高速網(wǎng)絡(luò)數(shù)據(jù)流分析的若干問題研究.pdf

1、日益增長的網(wǎng)絡(luò)安全威脅促使各種安全防御機制應(yīng)運而生，這些安全機制都需要分析網(wǎng)絡(luò)數(shù)據(jù)流，以發(fā)現(xiàn)惡意行為和有害信息。網(wǎng)絡(luò)犯罪手段的多樣化和復(fù)雜化，使得數(shù)據(jù)流分析必須采用基于流粒度的狀態(tài)型分析方法。隨著網(wǎng)絡(luò)帶寬的不斷增長，研究基于流粒度的高速網(wǎng)絡(luò)數(shù)據(jù)流分析模型及相關(guān)關(guān)鍵問題具有重要的理論意義和實用價值。
　　 在定義比特流均勻分布程度即均勻度的基礎(chǔ)上，從理論和實驗兩方面分析了與、或、非、異或和移位五種比特運算對比特均勻度的影響。證明了

2、非運算不會改變比特流的均勻度，與運算和或運算一般不能增加比特流的均勻度，異或運算基本上會增加比特流均勻度，移位運算多數(shù)情況下會增加比特流均勻度。在此基礎(chǔ)上，進(jìn)一步證明了當(dāng)比特流中各比特之間獨立不相關(guān)時，各比特對整體比特流的均勻度具有獨立的影響。
　　 針對高速網(wǎng)絡(luò)環(huán)境下連接記錄管理的性能需求，提出了一種改進(jìn)的高效哈希算法PRH（Pseudo Random Hashing）-MTF（Move To Front）。在網(wǎng)絡(luò)比特流運算結(jié)

3、果均勻度分析的基礎(chǔ)上，設(shè)計了一種均勻高效的哈希函數(shù)PRH。為有效解決哈希沖突，基于網(wǎng)絡(luò)數(shù)據(jù)流局部性原理，應(yīng)用MTF 啟發(fā)法改進(jìn)了鏈?zhǔn)經(jīng)_突解決方法。以分組火車模型作為數(shù)據(jù)包到達(dá)模式，分析了PRH-MTF 哈希算法的復(fù)雜度，推導(dǎo)出了平均查找長度。通過實際高速網(wǎng)絡(luò)數(shù)據(jù)流和模擬攻擊，對PRH-MTF 哈希算法與傳統(tǒng)的排序哈希算法在查找性能和抗攻擊能力等方面進(jìn)行了比較。
　　 針對高速網(wǎng)絡(luò)環(huán)境下狀態(tài)管理的性能需求，提出了一種改進(jìn)的抗攻擊的

4、TCP（Transmission Control Protocol）流狀態(tài)管理機制。為TCP 流定義了一個TCP流狀態(tài)機，作為狀態(tài)管理的基礎(chǔ)。為分離惡意行為導(dǎo)致的臟連接，設(shè)計了待建連接緩沖方案，以改進(jìn)連接記錄管理性能。根據(jù)狀態(tài)管理基本流程對TCP數(shù)據(jù)包進(jìn)行分類，進(jìn)而給出了為每個數(shù)據(jù)包進(jìn)行狀態(tài)管理的實現(xiàn)流程。通過實際高速網(wǎng)絡(luò)數(shù)據(jù)流和模擬攻擊，對改進(jìn)后的狀態(tài)管理機制和傳統(tǒng)機制在效率和魯棒性方面進(jìn)行了比較。
　　 針對高速網(wǎng)絡(luò)數(shù)據(jù)流分

5、析系統(tǒng)的實時性需求，提出了一種改進(jìn)的快速TCP 流重組機制。通過分析網(wǎng)絡(luò)數(shù)據(jù)流特性和TCP 連接建立過程特點，制定了最近訪問優(yōu)先原則、初始連接緩沖機制、數(shù)據(jù)緩沖重組方法等TCP 流重組的策略。依據(jù)重組策略，給出了TCP 流重組機制的實現(xiàn)流程。利用實際的高速網(wǎng)絡(luò)數(shù)據(jù)流，對改進(jìn)后的重組機制與傳統(tǒng)重組機制在效率和內(nèi)存使用量方面進(jìn)行了比較。
　　 在分析網(wǎng)絡(luò)用戶行為再現(xiàn)需求的基礎(chǔ)上，制定了網(wǎng)絡(luò)用戶行為再現(xiàn)系統(tǒng)的設(shè)計原則，設(shè)計了一個網(wǎng)絡(luò)用