[发明专利]综合报文和流的二维网络活跃节点测量方法

说明书

技术领域

本发明涉及网络测量技术领域，特别是一种综合报文和流的二维网络活跃节点测量方法。

背景技术

活跃节点是指IP所产生的报文数或流数量超过阀值的源IP地址或宿IP地址。但是目前的活跃节点检测的方法只能按照报文数指标检测出活跃节点，或者按照流数指标检测出活跃节点，没有同时检测出以报文数为指标的活跃节点和流数为指标的活跃节点。本发明提出一种同时可以检测出报文数的活跃节点和流数的活跃节点。

高速网络流量检测和分析以及相应行为的研究能够给网络管理者提供当前网络的性能、负载以及潜在故障等关键性的管理信息。随着网络应用的不断丰富和网络速率的不断提高,网络管理者对于网络流量和行为监控等方面的需求变得日益突出。而网络带宽的增长和网络应用的丰富，使得研究者们针对网络中所有节点的全方位检测和管理已经变得不再可能。而在研究者们以往对网络流量进行的分析和研究中发现，少量的主机在网络中建立了大量的通信连接数，同时发送了占大部分网络总流量的报文数据。因此，通过分析研究这些特殊的主机，就能抓住网络中发生的重要事件和相关的网络状况信息，可以较好的实现对整个网络的管理和研究。一般将具有大量报文、字节和流等多维流量属性的主机节点称为活跃节点。

基于活跃节点的网络测量和行为研究在很多方面提高了以往研究方法的不足。活跃节点在网络主机节点中的数量很少，极大的减少了研究者们需要关注的信息量。同时，这些活跃节点的属性所包含的内容与信息却很丰富：与其相关的流记录数反映了用户对其的关注度，而报文和字节反映了用户对其的需求。通过分析这些信息，可以得到网络中用户的网络行为习惯特征以及网络内容的分布等情况。

对于活跃节点的的分析与研究，一般都是基于主机节点的某个单维属性来进行的，比较常用的有如下两种：

(1)报文数的活跃节点测量方法，基于主机节点的报文数属性；

(2)网络流数的活跃节点测量方法，基于主机节点的网络流数属性。

由于现在的网络流量较为复杂，应用类型十分丰富，当前网络中的主机节点的流数、报文数等属性的分布差异很大。如果只选择主机节点的某个单维属性进行判断和分析，而完全忽略主机节点的其他属性产生的作用，就会导致测量结果的没有代表性，无法解决需要综合网络安全分析的问题。本发明针对报文数和网络流流数的测量方法综合考虑主机节点多维属性共同作用的问题，提出了基于主机节点二维属性的测量方法以解决该问题。

哈希函数就是把任意长度的输入，通过散列算法，变换成固定长度的输出，该输出就是散列值或哈希值。这种转换是一种压缩映射，也就是，哈希值的空间通常远小于输入的空间，不同的输入可能会哈希成相同的输出，而不可能从哈希值来唯一的确定输入值。简单的说就哈希函数是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。MD5(RFC1321)是Rivest于1991年对MD4的改进版本，MD是MessageDigest的缩写，它适用在32位字长的处理器上用高速软件实现，是基于32位操作数的位操作来实现的，MD5输入是512位分组，其输出是4个32位字的级联。

发明内容

本发明提供一种综合报文和流的二维网络活跃节点测量方法。

本发明采用如下技术方案：

一种综合报文和流的二维网络活跃节点测量方法，其特征在于：

步骤一、设置网络流，所述的每个网络流由具有相同源IP地址、宿IP地址、源端口、宿端口的报文集合构成，设置一个大小为2^N的比特向量B，N为大于1的正整数，比特向量B中的所有2^N比特的初始值设置为0，设置一个IP地址集合I，IP地址集合I的初始设置为空，IP地址集合I中每个元素由IP地址、流数、报文数的结构体构成，设置网络流流数fn，报文数pn，初始值fn和pn分别设置为0，设置网络流抽样率为fs，fs取值范围为大于0同时小于等于1，设置报文抽样率为ps，ps取值范围为大于0同时小于等于1，设置网络节点的属性阈值取值率为H，H取值范围大于0同时小于等于1之间取值，设置测量时长为T，T为正整数，设置测量器开始检测时间为T0，进入步骤二；

步骤二、当一个报文到达测量器，测量器测量当前报文的到达时戳，测量器从报文头中提取源IP地址，宿IP地址，源端口，宿端口，协议号，如果所测量报文不是TCP报文，则进入步骤五，否则进入步骤三；