[发明专利]一种基于二进制哈希表的活动IP主机数量统计方法

说明书

本发明公开了一种基于二进制哈希表的活动IP主机数量统计方法，属于网络安全监控领域，解决现有技术中主动探测方法和被动探测法的不足之处。本发明建立活动IP主机数量统计所需的数据结构，设置初始值，数据结构包括二进制哈希表、IP主机计数器，开始时间戳，时间周期；对网络流量进行分析，即对每个IP分组的源IP地址，用哈希函数进行运算，获得哈希值；在二进制哈希表中对哈希值进行更新操作，同时修改IP主机计数器；判断当前时间戳与开始时间戳的差值是否大于等于时间周期，如果大于或等于时间周期，输出IP主机计数器的值，再进行新一轮统计，否则循环分析网络流量并对活动IP主机进行计数。本发明用于对活动IP主机数量进行统计。

技术领域

一种基于二进制哈希表的活动IP主机数量统计方法，用于对网络流量中的活动IP主机数量进行统计，属于网络安全监控领域。

背景技术

随着Internet的不断发展，网络规模日益扩大，其承载的网络业务逐渐增多，网络安全已成为人们越来越关心的问题。以DDoS攻击为代表的网络攻击已经造成了多起安全事故，现有大量研究从网络通信流量分析入手开展网络安全检测，其中的一个重要基础能力，就是快速统计当前网络中正在活动的IP主机数量。

根据检索，目前的网络活动主机统计方法有以下几种：

1.专利“一种活动主机数量的检测方法及装置”(CN200610057572.9)提出一种基于流量分析的活动主机数量检测方法，包括在监测设备中设置监控表、根据流经所述监控设备的数据包更新所述监控表、以及根据所述监控表判断所述活动主机数量的步骤。该发明还提供了一种网络地址转换设备后活动主机数量的检测装置。该发明用于对各种网络设备后活动主机数量的统计。其主要思路为：在监控设备中设置监控表，记录所有新发现主机的信息，包括上线时间和下线时间，每个主机一条记录；针对每个数据包，从数据包中提取当前主机信息，包括当前主机开机时间、关机时间和端口号；将数据包中提取的当前主机信息中的开机时间与监控表中每个记录的开机时间进行依次对比，如果相等，则将当前主机的端口号添加到所述与当前主机有相同开机时间的结构中，否则新建立一个结构，记录当前主机信息；最后，根据监控表中每个结构的表项得出对应主机的活动区间，如果需要获得活动主机数量的时刻在该活动区间内，则该主机为活动主机，从而统计出活动主机数量(即在某个时刻T，如果需要判断某个主机H是否为该时刻的活动主机，则比较主机H的活动区间是否与T存在任何形式的重合，如果重合则判定H为T时刻的活动主机，以此完成对任意时刻的活动主机数量统计)。该方法主要根据主机开机时间来进行不同主机身份的识别，需要在监控表中为每个可能的活动主机保留一条记录，而且在每次更新监控表的过程中都需要对监控表进行遍历查找，在主机数量较多的情况下，监控表会占据大量内存空间，查找效率也会严重降低，导致统计结果不准确，甚至检测装置的内存耗尽。总体而言，该方法时间空间复杂度较高。

2.论文“网络活动主机扫描探讨”(《经营管理者》2009年11期)，提出一种基于主动扫描的活动主机探测方法，该方法使用winpcap等工具，向网络发送ARP、ICMP和TCP探测报文，通过分析接收到的ARP、ICMP应答报文来发现局域网和互联网主机，从而实现主机探测和数量统计。《一种活动主机的并行探测方法》(北京地区高校研究生学术交流会， 2006)也采用了类似的方法，使用ICMP ping、UDP ping等主动探测方法，通过发送探测报文实现活动主机探测。