VBF超点检测算法的改进研究

作     者：张琪 

作者单位：大连海事大学 

学位级别：硕士

导师姓名：刘卫江

授予年度：2017年

学科分类：08[工学] 0839[工学-网络空间安全] 

主      题：超点 网络测量 VBF IP捣碎 

摘      要：互联网的应用越来越广泛,可随之而来的网络攻击也日益严重,例如分布式拒绝服务攻击和蠕虫病毒攻击。因此,对于网络管理员来说,能够实时地识别出网络攻击是一个重要而且具有挑战性的任务。一个被感染的主机可能会在短时间内向不同的目的主机发送大量的连接请求,这样的主机被称为超点。超点检测可以应用到流量工程和异常检测中。本文总结了几个现有的超点检测算法,并特别分析了 VBF的性能,而且改进了 VBF超点检测算法。本文提出了三种改进算法,第一种改进将IP捣碎技术加入VBF算法,该算法在准确性上得到了提高;第二种改进是对VBF中哈希函数进行改进的算法,该算法在时间效率上得到了提高;第三种改进是对VBF中过滤函数进行改变的算法,该算法使空间占用得到了减少。三种改进算法均包含两个主要的模块,即在线更新模块和离线统计模块。在线更新模块中,加入了 IP捣碎技术,可以使IP分布均匀,减少哈希冲突。三种算法使用不同个数的二维比特数组来记录经过的流,在离线统计阶段,利用更新过后的二维数组来提取具有原主机信息的比特串,通过合并重叠位的算法来还原IP地址信息,再通过IP捣碎技术将还原的源IP进行可逆变换。本文对还原过程中会产生的噪音值δ进行了推导,因此在估计主机基数时,进行了去噪处理,最后得到估计值,并将估计值大于阈值的主机认定为超点。本文使用不同地区采集到的真实的网络Trace进行实验,实验结果表明了提出的算法可以准确地检测出超点,而且不需要占用很大的存储空间,处理每个报文的时间效率也很高。