基于自适应超时计数布鲁姆过滤器的流量测量算法

针对流量测量中IP长流的检测问题,该文设计了计数布鲁姆过滤器(Count Bloom Filter, CBF)与超时布鲁姆过滤器(Timeout Bloom Filter, TBF)结合的长流检测机制。该机制动态调整布鲁姆过滤器中的超时时间,及时清理结束流,解决空间拥塞问题,从而可以适用于无结束标志IP长流检测。依据算法整体错误率与超时时间的分析,根据链路流到达强度与布鲁姆过滤器向量空间长度自适应动态调整超时时间,使得算法整体错误率保持最低。该算法的性能利用真实网络流量数据进行验证,结果表明,与现有算法相比,该算法的测量准确性更高。     

一种新的基于LRU的大流检测算法

针对LRU(Least Recently Used)算法大流漏检率过高的问题,提出了一种采用CBF(Counting Bloom Filter)和LRU两级结构的大流检测算法。该算法根据大流占用带宽较大、持续时间较长的特点在CBF中引入时间窗口机制来滤出可能的大流,然后将流信息记录在LRU中作进一步筛选。从理论上分析了影响该算法性能的因素,考虑了在存储资源一定的条件下,如何设置参数以发挥该算法最大效能的问题。最后基于实际的互联网数据进行了对比验证。结果表明,与同类算法相比,该算法在有效降低大流漏检率的同时,提高了大流流量的测量精度。     

基于LRU_CBF的大流识别算法

对网络中的大流进行提取和分析对于网络管理和安全防御具有重要意义.文章通过把最近最久未使用(LRU)策略和计数型布鲁姆过滤器(CBF)两种结构结合起来,取其各自的优点,提出一种新的大流检测算法.该算法针对大流检测漏报率高的缺陷,将“大流过滤”和“大流判断”分离,提高了算法的准确性,降低了空间复杂度.最后通过理论分析和仿真实验进行了算法的验证.     

基于计数布鲁姆过滤器的快速多维包分类算法

本文从数据包匹配规则的聚集特性出发,将计数布鲁姆过滤器和哈希表相结合,设计并实现了一种高效的多维包分类算法CBHT(Counting Bloom filter and Hash Table).基于包匹配规则的聚集特性,对于五维包分类问题,CBHT算法首先利用计数布鲁姆过滤器的过滤功能结合单域匹配获得与前两维匹配的小规模规则集,而后在此有限规则集中对后三维进行匹配.利用计数布鲁姆过滤器提高了包匹配速度并有效支持规则库的动态更新.实验结果表明CBHT算法比现有的B2PC算法节省60%的硬件资源,包匹配访问内存次数平均低于B2PC算法22.8%.     

基于计数布鲁姆过滤器的集合调和算法

提出了一种基于计数布鲁姆过滤器的集合调和方法,该方法将远程节点A和B上的数据集合SA和SB分别用计数布鲁姆过滤器表示,设为CBF(SA)和CBF(SB),节点A将CBF(SA)发送给节点B,节点B进行计数布鲁姆过滤器减运算,得到差过滤器CBF(SB)CBF(SA),然后利用CBF(SB)CBF(SA)查询并获得集合SB中的差集元素SB SA,并返回SB SA给节点A,最后节点A用差集SB SA和自身集合SA进行集合并运算,完成集合调和。由于计数布鲁姆过滤器支持集合元素的删除操作,因此,该方法非常适合应用于数据集合更新频繁的分布式系统。理论分析和仿真实验结果表明,该方法既具有精确集合调和,能得到全部SB SA元素的优点,也具有近似集合调和仅需单轮消息交换的优点。     

联合多维布鲁姆过滤器查询算法

分析了现有多维布鲁姆过滤器查询算法(MDBF)工作原理,提出了一种改进的两步表示和查询的联合多维布鲁姆过滤器(CMDBF)查询算法.CMDBF新增一个用于表示元素整体的联合布鲁姆过滤器CBF,CMDBF中元素表示和查找分两步进行.将MDBF的各属性的表示和查询作为第一步,第二步联合元素所有属性域,利用CBF完成元素整体的表示和查询确认.理论分析和仿真实验结果表明,CMDBF能够支持多维集合元素的简洁表示和查询,相比MDBF查询误判率降低明显.     

面向大数据处理的高精度多维计数布鲁姆过滤器

分析了现有多维布鲁姆过滤器查询算法的工作原理和特点,针对大数据处理特点提出了一种基于双射函数的高精度多维计数布鲁姆过滤器(AMD-CBF)查询算法.AMD-CBF中元素表示和查找分两步进行,第1步将元素各属性哈希映射到各自对应的高精度计数布鲁姆过滤器(A-CBF)中;第2步将元素的所有属性通过双射函数转换为一个值来表示元素整体信息,然后将这个值哈希映射到联合计数布鲁姆过滤器中(C-CBF),完成元素整体的表示和查询确认.理论分析和仿真实验结果表明,AMD-CBF能够支持多维集合元素的高效表示和查询及删除,相比同类研究查询假阳性降低明显,查询精度大幅度提高.     

基于动态布鲁姆过滤器的DDoS攻击检测方法

基于传统的布鲁姆过滤器在异常流量检测方面存在的不足,提出了动态布鲁姆过滤器的异常流量检测的结构,在检测率和误码率上都有所提高,从而更有效的预防了DDOS攻击.     

CBFM：支持属性删减的布鲁姆过滤器矩阵多维元素查询算法

为了提升多维元素成员查询的灵活性和准确率,提出了一种新型索引结构CBFM(cutted Bloom filter matrix)。该索引方法通过独立属性布鲁姆过滤器笛卡尔乘积构建位矩阵,支持任意属性组合的多维元素成员查询,同时支持属性组合按需删减和属性加权,极大地提升内存空间利用率,降低查询误判率。理论分析证明相比于BFM(Bloom filter matrix)索引方法,CBFM具有更高的内存利用率。仿真实验表明,在分配内存相同的情况下,CBFM方法相比于其他方法,具有最低的查询误判率,特别在内存受限场景下,CBFM相比于BFM方法,查询误判率最大降低3个数量级,极大地提升了多维元素成员查询的准确率。     

基于LRU-BF策略的网络流量测量算法

针对传统大流检测算法漏检率高的缺陷,提出了一种基于LRU-BF(least recent used&Bloom filter)策略的流量测量算法。该算法使用LRU淘汰机制、Bloom filter快速表示方案,将"大流过滤"和"大流判断"分离,较大地提高了测量的准确性。基于"概率论"的相关知识,对算法进行了理论分析,建立了错误概率上界的解析表达式。仿真结果表明:与传统Na ve-LRU算法相比,LRU-BF具有较低错误概率和空间复杂度的同时,也能满足单线路10Gbit/s的线速报文处理能力。     

Bloom Filter哈希空间的元素还原

本文提出使用语义增强的Counting Bloom Filter Reconstruction(RSECBF)算法来快速还原源串或给出源串的聚类特征.它给每个哈希函数独立的哈希映射空间以消除哈希函数的内部冲突;扩展哈希函数使其不受均匀性限制,使得哈希函数可以带有语义;利用哈希串的重叠和数量一致性来解决同源哈希串拼接成源串的问题,为源串的还原创造了条件.本文针对Pareto分布的哈希函数,为主成分的还原提出了一个简洁的源串还原算法.对于直接选择部分比特的哈希映射而言,如果主成分分析中的RSECBF不能还原出源串,则还原出来的最长串就是源串的聚类特征.仿真及实际检验表明,Bloom Filter可以扩展其哈希函数来实现语义增强,RSECBF还原的结果是可信的.本算法可以在异常行为发生的时候挖掘网络行为特征.     

Performance evaluation and comparison of three counting bloom filter schemes

The Counting Bloom Filter (CBF) is a kind of space-efficient data structure that extends a Bloom filter so as to allow approximate multiplicity queries on a dynamic multi-set. This paper evaluates the performance of multiplicity queries of three simple CBF schemes–the Naïve Counting Bloom Filter (NCBF), the Space-Code Bloom Filter (SCBF) and the d-left Counting Bloom Filter (dlCBF)–using metrics of space complexity and counting error under both uniform and zipfian mul-tiplicity distributions. We compare their counting error under same space complexity, and their space complexity when similar counting errors are achieved respectively. Our results show that dlCBF is the best while SCBF is the worst in terms of both space-efficiency and accuracy. Furthermore, the per-formance gap between dlCBF and the others has a trend of being enlarged with the increment of space occupation or counting accuracy.     

Reducing false rate packet recognition using Dual Counting Bloom Filter

Distributed Denial of Service (DDoS) attacks are a serious threat to Internet security. A lot of research effort focuses on having detection and prevention methods on the victim server side or source side. The Bloom filter is a space-efficient data structure used to support pattern matching problems. The filter is utilised in network applications for deep packet inspection of headers and contents and also looks for predefined strings to detect irregularities. In intrusion detection systems, the accuracy of pattern matching algorithms is crucial for dependable detection of matching pairs, and its complexity usually poses a critical performance bottleneck. In this paper, we will propose a novel Dual Counting Bloom Filter (DCBF) data structure to decrease false detection of matching packets applicable for the \(\textit{SACK}^2\) algorithm. A theoretical evaluation will determine the false rate probability of detection and requirements for increased memory. The proposed approach significantly reduces the false rate compared to previously published results. The results indicate that the increased complexity of the DCBF does not affect efficient implementation of hardware for embedded systems that are resource constrained. The experimental evaluation was performed using extensive simulations based on real Internet traces of a wide area network link, and it was subsequently proved that DCBF significantly reduces the false rate.     

Sketch-based data plane hardware model for software-defined measurement

A sketch-based data plane hardware model for software-defined measurement was introduced,and it was implemented in the programmable network device NetMagic.A generic sketch model for collecting flow-level data using high-speed memories on the FPGA was proposed,the control plane collected and cached the data for further process.Count-min sketch and 2-universal hash functions in the SRAM of FPGA for real-time traffic counting of high-speed traffic were implemented; Bloom filter was used to rebuild the original 5-tuple data which solved the irreversibility of sketch.The CERNET backbone trace to evaluate the prototype system was used,the result shows that it has the ability to use the limited hardware resource to measure a large amount of network traffic data with a proper measurement accuracy at the same time.     

一种新的基于事件触发的网络流量采样测量方法及其应用研究

该文主要对采样测量方法进行了研究,提出了基于事件触发的分层随机双采样方法(ESRDS)。通过与传统采样方法的仿真实验比较,证明该方法在分析包长、包到达时间间隔时性能都比较高,尤其该方法采样结果在估计包到达时间间隔时方面和实际比较接近。同时作者还对采样测量方法在计算Hurst参数方面进行了研究,应用ESRDS对网络流量的Hurst参数进行了估计,估计值和实际值之间的误差非常小。     

Secure and efficient token based roaming authentication scheme for space-earth integration network

Aiming at the problem of prolongation and instability of satellite and terrestrial physical communication links in the space-earth integration network,a two-way token based roaming authentication scheme was proposed.The scheme used the characteristics of the computing capability of the satellite nodes in the network to advance the user authentication process from the network control center (NCC) to the access satellite.The satellite directly verified the token issued by the NCC to verify the user's identity.At the same time,the token mechanism based on the one-way accumulator achieved the user's dynamic join,lightweight user self-service customization and billing,and the introduction of Bloom Filter enabled effective user revocation and malicious access management.Compared with the existing scheme,the scheme can guarantee the security of roaming authentication and significantly reduce the calculation and communication overhead of the authentication and key negotiation process.     

基于在线双向拍卖的虚拟网络切片资源调度机制

为解决 5G网络切片间资源分配的问题,该文提出一种基于在线双向拍卖 (ODA)的资源调度机制。该机制首先针对不同的业务需求和业务收益确定网络切片的优先级和单位资源报价;其次明确最大化网络收益的目标建立线下单向拍卖模型;进一步,考虑资源的动态分配和回收利用,提出价格更新算法实时更新资源价格;最后,综合线下单向拍卖机制和价格动态变化机制建立在线双向拍卖模型,为切片动态分配资源。仿真结果表明,该机制在提高网络收益的同时可以保证各切片用户的QoS需求。     

蜂窝无线网络话务承载能力评估比较算法研究

针对传统GSM蜂窝无线网络蜂窝分析理论的极限性,提出了无线网络话务承载能力增益的新概念及其相关算法,用于比较不同频率方案对无线网络综合性能的改善程度。通过采集不同阶段无线网络的相关测量数据,应用该算法进行分析能实时准确地反映无线网络采用不同频率方案导致的无线网络综合性能的客观变化情况。     

基于抽样流长与完全抽样阈值的异常流自适应抽样算法

高速IP网络的流量测量与异常检测是网络测量领域研究的热点。针对目前网络流量测量算法对小流估计精度偏低,对异常流量筛选能力较差的缺陷,该文提出一种基于业务流已抽样长度与完全抽样阈值S的自适应流抽样算法(AFPT)。AFPT算法根据完全抽样阈值S筛选对异常流量敏感相关的小流,同时根据业务流已抽样长度自适应调整抽样概率。仿真和实验结果表明,AFPT算法的估计误差与理论上界相符,具有较强的异常流量筛选能力,能够有效提高异常检测算法的准确率。