超点分类及基于bit位共享的超点检测算法研究

摘要

超点是指在一个测量周期内基数超过指定阈值的源主机或目的主机，它反映网络中端到端应用的问题，是评价网络性能的一个非常重要的指标。随着互联网的发展，网络入侵事件也频繁发生，日常生活中，比较常见的网络入侵就有蠕虫病毒、垃圾邮件的传播、僵尸网络、分布式拒绝服务攻击等等。这几种攻击存在一个共同的特点，它们会在短时间内向目的主机（源主机）发送（接收）大量的数据报，检测这些攻击属于超点检测的一种。因此，超点检测对于网络安全有着非常重要的意义。
　　本文在总结分析现有超点检测算法的优缺点的基础上，提出了基于bit位共享的超点检测算法，使用共享的bit位数组存储网络流信息，减少测量算法的内存消耗。该算法包括两个测量模块:在线测量过程和离线统计过程。为了提高超点检测的准确度，在线测量过程使用3个共享的bit位数组存储源主机链接的目的信息，当一个报文到达时，首先判读该报文是否属于一个新流，如果是则对其进行映射，如果不是则将其抛弃不做任何处理;离线统计过程参照在线统计过程中三个bit位数组记录的网络报文信息，对数组中各个源主机的基数进行估计，然后将基数值大于阈值的主机判定为超点。
　　为了更好地掌握超点的特征，研究其对网络异常造成的影响。本文根据超点链接的不同目的IP数目和不同端口数目的比值，将超点大致分为三类:水平扫描超点定义为不同目的IP数远大于不同端口数的超点;垂直扫描超点定义为不同目的IP数远小于不同端口数的超点;块扫描型超点是水平扫描型超点和垂直扫描型超点的结合。利用基于bit位共享的超点检测算法，针对不同类型的超点进行检测，研究各类型超点的特征，分析不同类型超点与网络异常的关系。
　　最后使用不同地区采集到的真实的网络Trace进行实验，实验结果表明了该超点检测算法的准确性。

目录

声明

摘要

第1章 绪论

1．1 研究背景

1．2 研究意义

1．3 论文研究内容及组织结构

1．3．1 文研究内容

1．3．2 论文组织结构

第2章 网络测量相关研究

2．1 网络测量分类

2．1．1 网络性能测量

2．1．2 网络流量测量

2．1．3 路由信息测量

2．1．4 网络应用测量

2．2 网络测量常用方法

2．2．1 主动测量

2．2．2 被动测量

2．3 网络测量方法的评价指标

2．3．1 错误肯定率和错误否定率

2．3．2 熵和标准熵

2．3．3 无偏估计和相对误差

2．3．4 平均相对差和加权平均相对差

2．4 网络测量研究现状

2．5 本章小结

第3章 超点检测相关算法

3．1 基于抽样的超点检测算法

3．1．1 数据流和抽样相结合的超点检测算法

3．1．2 基于流抽样的自适应超点识别算法

3．2 基于Bitmap的超点检测算法

3．2．1 基于双层过滤的超点识别算法

3．2．2 基于虚拟向量的超点检测算法

3．2．3 基于2维Bitmap的超点检测算法

3．3 基于skecth数据结构的超点检测算法

3．4 本章小结

第4章 基于bit位共享的超点检测算法

4．1 Bitmap描述

4．2 基于bit位共享的超点检测算法描述

4．2．1 在线测量过程描述

4．2．2 离线统计过程描述

4．3 复杂度分析

4．3．1 空间复杂度分析

4．3．2 时间复杂度分析

4．4 实验分析

4．4．1 实验参数设置

4．4．2 实验数据描述

4．4．3 实验测量测度

4．4．4 实验结果

4．4．5 对比实验

4．5 本章小结

第5章 超点的分类研究

5．1 超点分类

5．1．1 垂直扫描型超点

5．1．2 水平扫描型超点

5．1．3 块扫描型超点

5．2 超点分类测量算法

5．2．1 水平扫描型超点检测算法

5．2．2 垂直扫描型超点检测算法

5．2．3 块扫描型超点检测算法

5．3 实验结果

5．3．1 各类型超点的漏检率

5．3．2 各类型超点的基数大小

5．3．1 各类型超点的分布特征

5．4 本章小结

第6章 总结与展望

6．1 结论

6．2 论文完成的工作

6．3 工作展望

参考文献

读学位期间公开发表论文

致谢