過(guò)程使用3個(gè)共享的bit位數(shù)組存儲(chǔ)源主機(jī)鏈接的目的信息，當(dāng)一個(gè)報(bào)文到達(dá)時(shí)，首先判讀該報(bào)文是否屬于一個(gè)新流，如果是則對(duì)其進(jìn)行映射，如果不是則將其拋棄不做任何處理;離線統(tǒng)計(jì)過(guò)程參照在線統(tǒng)計(jì)過(guò)程中三個(gè)bit位

3、數(shù)組記錄的網(wǎng)絡(luò)報(bào)文信息，對(duì)數(shù)組中各個(gè)源主機(jī)的基數(shù)進(jìn)行估計(jì)，然后將基數(shù)值大于閾值的主機(jī)判定為超點(diǎn)。
　　為了更好地掌握超點(diǎn)的特征，研究其對(duì)網(wǎng)絡(luò)異常造成的影響。本文根據(jù)超點(diǎn)鏈接的不同目的IP數(shù)目和不同端口數(shù)目的比值，將超點(diǎn)大致分為三類(lèi):水平掃描超點(diǎn)定義為不同目的IP數(shù)遠(yuǎn)大于不同端口數(shù)的超點(diǎn);垂直掃描超點(diǎn)定義為不同目的IP數(shù)遠(yuǎn)小于不同端口數(shù)的超點(diǎn);塊掃描型超點(diǎn)是水平掃描型超點(diǎn)和垂直掃描型超點(diǎn)的結(jié)合。利用基于bit位共享的超點(diǎn)檢測(cè)算法，針