高速网络活跃节点检测及其流量分类方法研究

活跃节点是具有大量报文、字节和流的对网络有较大影响的主机。用有限测量资源从海量网络信息中检测出这些节点，并对其流量类型进行分类，以降低网络测量和管理的复杂度，不仅是目前国内外研究的热点和难点问题，而且对提高网络服务质量、进行网络安全维护也具有重要意义。本课题将依托CERNET江苏省网构建实验环境，针对网络中活跃节点的报文数、字节及流数等多维数据属性以及具有多种应用类型的特点，研究提出网络活跃节点的自适应测量算法和分布式协同检测方法，克服以往检测方法仅考虑活跃节点的单维流量属性而造成重尾流或超点丢失的缺陷；并以此为基础，研究建立基于抽样数据分析的节点应用类型连接模式及多重分类模型，以期实现对活跃节点的多种应用类型流量的分类，并解决传统分类方法中未考虑抽样和丢包的问题。预期研究成果对IPv4和IPv6网络运行管理及维护将提供一定的理论基础和实践依据。

活跃节点检测可以降低网络流量测量和分类的复杂度，从而实现以较小的代价进行网络测量和管理。活跃节点是具有大量报文、字节和流等多维流量属性的主机。网络中很多安全事件和应用都体现为活跃节点的特性，如DDoS 攻击、蠕虫扫描、端口扫描等异常流量，P2P、热点Web 和FTP 等应用流量，这些流量对网络运行会产生重要影响，网络活跃节点检测及其流量分类方法不仅是国内外的研究热点，更是网络测量和分析中的主要难点。课题组以解决这些问题为目标，提出并建立网络活跃节点的实时检测和分类方法，实现对高速链路流量的测量和分析，为IPv4 和IPv6 网络的实时流量检测、应用分类提供重要的理论依据和技术支持。本课题依托CERNET 江苏省网构建实验环境，针对网络中活跃节点的报文数、字节及流数等多维数据结构属性以及具有多种应用类型的特点，研究提出网络活跃节点的动态误差补偿机制检测方法；并以此为基础，研究建立基于抽样数据分析的节点应用类型的连接模式及多重端口分类模型。具体研究：（1）研究网络活跃节点的检测方法；（2）研究网络活跃节点的流量分类方法。. 课题组在网络活跃节点的检测方法和流量分类方法上取得了重要成果。在活跃节点检测方法方面，提出了动态误差补偿机制的超点测量方法，通过误差补偿的方法控制的测量资源、提高测量精度以及具有实时性；提出了基于层次的流量活跃标识检测方法，从一种自顶向下分解流量的快速一维流量聚合；提出基于近似方法的抽样报文流数估计算法，将原始流量的流数估计分成未抽样的流数和已抽样的流数以提高估计效果。在活跃节点的流量分类方法方面，提出了流量活跃节点的端口角色分类方法，建立新的通信行为分类测度，从端口通信行为的宏观角度对端口进行分类；提出了基于峰值流量的网络行为分类特征及影响因子分析方法，以峰值流量表示在繁忙时间内的最大吞吐量，以反映网络流量的突发性。课题组还建立了一个活跃节点流量测量分类平台，将活跃节点检测和分类方法的研究成果应用在CERNET网络的管理中。. 本课题的研究成果在有限测量资源从海量网络信息中检测出活跃节点，并对其流量类型进行分类，以降低网络测量和管理的复杂度，对提高网络服务质量、进行网络安全维护具有重要意义。同时对IPv4 和IPv6 网络运行管理及维护也提供一定的理论基础和实践依据。