基于Bloom Filter的大规模异常TCP连接参数再现方法

微信服务号

微信订阅号

首页 > 过刊浏览>2006年第17卷第3期 >434-444

基于Bloom Filter的大规模异常TCP连接参数再现方法
DOI:
                        
                    
作者:
                        
                        
                    
作者单位:
作者简介:
通讯作者:
中图分类号:
基金项目:Supported by the National Grand Fundamental Research 973 Program ofChina under Grant No.2003CB314804(国家重点基础研究发展规划(973));the Key Project of Chinese Ministry of Education of China under Grant No.105084(教育部科学技术重点研究项目);the Jiangsu Provincial Key Laboratory of Network andInformation Security under Grant No.BM2003201(江苏省网络与信息安全重点实验室)

Reconstructing the Parameter for Massive Abnormal TCP Connections with Bloom Filter

Author:

Affiliation:

Fund Project:

摘要

图/表

访问统计

参考文献

相似文献

引证文献

资源附件

文章评论

摘要:

提出由TCP连接的唯一性导出的TCP数量平衡性测度及其经验范围可用于检测TCP连接的大规模异常,如DDoS、扫描等.使用带哈希增强算法的Bloom Filter Reproduction(BFR)方法对TCP连接大规模异常的参数进行快速再现,如IP地址、端口的分布等,使得在检测过程中无须维护TCP五元组的信息.实验结果表明,该方法能够以较少的资源占用和较高的准确性来揭示网络流量中混杂的多种异常现象.

Abstract:

The large scaled TCP abnormal behavior, such as DDoS, scanning etc., can be detected by some metrics and their experimental values derived by the uniqueness of TCP connections. An algorithm named Bloom Filter Reproduction (BFR) is proposed to reconstruct the original parameters in large scaled TCP abnormal behaviors pithily by enhanced simple hash functions. Without maintaining the TCP information of 96bits’ 5-tuple, the BFR algorithm can reconstruct the abnormal parameters such as IP address or their aggregation timely during the detection process. The experiments show that BFR can disclose several abnormal behaviors mixed in network traffic at the same time with high precision and low overhead.

参考文献

相似文献

引证文献

引用本文

龚俭,彭艳兵,杨望,刘卫江.基于Bloom Filter的大规模异常TCP连接参数再现方法.软件学报,2006,17(3):434-444

复制

文章指标

点击次数:
下载次数:
HTML阅读次数:
引用次数:

历史

收稿日期:2005-04-21
最后修改日期:2005-10-08
录用日期:
在线发布日期:
出版日期:

微信服务号

微信订阅号

引用本文

分享

文章指标

历史

文章二维码