异或和取模运算的负载均衡算法

引入信息熵对哈希函数的输入值进行随机度测试,实验证明增加异或字段数并划分字段后进行异或运算能提高运算结果的随机测度值.标识字段有很高的位熵值,函数输入值中加入此值能减少负载迁移次数而运算效率与CRC16接近.采用源IP、目的IP、源端口、目的端口、标识字段作为输入值,并划分为8位的比特串进行异或运算,然后再进行取模运算的双哈希算法运算效率较高而且均衡性好,适合于高速网络环境下的入侵检测.     

基于XOR Hash的快速IP数据包分类算法研究

文章在哈希算法的基础上,提出了一种基于异或哈希的IP分类算法,该算法的核心有三点:一是将目的/源IP、目的/源端口和协议五域连成比特串,然后分为五块后进行异或,获得分类关键值;二是为了降低冲突率,将异或后的关键值再与一个随机数进行异或,获得最终分类索引值;三是为了保证查找到的规则的正确性,对每一个索引值的源/目的IP地址均匹配一次。通过以上三点改进一般会降低算法的时间复杂度和空间复杂度,通过仿真,当对1万条分类规则进行包分类时,该算法的包分类速度可以达到2Mpps,所消耗的最大内存为6MB。     

IP流检测中基于信息熵的哈希算法改进

介绍流检测中常见的哈希算法,从信息熵的角度分析异或移位(XOR-SHIFT)算法。将异或运算扩展到字节,利用区域网络检测中数据包IP地址低字节比高字节变化频繁的特点,通过对称交叉异或运算,将五元组中的信息量尽可能更大化地表现在哈希值中,从而优化哈希算法的散列性能,使后续以流标识为约束进行的IP流处理更高效。     

一种双哈希IP数据包分类算法研究

本文在无冲突哈希算法和异或哈希算法的基础上，提出了一种双哈希的IP分类算法，该算法的核心有三点：一是基于目的／源端口和协议域构造无冲突哈希，由于该三域的组合数目非常少，避免了空间爆炸；二是在异或哈希算法的基础上，将目的／源IP连成比特串后分为四块后进行异或，为了降低冲突率，将异或后的关键值再与一个随机数进行异或，获得分类索引值，并用此值生成多比特Trie树，一般情况下减小了空间和时间复杂度；三是在Trie树终点存放最终分类规则的索引值，为了保证查找到的规则的正确性，对每一个索引值的源／目的IP地址均匹配一次。通过以上三点改进一般要降低算法的时间复杂度和空问复杂度，通过仿真，当对1万条分类规则进行包分类时，该算法的包分类速度可以达到2MPps，所消耗的最大内存为4MB。     

基于流量信息结构的异常检测

由于人们对网络流量规律的认识还不够深入,大型高速网络流量的异常检测仍然是目前测量领域研究的一个难点问题.通过对网络流量结构和流量信息结构的研究发现,在一定范围内,正常网络流量的IP、端口等具有重尾分布和自相似特性等较为稳定的流量结构,这种结构对应的信息熵值较为稳定.异常流量和抽样流量的信息熵值以正常流量信息熵值为中心波动,构成以IP、端口和活跃IP数量为维度的空间信息结构.据此对流量进行建模,提出了基于流量信息结构的支持向量机(support vector machine,简称SVM)的二值分类算法,其核心是将流量异常检测转化为基于SVM的分类决策问题.实验结果表明,该算法具有很高的检测效率,还初步验证了该算法的抽样检测能力.因此,将该算法应用到大型高速骨干网络具有实际意义.     

一种基于哈希和跳转表的IP分类算法

文章介绍了IP分类技术研究的最新成果,以及IP分类的典型算法。提出了一种基于哈希(Hash)和跳转表Trie树JTTT(JumpingTableTrie-Tree)的IP分类算法,该算法和核心有两点:一是将源/目的端口和协议三域构造成一个哈希函数,因为该三域的交叉组合较少;二是将源/目的IP地址分割为两块构成跳转表和Trie树。通过分析比较,文章提出的算法无论是时间性能还是空间性能均优于GridofTries算法,文中通过仿真给出了最终的分类效果。最后该文对提出的算法在虚拟环境下做了评判。     

基于Bloom Filter的大规模异常TCP连接参数再现方法

提出由TCP连接的唯一性导出的TCP数量平衡性测度及其经验范围可用于检测TCP连接的大规模异常,如DDoS、扫描等.使用带哈希增强算法的Bloom Filter Reproduction(BFR)方法对TCP连接大规模异常的参数进行快速再现,如IP地址、端口的分布等,使得在检测过程中无须维护TCP五元组的信息.实验结果表明,该方法能够以较少的资源占用和较高的准确性来揭示网络流量中混杂的多种异常现象.     

用于快速流分类的关键字分解Hash算法

在Hash算法的基础上,提出一种基于关键字分解的快速流分类算法。通过把关键字进行分解,与预先选定的随机质数向量进行异或后相乘得出Hash值。实验结果表明,与IPSX、CRC32和Bob-Jenkins Hash算法相比,该算法在哈希值的计算速率、值的分布均匀性和冲突率等方面具有较好的性质,分类速度达到18 Mp/s,能满足快速网络流量测量的需求。     

流级别的高速网络流量动态划分算法

针对高速网络流量并行处理的需求,提出一种流级别的高效动态流量划分算法DTP-PM.讨论了DTP-PM算法设计的基本思想,并分析了其中的关键问题-会话表设计.为提升算法性能,通过定义会话标识符设计了会话表的哈希函数PRH,同时应用MTF启发法改进会话表的哈希冲突解决方法.在引入负载度量化网络流量分析负载轻重程度的基础上,给出流量划分算法DTP-PM的实现流程.借助高速网络流量样本对该算法性能进行了实验评估.实验结果表明,DTP-PM算法在均衡性和高效性方面明显优于经典的流量划分算法.     

多源网络编码数据完整性验证方案

基于同态向量哈希函数和向量合并算法,提出一种能够抵御污染攻击的多源网络编码数据完整性验证方案。通过信源节点计算发送向量的哈希值,利用私钥对该哈希值进行签名,并将消息向量、哈希值以及哈希值的签名发送至中间节点。中间节点和信宿节点基于系统公钥,验证来自不同信源节点的线性编码消息的完整性。实验结果表明,当信源节点数大于200时,该方案的计算效率优于现有多源网络编码方案,更适用于大规模分布式网络数据的安全验证。     

高速链路中的蠕虫传播及其可视化研究

在高速链路中蠕虫会以一种无法预料的高速率传播,因此设计一个高效的自动防御系统是十分必要的.这种防御系统的设计需要以高度可信的检测准确度和实时的流量分析为基础.针对这些问题,提出了利用蠕虫的信息流量可视化进行监测.介绍了一个简单巧妙的信息可视化方法,那就是在包的源IP、目标IP和目标端口的三维空间里描绘一个包.用这种可视化方法可以清晰地辨别出蠕虫.基于此性质设计了一个高效的蠕虫检测和分类的规则.     

基于特征分布分析的网络流量监测系统

多数现有网络流量监测系统只关注流量大小,没有分析流量内部信息。该文利用熵来衡量源IP地址、目的IP地址、目的端口等流量特征参数的分布变化,从特征分布的角度对网络流量进行分析。采用该方法实现一个流量监测系统,实验结果证明,该系统具有较高检测率和较低误报率。     

基于统计分析的高速网络分布式抽样测量模型

分布式被动测量是研究网络行为的一个重要手段，其面临的主要问题是难以实现高速网络流量测量，因此需要使用抽样技术．分布式抽样测量技术需要解决两个关键问题：分布式测量点测量报文的一致性和抽样样本的统计随机性．为此，抽样测量的核心是选择合适的抽样掩码匹配位串，以保证抽样样本的随机性，且实现分布式测量点的信息一致性．文章对CERNET主干网络流量IP报头各字段的随机性进行分析，结果表明标识字段16bits满足抽样掩码匹配位串要求，并对抽样样本的随机性和统计属性进行分析．实验验证抽样样本既能用于网络行为研究也能用于流量行为研究．     

路由交换设备QoS应用技术分析

针对业务应用系统对网络传输质量要求的不断提高,通过分析路由交换设备服务质量（QoS）实现机制,研究了报文分类、优先级标识、流量监管、队列调度以及端口限速等多方面的QoS应用技术。最后,从工程实践角度提出了一套完善的QoS部署流程,解决了网际互联协议（IP）网络设备传输在拥塞避免和流量管理方面的问题,从根本上提高了IP网络的服务能力。     

优秀创业学生网络行为实证研究

以义乌工商职业技术学院创业园学生为研究对象,部署了网络实验环境,通过流量监测技术实施流量捕获,根据记录的流量数据,分析、归纳了创业学生的网络行为。采用的网络流量监测技术主要有:MRTG统计端口整体流量,OptiView采集网络层和传输层流量分布,包过滤捕获技术分析Web网络访问取向。     

园区网边界流量采样及其可视化研究

基于NetFlow流技术通过提取园区网边界数据流的地址、端口、协议和流量等特征属性在三维空间中建立流的几何可视化模型,简化了网络流量的显示,设计了基于地址段A的可变坐标几何建模算法,优化了模型的渲染,为网络管理人员提供了一种通过流的3D可视化图形来感知网络运行性能的手段。实验表明该模型有效反映了网络流量的相关特征。