基于BloomFilter的大规模异常TCP连接参数再现方法

被引：26

作者：

龚俭

彭艳兵

杨望

刘卫江

机构：

[1] 东南大学计算机科学与工程系

来源：

软件学报 | 2006年 / 03期

关键词：

大规模连接异常; 异常入侵检测; 参数恢复; BloomFilter; TCP;

D O I：

暂无

中图分类号：

TP393.08 [];

学科分类号：

0839 ; 1402 ;

摘要：

提出由TCP连接的唯一性导出的TCP数量平衡性测度及其经验范围可用于检测TCP连接的大规模异常,如DDoS、扫描等.使用带哈希增强算法的BloomFilterReproduction(BFR)方法对TCP连接大规模异常的参数进行快速再现,如IP地址、端口的分布等,使得在检测过程中无须维护TCP五元组的信息.实验结果表明,该方法能够以较少的资源占用和较高的准确性来揭示网络流量中混杂的多种异常现象.

引用

页码：434 / 444

页数：11

共 5 条

[1]

Using bloom filters to speed-up name lookup in distributed systems. Little MC,Speirs NA,Shrivastava SK. Computer Journal . 2002

[2]

Space/Time trade-offs in hash coding with allowable errors. Bloom B. Communications of the ACM . 1970

[3]

Partition search filter and its performance analysis. Chin-Chen C,Tian-Fu L,Jyh-Jong L. The Journal of Systems and Software . 1999

[4]

Outlier mining in large high-dimensional data sets. Angiulli F,Pizzuti C. IEEE Transactions on Knowledge and Data Engineering . 2005

[5]

Transmission control protocol,RFC793. Postel J. . 1981

← 1 →