对象局域网流量控制

ISSN1000-9825,CODENRUXUEWE-mail:jos@iscas.
ac.
cnJournalofSoftware,Vol.
18,No.
12,December2007,pp.
30603070http://www.
jos.
org.
cnDOI:10.
1360/jos183060Tel/Fax:+86-10-625625632007byJournalofSoftware.
Allrightsreserved.
高速网络监控中大流量对象的提取王风宇1,2,3+,云晓春1,王晓峰4,王勇1,31(中国科学院计算技术研究所信息智能与信息安全研究中心,北京100080)2(山东大学计算机科学与技术学院,济南250101)3(中国科学院研究生院,北京100049)4(哈尔滨工业大学计算机网络与信息安全技术研究中心,黑龙江哈尔滨150001)IdentifyingHeavyHittersinHigh-SpeedNetworkMonitoringWANGFeng-Yu1,2,3+,YUNXiao-Chun1,WANGXiao-Feng4,WANGYong1,31(InstituteofComputingTechnology,TheChineseAcademyofSciences,Beijing100080,China)2(SchoolofComputerScienceandTechnology,ShandongUniversity,Ji'nan250101,China)3(GraduateUniversity,TheChineseAcademyofSciences,Beijing100049,China)4(ResearchCenterofComputerNetworkandInformationSecurityTechnology,HarbinInstituteofTechnology,Harbin150001,China)+Correspondingauthor:Phn:+86-531-88391099,E-mail:wangfengyu@sdu.
edu.
cnWangFY,YunXC,WangXF,WangY.
Identifyingheavyhittersinhigh-speednetworkmonitoring.
JournalofSoftware,2007,18(12):30603070.
http://www.
jos.
org.
cn/1000-9825/18/3060.
htmAbstract:Duetothedeficiencyoftrafficmeasurementcapabilityinhigh-speednetwork,it'svaluablefordetectinglarge-scalenetworksecurityincidenttoidentifyheavyhitterspreciselyintime.
Analgorithmofidentifyingheavyhittersbasedontwo-levelreplacementmechanismisproposedinthispaper.
Inthisalgorithm,LRUreplacementandLEASTreplacementarecombinedtogethertoimproveitsaccuracy.
Theheavyhitterscanbeidentifiedaccuratelyinsmallconstantmemoryspace,sothedatacanbetreatedmorerapidlyinlimitedspaceofSRAM.
It'sunnecessarytoprovidemorememoryspaceformorenetworkdata,sothealgorithmisscalable.
Keywords:networkmeasurement;heavyhitter;replacementmechanism;anomalydetection摘要:在高速网络环境下,由于受计算及存储资源的限制,及时、准确地提取大流量对象对于检测大规模网络安全事件具有重要意义.
结合LRU淘汰机制和LEAST淘汰机制,建立了基于二级淘汰机制的网络大流量对象提取算法(LRU&LEASTreplacement,简称LLR),两种淘汰机制相互弥补不足,较大地提高了算法的准确性.
由于算法占用存储空间较少,从而可以在有限的SRAM空间中更快地处理流量信息.
该算法在网络数据量增加的情况下不必增加存储空间,具有很好的可扩展性.
关键词:网络测量;大流量对象;淘汰机制;异常检测中图法分类号:TP393文献标识码:ASupportedbytheNationalNaturalScienceFoundationofChinaunderGrantNo.
60573134(国家自然科学基金);theProgramforNewCenturyExcellentTalentsinUniversityofChina(新世纪优秀人才支持计划)Received2006-05-16;Accepted2006-11-13王风宇等:高速网络监控中大流量对象的提取3061网络流量监控是网络安全管理的重要方式,大部分大规模网络安全事件的检测都是通过网络流量的采集分析来完成的.
目前,主要的流量异常检测系统都是以中小规模网络作为监控对象,如企业网络、校园网等.
然而,对于当前一些大规模网络攻击,仅监控低端网络是不够的.
以网络蠕虫爆发为例,它能够在10分钟甚至更短的时间内感染互联网内大部分的脆弱主机,并且由于产生大量的数据报文而导致网络被淹没甚至崩溃.
因此,有必要在主干网络进行监控,以及时发现并有效控制这些大规模网络攻击.
很多研究通过总体流量的变化来发现异常,并不能定位异常的来源.
要定位异常来源,不仅需要总体流量变化信息,更重要的是要知道导致流量异常变化的对象.
网络监控中通常监控的对象类型主要有:目的IP地址、源IP地址、目的端口和协议、源端口和协议等[1].
对相同关键值的对象进行流量累加计数产生流量信息可以有效发现异常,比如,统计不同目的IP地址的流量就可以定位DDoS攻击的目标.
然而,按照当前主干网络链路速度和流量,监控系统要同时统计几十万甚至上百万的对象流量,要完整统计这些信息,主机的存储和处理速度已经力不从心了,从算法改进的角度有两种提高数据处理效率的途径[2]:一是降低存储空间,使流量信息能够储存在访问速度更快的SRAM中;二是减少存储器访问次数.
对于一些大规模网络安全事件,我们只需要关注大流量对象就可以了,例如DDoS攻击固定的目标地址,蠕虫扫描少数几个端口.
有的网络研究扩充了传统五元组流的定义,把这些对象称作大流(largeflow)[3],而在流数据(streamingdata)研究中,大流量对象被称为heavyhitter或频繁项(frequententry),本文中统称为大流量对象.
仅统计大流量对象可以节省大量存储空间,使流量信息能够储存在SRAM中,从而可以更加快速地处理网络数据;同时,由于剥离了无关网络流量,使安全事件的"罪魁祸首"更加容易识别.
关键问题在于预先并不知道哪些对象是大流量对象,需要一种能够准确而高效地提取大流量对象的算法.
本文结合LRU(leastrecentused,最近最久未用)和LEAST淘汰机制建立了基于二级淘汰机制的大流量对象统计算法(LRU&LEASTreplacement,简称LLR),该算法能够准确地提取高速网络中的大流量对象.
本文第1节介绍相关研究状况.
第2节描述并分析基于二级淘汰机制的大流量对象统计算法.
第3节通过实验对算法进行评估.
最后对全文进行总结.
1相关研究当前最常用的flow级网络流量测量工具是Cisco的NetFlow[4],它是在RFC-2722[5]标准下工作的.
NetFlow把到达的包按照七元组归并为flow,并将flow信息传递给上层监控系统.
一方面存储全部flow信息要占用大量的存储空间;另一方面,向应用层传送日志信息对系统也造成了很大的压力.
NetFlow很容易造成网络数据转发的延迟和系统性能的降低.
SampledNetFlow采用了周期采样的策略来减少内存占用和处理开销.
周期抽样是一种最简单的抽样方式,每隔固定时间产生一次抽样.
周期抽样简单且应用广泛,但它存在以下一些缺点:测量因具有周期性与很强的可预测性以及会使被测网络陷入一种同步状态.
抽样策略能够有效降低监控系统的负载,使系统具有很好的可扩展性,因此成为高速网络流量测量的研究热点[612].
Estan等人在文献[6]中提出的自适应采样方法通过动态调整采样率增强了NetFlow的可扩展性.
文献[7]提出了一种非均匀抽样方法,在流测量设备输出流记录时通过对流记录的抽样来适应资源的限制.
文献[8]根据IP报文中标识字段的随机性使用确定的掩码与标识字段的部分比特相匹配以实现分布式报文抽样,具有较好的随机性.
文献[9]利用测量缓冲区对定长时间内到达的分组进行固定数量的抽样,既可以使抽样率自适应于流量变化,又可以控制资源的消耗.
Kodialam等人提出的RATE算法[10]通过对two-runs(与流量数据中两个连续的样本匹配的flow)的计数来估计流量对象的大小,该方法能够在较小的空间内准确估计大流量对象的大小,但对小流量对象的估计不够准确.
文献[11,12]则分别通过对RATE算法中flow计数方法的改进,提高了算法准确性,降低了流量估计复杂度.
抽样策略可以有效降低资源消耗,提高系统的测量能力,但难以满足需要较高准确度的应用.
采用Hash方法可以压缩流量对象信息空间,但难点在于如何从Hash结果推导出原始对象信息.
文献[13]采用SCBF(space-codeBloomfilter)和最大似然估计能够较准确地估计高速网络线路流量对象的大小,算法计算效率高(可测量OC-768线路),但难以获得流量对象的完整信息.
文献[14]使用带Hash增强算法的BloomFilter3062JournalofSoftware软件学报Vol.
18,No.
12,December2007Reproduction方法对TCP连接大规模异常的信息快速再现,使得在检测过程中无须维护TCP五元组信息,根据Hash结果可以较准确地还原TCP连接信息,能够以较少的资源占用和较高的准确性检测网络异常.
文献[2]则提出了一种可逆Hash算法,能够通过少量的Hash比对找到原始对象,具有较高的空间压缩率.
Hash方法极大地减少了占用的存储空间,加快了处理速度,但压缩率和准确性之间需要找到一个平衡点,而且其占用的空间是随着网络数据量线性增加的.
Estan等人第1次明确提出了在网络流量测量中采取"抓大放小(focusingontheelephants,ignoringthemice)"的策略[3],以放弃小流量对象信息为代价换取了存储空间和准确性上的优势,并提出了SampleandHold和Multi-StageFilters两种算法.
SampleandHold算法是在周期采样基础上的改进,对于已被采样的Flow,其后属于该flow的包均被统计,该算法实现简单,准确性有了较大提高.
Multi-StageFilters算法采用多级Hash表对flow计数,只有每一级Hash表项均达到测量阈值的flow时才被正式记录,该算法占用空间小,能够准确识别出Largeflow.
但由于Hash算法会把不同的flow映射到相同的键值,会高估LargeFlow的实际流量,所以在Flow数量增长很大的情况下要适当增加Hash表的数量以降低碰撞率.
文献[15]用trie树保存流量对象信息,并在节点对包的数量计数,当包数量超过一个阈值时则继续向下扩展trie树,该算法能够从不同层次估计一维和二维大流量对象,但trie树的存储代价比较大,而且流量估计的准确性难以保证.
文献[16]提出了用类似于页面置换的LRU策略来识别流量大、持续时间长的flow,然后对其采取惩罚或重路由等相应策略以控制拥塞,这种方法速度快,识别率较高,但该算法在测量时间段的后期会丢弃最近没有包到达的大流量对象,影响准确性.
"抓大放小"策略不但可以节省大量存储空间,而且可以准确估计大流量对象,满足特定应用需求.
2基于二级淘汰机制的统计算法解决高速网络流量监控问题的途径可以归纳为3种:一是通过采样减少处理数据;二是利用Hash方法压缩空间,加快处理速度;三是通过淘汰小流量对象减少数据量.
基于二级淘汰机制的统计算法采取的是第3种途径,该算法通过LRU(最近最久未用)淘汰机制和LEAST(最少)淘汰机制的结合,优势互补,实现了在固定大小空间内准确提取大流量对象.
2.
1算法描述二级淘汰机制的基本结构是两个固定长度的对象列表.
第1个列表采用LRU淘汰机制,最新有包到达的对象排在最前面,当列表满时,最久没有包到达的对象被淘汰,如果被淘汰对象的包的数量超过一个预设阈值LEAST_LH(本文实验中取值为2),则进入第2个列表,否则直接丢弃;第2个列表采用LEAST淘汰机制,即当列表满时丢弃包数量最少的对象,当该链表中的对象有包到达时,该对象重新进入第1级列表的最前面.
后面我们把第1级列表称作LRU_L,第2级列表称作LEAST_L.
LLR算法基本描述.
1.
初始化列表LRU_L和LEAST_L;2.
LRU_L长度=L1,LEAST_L长度=L2;3.
包P到达,抽取对象识别字段,如{目的IP地址};4.
ifP属于LRU_L中的对象F15.
F1的包计数加1,并把F1放在LRU_L最前面;6.
elseifP属于LEAST_L中的流F27.
F2的包计数加1,从LEAST_L取下F2加到LRU_L最前;8.
F3=取下LRU_L最后一项,9.
else10.
为P建立一个新的对象,并放在LRU_L最前面;11.
ifLRU_L项数>L112.
F3=取下LRU_L最后一项;王风宇等:高速网络监控中大流量对象的提取306313.
endif;14.
endif;15.
ifF3的包数量>预设阈值LEAST_LH16.
把F3插入LEAST_L;17.
ifLEAST_L项数>L218.
丢弃LEAST_L中的最小项;19.
endif;20.
endif;虽然减少存储空间可以在SRAM中更快地处理流量信息,但算法的计算复杂度仍然是影响处理效率的主要因素,需要提高网络数据包的处理效率.
当一个包到达,首先要根据其协议字段在二级列表中查找相应的对象,我们对二级列表可以采取两种存储方案:一种是硬件上配合使用内容寻址存储器CAM(contentaddressablememory),只需1次访存就可定位流量对象;另一种是软件上采用Hash表存储,处理Hash冲突需要少量额外的操作.
因为LRU_L中的对象要不断调整位置,为了方便流量对象移动将其组织为双向链表结构.
对LEAST_L的操作包括插入LRU_L淘汰的对象和删除对象等,可以把LEAST_L组织为二叉排序树以方便操作.
图1为LLR算法的实现结构图.
Fig.
1StructureofLLRalgorithm图1LLR算法实现结构2.
2算法准确性分析以一个时间段(比如1秒、1分钟或1小时)为统计范围,假设占总流量百分比PT(例如0.
1%)以上的对象为大流量对象,LRU链表长度为L1,包总数为N,对象A的包的总数为NA,A占总流量的比例恰好为PT.
设大流量对象被从LRU_L淘汰出去的概率为P(LRU),从LEAST_L淘汰出去的概率为P(LEAST).
大流量对象被错误地从LRU_L淘汰出去的概率P(LRU)小于等于A被淘汰的概率,也就是A在连续M(M>L1)个报文中没有出现的概率,为超几何分布概率:0011AAAANNNNNNNNMMLL>>>221.
.
.
.
由于nnnnnAL1/PT则可以使错误率上限随着包数的增加快速下降,所以要求L2>1/PT.
图4(a)为固定n,随着L2(>=1/PT)的变化A被淘汰的概率,图4(b)是其log-log图,可以看出,图4(b)中的曲线接近直线,所以A被淘汰的概率和(L21/PT)之间的关系可以近似为幂函数衰减关系.
然而这里对LEAST淘汰策略的分析还没有考虑LRU_L的作用.
通过前面对LRU淘汰机制的分析我们知道,只要设定适当的LRU_L长度,大流量对象被从其中淘汰的概率可以降到很低,也就是LRU_L能够容纳大部分的大流量对象,所以LEAST_L的长度L2可以缩减很多.
假设LRU_L容纳了(plru)%的大流量对象,那么L2只要大于(1(plru)%)*(1/PT)即可.
更为重要的是,两级淘汰机制形成一种互补.
假设单独使用LRU_L,如果大流量对象集中于时间段的前半部分,则该对象可能在时间段的后半部分由于很少有包到达而被淘汰.
而在二级淘汰机制下,由于大流量对象的数据总量比较大,会被保存在LEAST_L而避免被错误淘汰;假设单独使用LEAST_L,如果大流量对象前期到达包很少,后期才开始集中到达,则该对象可能在前期由于自身包的数量较小而被淘汰,到了后期,由于LEAST_L已满,不论后面到达多少包都会被淘汰.
而在二级淘汰机制下,LRU_L就可以容纳这种对象,避免其被错误淘汰.
要使对象A最终从二级列表中淘汰,就要首先使其从LRU_L淘汰,然后从LRU_L淘汰,所以最终被淘汰的概率为1.
00.
80.
60.
40.
20.
0Replacementprobability010002000300040005000LengthofLRUlist1.
00.
80.
60.
40.
20.
00200040006000800010000PacketcountofLEASTlistL2=600L2=800L2=1000L2=1200L2=1400王风宇等:高速网络监控中大流量对象的提取3065P=P(LRU)*P(LEAST).
(a)RelationbetweenlengthofLEAST_Land(b)RelationbetweenlengthofLEAST_Landreplacementreplacementprobabilityoflargeflowprobabilityoflargeflow(log-log)(a)LEAST_L错误淘汰率与长度之间的关系(b)LEAST_L错误淘汰率与长度之间的关系(log-log)Fig.
4图42.
3算法复杂度分析2.
3.
1时间复杂度当一个数据包到达,首先要做的是查找相应的流量对象,无论是采用CAM方案还是Hash方案,其计算复杂度均为O(1).
随后的操作包括流量对象在双向链表和排序二叉树中的移动、LRU_L淘汰的流量对象插入LEAST_L以及在LEAST_L中查找最小流量对象等.
对象的移动是有限常数次指针操作,其计算复杂度为O(1),而二叉树的查找定位操作最复杂,时间复杂度为O(log(L2)),L2为LEAST_L的长度.
因此LLR算法处理一个数据包的时间复杂度为O(log(L2)).
2.
3.
2空间复杂度通过第2.
2节的分析我们知道,只要满足LRU_L长度L1>1/PT(PT为大流量对象阈值)的要求,随着空间增加,准确性会快速提高,在(1/PT)这个数量级内,错误淘汰率就已经接近于0,所以LRU_L的空间复杂度是O(1/PT).
同样,通过第2.
2节的分析知道,如果LRU_L容纳了(plru)%的大流量对象,那么,LEAST_L的长度L2只要大于(1plru%)*(1/PT)即可,因此LEAST_L所需空间比LRU_L低了一个数量级.
用于定位流量对象的Hash表长度和表中的记录数(即二级列表长度)是同一个数量级,空间复杂度同样是O(1/PT).
所以LLR算法空间复杂度为O(1/PT),PT为大流量对象阈值.
2.
3.
3访问存储器次数除了存储空间,算法是否能够在线处理高速网络数据的另一个重要因素是最坏情况下处理一个数据包需要访问存储器的次数.
要准确计算算法访问存储器次数比较困难,为了使问题简化,我们以算法对二级列表中的表项的访问次数作为访问存储器次数.
表1是算法在不同情况下处理1个数据包的访存次数,从左到右是完整的处理流程,每个操作后用括号标出了访存次数,最右列为不同流程总的访存次数.
如果被LRU_L淘汰的对象需要插入LEAST_L,则还要淘汰最小的对象,需要在二叉树上执行两次定位操作,这种情况下操作最为复杂,最多需要8+2*log(L2)次存储器访问,L2是LEAST_L的长度.
在随机情况下,LEAST_L二叉树平均查找长度约为log(L2);极端情况下,二叉树蜕变为单支树,平均查找长度为(L2)/2,最大查找长度为L2.
由于插入LEAST_L的流量对象大小是随机的,所以蜕变为单支树的情况发生的可能微乎其微,查找长度可以近似为log(L2).
以大流量对象阈值PT=0.
001为例,假设LRU_L的长度设定足够保留90%的大流量对象,则根据前面的分析,L2>100即可,所以算法的最复杂操作大约要访问22次存储器,一次SRAM访问时间最少约为5ns[12].
在2.
5Gbps(OC-48)网络环境下,假设平均包长度是1000bit,则满负荷状态下大约每400ns到达一个数据包,因此该算法的复杂度理论上0.
50.
40.
30.
20.
10.
01000150020002500n=20000n=40000n=60000n=80000Replacementprobability0.
10.
011E-3Replacementprobability10001500200025003000LengthofLEASTlistn=20000n=40000n=60000n=800003066JournalofSoftware软件学报Vol.
18,No.
12,December2007可以满足2.
5Gbps网络线路的在线测量需求.
在第3节中我们将通过模拟实验检测LLR算法的处理速度.
当有包到达时,PSH(packetsampleandhold)算法[1,3]只需要一次查找定位,访存次数最少;Multi-StageFilter算法[3]则要访问log10(n)次Hash表和1次大流量对象表,n为测量时间段内流量对象的总数,随着网络数据量的大量增加,要保证算法准确性就要增加存储空间和访存次数;在涉及到对LEAST_L二叉树操作时LLR算法访存次数较多,但无须随总数据量变化而增加,其唯一影响因素是LEAST_L的长度.
表2是LLR算法访问存储器次数和PSH以及Multi-StageFilter算法的比较.
Table1TimesofaccessingmemoryofLLR表1LLR算法访问存储器次数IfF1islocatedinLRU_L1.
ModifyflowentryF1.
(3)2.
ModifythepointerofthefirstoneinLRU_L.
(1)5IftheflowentryF1isfoundIfF1islocatedinLEAST_L1.
DeleteF1fromLEAST_L.
(log(L2))2.
ModifyflowentryF1.
(2)3.
DiscardthelastoneofLRU_LF2.
(1)4.
InsertF2intotheLEAST_L.
(log(L2)+2)2*log(L2)+6IfF2>LEAST_LH1.
InsertF2intoLEAST_L.
(log(L2)+2)2.
DeletetheminimumflowentryofLEAST_L.
(log(L2)+2)2*log(L2)+8Searchtheflowentrywhichthepacketbelongstointwolists.
(1)Ifnoflowentryisfound1.
Createanewflowentry.
(1)2.
ModifythefirtoneofLRU_L.
(1)3.
DiscardthelastoneofLRU_LF2.
(1)IfF20.
1%0.
1%~0.
01%0.
01%~0.
001%CategoryARER(%)FN(%)ARER(%)FN(%)ARER(%)FN(%)LLR(2000,2000)0.
001600.
019205.
8773.
551LLR(3800,200)0.
01200.
56062.
4540.
56LRU11.
784.
4123.
5310.
4770.
8144.
31LEAST3.
73.
686.
476.
3931.
831.
75PSH4.
75021.
20.
258.
3122.
92Multi-Stagefilters0.
08902.
36079.
3846.
580.
00070.
00060.
00050.
00040.
00030.
00020.
00010.
0000Averagerelativeerrorrate2468101214(1*105)PacketcountDestinationPort+protocolDestinationIP0.
00070.
00060.
00050.
00040.
00030.
00020.
00010.
0000Averagerelativeerrorrate02004006008001000LengthofLEAST_TDestinationaddressDestinationPort+protocol3070JournalofSoftware软件学报Vol.
18,No.
12,December2007大规模网络安全事件检测是我们下一步研究的重点.
References:[1]KeysK,MooreD,EstanC.
Arobustsystemforaccuratereal-timesummariesofInternettraffic.
SIGMETRICSPerformanceEvaluationReview,2005,33(1):8596.
[2]SchwellerR,GuptaA,ParsonsE,ChenY.
Reversiblesketchesforefficientandaccuratechangedetectionovernetworkdatastreams.
In:Proc.
oftheACMSIGCOMMConferenceonInternetMeasurement.
Taormina:ACMPress,2004.
207212.
[3]EstanC,VargheseG.
Newdirectionsintrafficmeasurementandaccounting:Focusingonelephants,ignoringthemice.
ACMTrans.
onComputerSystems,2003,21(3):270313.
[4]CiscoNetFlow.
2006.
http://www.
cisco.
com/en/US/products/ps6601/products_ios_protocol_group_home.
html[5]BrownleeN,MillsC,RuthG.
Trafficflowmeasurement:Architecture.
RFC2722,1999.
[6]EstanC,KeysK,MooreD,VargheseG.
BuildingabetterNetFlow.
In:ACMSIGCOMMComputerCommunicationReview,2004,34(4):245256.
[7]DuffieldN,LundC,ThorupM.
Flowsamplingunderhardresourceconstraints.
In:ACM.
SIGMETRICS2004,NewYork:ACMPress,2004.
85–96.
[8]ChengG,GongJ,DingW.
Networktrafficsamplingmeasurementmodelonpacketidentification.
ActaElectronicaSinica,2002,30(12A):19861990(inChinesewithEnglishabstract).
[9]WangHB,WeiAM,LinY,ChengSD.
Timestratifiedpacketsamplingbasedonmeasurementbufferforflowmeasurement.
JournalofSoftware,2006,17(8):17751784(inChinesewithEnglishabstract).
[10]KodialamM,LakshmanTV,MohantyS.
Runsbasedtrafficestimator(RATE):Asimple,memoryefficientschemeforper-flowrateestimation.
In:IEEEINFOCOM2004.
Hongkong:IEEEPress,2004.
18081818.
[11]HaoF,KodialamM,LakshmanTV.
ACCEL-RATE:Afastermechanismformemoryefficientper-flowtrafficestimation.
In:ACMSIGMETRICS.
NewYork:ACMPress,2004.
155166.
[12]HaoF,KodialamM,LakshmanTV,ZhangH.
Fast,memory-efficienttrafficestimationbycoincidencecounting.
In:INFOCOM2005.
Miami:IEEEPress,2005.
20802090.
[13]KumarA,XuJ,WangJ,SpatschekO,LiL.
Space-CodeBloomfilterforefficientper-flowtrafficmeasurement.
In:IEEEINFOCOM.
HongKong:IEEEPress,2004.
1762–1773.
[14]GongJ,PengYB,YangW,LiuWJ.
ReconstructingtheparameterformassiveabnormalTCPconnectionswithBloomfilter.
JournalofSoftware,2006,17(3):434444(inChinesewithEnglishabstract).
[15]YinZ,SumeetS,SubhabrataS,etal.
Onlineidentificationofhierarchicalheavyhitters:Algorithms,evaluation,andapplications.
In:InternetMeasurementConf.
(IMC2004).
Taormina:ACMPress,2004.
101104.
[16]KimI.
Analyzingnetworktracestoidentifylong-termhighrateflows[MS.
Thesis].
TexasA&MUniv.
,2001.
[17]XuK,ZhangZL,BhattacharyyaS.
ProfilingInternetbackbonetraffic:Behaviormodelsandapplications.
In:ACMSIGCOMM.
Philadelphia,2005.
169180.
[18]DuffieldN,LundC,ThorupM.
Chargingfromsamplednetworkusage.
In:ACMSIGCOMMInternetMeasurementWorkshop.
SanFransisco:ACMPress,2001.
245256.
[19]NLANR.
2006.
http://pma.
nlanr.
net/Special/附中文参考文献:[8]程光,龚俭,丁伟.
基于分组标识的网络流量抽样测量模型.
电子学报,2002,30(12A):19861990.
[9]王洪波,韦安明,林宇,程时端.
流测量中基于测量缓冲区的时间分层分组抽样.
软件学报,2006,17(8):17751784.
[14]龚俭,彭艳兵,杨望,刘卫江.
基于BloomFilter的大规模异常TCP连接参数再现方法.
软件学报,2006,17(3):434444.
王风宇(1973-),男,山东龙口人,博士,主要研究领域为网络行为学,网络安全.
王晓峰(1978-),男,博士生,主要研究领域为网络安全,网络模拟.
云晓春(1971-),男,博士,教授,博士生导师,主要研究领域为计算机网络,信息安全.
王勇(1976-),男,博士生,主要研究领域为对等网络测量,网络安全.