高速網(wǎng)絡(luò)主機(jī)基數(shù)分布檢測(cè)方法研究.pdf

1、主機(jī)基數(shù)是網(wǎng)絡(luò)測(cè)量領(lǐng)域里新提出的概念。主機(jī)基數(shù)檢測(cè)對(duì)于設(shè)計(jì)高效的流量工程方案有著重要的意義。隨著互聯(lián)網(wǎng)的蓬勃發(fā)展,網(wǎng)絡(luò)入侵事件頻繁發(fā)生,如蠕蟲傳播、分布式DDOS攻擊、端口掃描等。這些攻擊事件在短時(shí)間內(nèi)產(chǎn)生大量的流量鏈接,導(dǎo)致網(wǎng)絡(luò)堵塞甚至癱瘓。如掃描式蠕蟲在進(jìn)行傳播時(shí),被感染主機(jī)通常在短時(shí)間內(nèi)向大量的其他主機(jī)發(fā)送分組,這時(shí)網(wǎng)絡(luò)中的主機(jī)基數(shù)分布會(huì)發(fā)生變化。實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)中的主機(jī)基數(shù)分布信息對(duì)于網(wǎng)絡(luò)操作和管理有重要的作用。
　　 本文

2、結(jié)合了哈希(hash)、Bloom filter和數(shù)據(jù)流算法等技術(shù)提出了基于哈希的測(cè)量主機(jī)基數(shù)分布的數(shù)據(jù)流算法,此算法可以應(yīng)用在主機(jī)數(shù)量巨大的高速網(wǎng)絡(luò)中。我們的算法包含三個(gè)模塊,分別是過(guò)濾模塊、計(jì)數(shù)模塊、輸出模塊。網(wǎng)絡(luò)中的數(shù)量巨大的報(bào)文首先到達(dá)過(guò)濾模塊,該模塊用四個(gè)哈希函數(shù)的Bloom filter對(duì)全部報(bào)文進(jìn)行過(guò)濾處理,濾除那些對(duì)測(cè)量沒(méi)有意義的報(bào)文,確保每個(gè)流最多一個(gè)報(bào)文可以通過(guò),并且我們精心設(shè)計(jì)的四個(gè)哈希函數(shù)顯著降低了因哈希沖突導(dǎo)致

3、的流丟失的現(xiàn)象。在計(jì)數(shù)模塊中,對(duì)通過(guò)過(guò)濾模塊的報(bào)文進(jìn)一步哈希計(jì)數(shù)處理,得到基于報(bào)文SIP的基數(shù)估計(jì)值。輸出模塊將計(jì)數(shù)模塊的結(jié)果以<主機(jī)基數(shù):主機(jī)數(shù)目>的形式輸出。
　　 為了測(cè)試算法的性能,我們采用了三個(gè)不同的數(shù)據(jù)源分別進(jìn)行試驗(yàn)。由于哈希函數(shù)存在著不可避免的沖突誤差,我們用EM算法對(duì)實(shí)驗(yàn)結(jié)果進(jìn)行了估計(jì)處理,并將估計(jì)前后的實(shí)驗(yàn)結(jié)果分別與真實(shí)數(shù)據(jù)進(jìn)行對(duì)比。采用加權(quán)平均相對(duì)差作為測(cè)量測(cè)度,對(duì)實(shí)驗(yàn)所得的數(shù)據(jù)進(jìn)行分析。實(shí)驗(yàn)結(jié)果表明,本文提