CN101834763B - 高速网络环境下多类型大流并行测量方法 - Google Patents
高速网络环境下多类型大流并行测量方法 Download PDFInfo
- Publication number
- CN101834763B CN101834763B CN2010102032738A CN201010203273A CN101834763B CN 101834763 B CN101834763 B CN 101834763B CN 2010102032738 A CN2010102032738 A CN 2010102032738A CN 201010203273 A CN201010203273 A CN 201010203273A CN 101834763 B CN101834763 B CN 101834763B
- Authority
- CN
- China
- Prior art keywords
- stream
- fine granularity
- lru
- ground floor
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种高速网络环境下多类型大流并行测量方法。其步骤为:1)在网络设备上设置端口镜像,使流经该设备的所有网络报文被复制发送到网络监控前置机;2)前置机采用TS-LRU算法,它采用1+n 的层次结构,每一层包含固定数量的存储单元;第1层用于保存细粒度流,当存储单元不够时用LRU策略选择一个细粒度流淘汰;其余n层保存需要测量的流类型,每一层保存一种类型的流,第一层淘汰下来的细粒度流会被分别归并到n层中相应的流中,当存储单元不够时,用LRU-Size策略选择并淘汰一个流;3)在每一个测量时间段结束时,TS-LRU向网络监控设备报告流经该节点的大流,以及其中包含的报文数量或字节数量。
Description
技术领域
本发明涉及一种高速网络环境下多类型大流并行测量方法。
背景技术
互联网技术的飞速发展,各种网络应用给我们的生活带来了极大的方便。随着人类对互联网的依赖程度日益增强,确保一个畅通而安全的网络环境显得尤为重要。然而,由大规模网络安全事件爆发造成的基础运营网络拥堵事件频繁发生,导致网络运行大范围地受到影响,信息系统难以正常对外服务,造成重大经济损失和社会影响。为了提供稳定的互联网服务,需要通过网络流量监测深入了解网络负载状况,及时发现和控制大规模网络安全事件的扩散。
早期的网络流量监测多是基于简单网络管理协议(SNMP)。SNMP具有开放性好、支持广泛、实现简单的特点,但这种方式无法得到网络层以上的流量指标,而且会增加网络设备负担。
目前主流的网络监测方式是Cisco 公司开发的NetFlow。网络设备中的NetFlow根据报文五元组<源地址, 目的地址, 源端口, 目的端口, 协议类型>的值把流量归并为流(flow-流,是指在某时间段内通过一个观测点的具有相同属性的一组报文的集合。依据应用需求的不同,flow 的定义模式也有所不同,例如可以把目的IP地址相同的报文聚合为一个流;也可以把源端口和协议类型相同的报文聚合为一个流),五元组的值相同的报文构成一个flow。Netflow会把结束的flow和超时的flow定期上报给监控设备。NetFlow数据信息更为丰富,能够更好适应网络实际需求。然而随着网络带宽的提高和用户的增多,主干链路单位时间内并发业务流的数量最高已经达到几十万甚至上百万,基于NetFlow的网络监测系统已经无法应对数量如此庞大的业务流信息。
虽然抽样策略能够有效缓解海量数据带来的压力,但抽样策略在抽样率和测量误差之间存在平衡关系,而且在小时间尺度下的测量误差较高。因此,当前主流的网络流量信息获取技术尚难以满足高速网络监测的需求,需要寻找新的途径。
近年来,大流(heavy hitter flow)的测量和分析成为网络流量研究的新方向。为了叙述清楚,首先给出两个简要定义:
流,是指在某时间段内通过一个观测点的具有相同属性的一组报文的集合;
大流 是指在一个测量时间段内传输的报文或字节数量超过一定数量(例如总数据量的0.1%)的流。
互联网研究领域对大流的关注始于2000年前后,多项研究结果表明,网络流量在不同的流聚合层次上均表现为重尾分布,即绝大部分流量集中在少量的大流中,这一现象被称为“Elephant and Mice”。2003年,Estan等人系统阐述了提取网络大流的意义,并指出了大流在网络流量监测中的重要应用价值。大流的测量和分析是解决当前高速网络监测困境的主要途径,其重要意义在于:(a). 针对大流的测量策略可以有效缓解系统处理能力和高速网络带宽之间的差距,大幅提高网络监测系统的流量信息获取能力;(b). DDoS(分布式拒绝服务攻击)、僵尸网络、蠕虫等资源消耗型攻击通常会表现为某种定义模式下的大流,通过对大流的测量和分析,可以及时发现和阻断大规模网络安全事件,避免造成灾难性后果。
大流的测量与分析是当前互联网测量领域的研究热点。在大流测量方面代表性的算法主要有:Estan等人提出的Sample&Hold算法和Multi-stage Filter算法、Kodialam等人提出的RATE系列算法、Zhang等人提出的基于Trie-Tree的Flow计数法以及国内东南大学周明中等人基于Flow的分布特征提出MGCBF算法等。这几种算法可以有效降低存储空间需求,提高测量效率,但与网络监测的需求存在一定差距:一方面,采用的抽样策略或多解析度策略不可避免地会引入较大误差,研究结果表明,抽样方法导致的偏差会明显影响攻击检测的准确性;另一方面,网络监测通常同时需要多个模式的大流信息,上述测量算法需要为测量不同模式的大流运行不同的算法实例,严重削弱了算法的可扩展性。
综合以上,设计一种能够在线准确识别多类型大流的方法是当前高速网络流量监测的迫切需求。
发明内容
本发明的目的就是为了解决上述问题,提供一种具有处理速度快,误差率低等优点的高速网络环境下多类型大流并行测量方法。
为实现上述目的,本发明采用如下技术方案:
一种高速网络环境下多类型大流并行测量方法,它的步骤为:
1)在路由器或交换机类网络设备上设置端口镜像,使流经该网络设备的所有网络报文被复制发送到网络监控前置机;
2)前置机采用TS-LRU算法,该算法采用1+n 的层次结构,每一层包含固定数量的存储单元;其中第一层用于保存细粒度流,其余的n层则保存需要测量的流类型,每一层保存一种类型的流;
2.1)当网络报文到达时,首先在第一层根据流定义字段的并集聚合为不同的细粒度流,每个细粒度流占用一个存储单元,当存储单元占满时,新到达的细粒度流用LRU替换算法替换一个旧的细粒度流;
2.2)替换下来的细粒度流同时归并到其余n层中,在n层中的处理方法一致;首先根据所在层的流定义字段集合查找相应的流,如果存在,则归并到该流中,如果不存在,则创建新的流;当数量有限的存储单元被占满时,则用LRU-Size 替换算法选择一个旧的流替换,丢弃被替换的流;
2.3)如果测量时间段尚未结束,则继续处理新的报文;否则,把第一层中的细粒度流全部归并到其它n层中相应的流;
3)在每一个测量时间段结束时,TS-LRU向网络监控设备报告流经该节点的大流,以及其中包含的报文数量或字节数量。
所述步骤2)中,细粒度流的定义字段集合是所要测量的多种流定义字段集合的并集,其典型定义为五元组集合,即:
<源地址, 目的地址, 源端口, 目的端口, 协议>。
所述步骤2)中,LRU-Size替换算法引入一个动态调整因子M,并为每一个流引入一个尺寸因子S,当有属于该流的细粒度流到达时,细粒度流中的报文数量累加到尺寸因子S;当流因长时间没有细粒度流到达而被LRU机制选中作为淘汰对象时,则检查S的值,如果S=0,则淘汰该流;如果S>0, 则S=S-M,继续检查链表中前一个流。其中动态调整因子M的值初始为1,当为了淘汰一个对象而检查的距离过长时,将其值增加1。
所述步骤2)TS-LRU算法具体的处理流程为:
(1)从网络接口捕获一个报文,提交给TS-LRU;
(2)把该报文加入第一层中的细粒度流,细粒度流为新建或已有的细粒度流,具体步骤为:
(2.1)根据细粒度流的定义,取报文相关字段,计算哈希(Hash)值;
(2.2)根据哈希值在第一层中定位细粒度流,如果存在对应的细粒度流,则更新相应的细粒度流,并将其移动到第一层的头部;如果不存在,则新建一个细粒度流,并将其加到第一层的头部;
(2.3)如果第一层的存储单元数量超过预先设的长度,则用LRU策略淘汰链表最后的细粒度流;
(3)如果有细粒度流从第一层被淘汰,则将其分别加入其他层,具体步骤为:
(3.1)根据流的定义,取相关字段,计算哈希值;
(3.2)根据哈希值在底一层中定位流,如果存在对应的流,则更新相应的流,并将其移动到第一层的头部;
(3.3)如果第一层中不存在相应的流,则从第一层的尾部开始检查流状态,用LRU-Size策略选择一个流淘汰,并把新的流放入腾空的存储单元;然后把所有检查过的单元一起移动到第一层的头部,并更新其中的流状态值;
(4)如果测量时间段还没结束,则转到步骤(1),处理新的报文;如果已经结束,则把第一层中的细粒度流分别归并到其他各层,向监控服务器报告测量结果,即保存在各层中的不同类型的流,最后清空1+n层中的所有存储单元,转到步骤(1),开始新的测量时间段。
本发明中,LRU (Least Recently Used):最近最久未用替换算法,计算机领域一种常用的缓存置换策略。
LRU-Size: 针对LRU用于测量大流所表现出的问题,提出的对LRU替换算法的改进,为每一个对象引入一个尺寸因子,在选择一个对象置换时,既考虑到对象的更新时间也考虑到对象的相对大小,只有长时间未更新且相对较小的对象才能被替换。
FGF(Fine Grain Flow):细粒度流,其定义字段集合是多类型流定义字段集合的并集。例如,如果我们需要测量两种模式的流,分别用字段集合<A,B>和<B,C>定义,则FGF用<A,B,C>定义。
L1: TS-LRU中的第一层链表,用于存储FGF,用LRU替换策略管理。
LS1~LSn:TS-LRU中的其它n层链表,分别用于存储不同类型的流,用LRU-Size替换策略管理。
本发明的优点为:
1. 当需要同时测量多种类型的大流时,处理速度快。
TS-LRU把网络报文先归并到FGF,等FGF被第一层淘汰时,再将其分别加入n种不同类型的flow中。这样避免了每一个报文单独加入不同类型的流,可以节省大量的处理时间。举例来说,假设我们共需要测量4种类型的流,某个流共有100个报文集中到达,如果用普通方法,则需要处理400次,而用TS-LRU,需要处理的次数是100+4=104。
网络流量已经被证实在不同层次上呈幂率分布,少量的大流占据了流量的绝大部分。FGF也可看作流的一种,而LRU 机制具有保留处于活跃状态的大FGF的功能, 所以大部分报文都在第一层中聚合为大的FGF后才进入其它n层,可以极大地降低处理负担。
实验结果表明,在同时测量多类型大流的情况下,TS-LRU的处理速度具有明显优势。
2. 测量误差率低
如前所述,网络流量在不同层次上呈幂率分布,少量的大流占据了流量的绝大部分,所以大流的报文到达密度明显大于一般的流。LRU-Size中的LRU策略可以充分利用这一特征,把大流保留下来。但大流的到达并非匀速,也有间歇性,单纯的LRU会导致部分大流被误淘汰。LRU-Size中的Size部分则考虑了淘汰候选对象的报文数量,如果一个流前期到达报文数量多,则可以免于该次淘汰。前期到达报文数量越多,流可以免于淘汰的次数越多。
附图说明
图1为TS-LRU 应用场景图;
图2为TS-LRU的总体结构;
图3 为TS-LRU总体处理流程;
图4 为把报文加入TS-LRU的L1层的方法;
图5 为把FGF分别加入TS-LRU的LS1~LSn层的方法。
其中,1.路由器,2.前置机,3.网络监控服务器,4.网络监控终端。
具体实施方式
下面结合附图与实施例对本发明做进一步说明。
为了在高速网络环境下同时识别、提取不同类型的大流,设计了TS-LRU(Two-Stage LRU,二阶LRU替换)方法。TS-LRU的应用场景如图1所示,在路由器1或交换机等网络设备上设置端口镜像,使流经该设备的所有网络报文被复制发送到网络监控前置机2。前置机2运行TS-LRU, TS-LRU把到达的报文归并为流。在每一个测量时间段结束时,TS-LRU能够向网络监控服务器3和网络监控终端4报告流经该节点的大流。
大流测量的困难主要在于高速存储空间的限制。高速网络线路单位时间内并发流的数量已近达到几十万甚至上百万,数量如此庞大的流只适合于存储在DRAM(Dynamic Random-Access Memory, 动态随机存储器)中,但DRAM的访问速度慢,难以满足高速网络的处理需求。SRAM(Static Random-Access Memory, 静态随机存储器)访问速度快,但空间有限,价格昂贵。如何在有限的空间内识别并保留大流,是一个比较困难的问题。
为了更全面、有效地了解网络运行状况,网络监控系统通常需要从多个角度来测量网络流量,即把同一报文归并到不同类型的流中,例如,一个监控系统典型地需要以下流定义类型:<源地址>、<目的地址>,<源端口,协议>,<目的端口,协议>等。每一种流定义各有用途,例如按<目的地址>归并流可以发现端口扫描行为,按<目的地址>归并则可以发现DDoS攻击。
但要同时测量多种定义类型的大流,通常情况下需要运行测量算法的多个实例,这样就会导致计算量和存储空间需求成倍增加,严重影响测量系统的测量能力和可扩展性。
利用网络流量分布特征,以LRU替换算法为基础,设计了TS-LRU(Two-Stage LRU)测量方法。TS-LRU是一个1+n 的层次结构,每一层包含固定数量的存储单元。其中第1层用于保存FGF,其余的n层则保存需要测量的流类型,每一层保存一种类型的流。TS-LRU的总体结构如图2所示。
当网络报文到达时,首先在第一层根据流定义字段的并集聚合为不同的FGF,每个FGF占用一个单元,当存储单元占满时,新到达的FGF用LRU (Least Recently Used, 最近最久未用)替换算法替换一个旧的FGF 。
替换下来的FGF同时归并到其余n层中,n层的处理方法一致:首先根据所在层的flow定义字段集合查找相应的流,如果存在,则归并到该流中,如果不存在,则创建新的流。当数量有限的存储单元被占满时,则用LRU-Size 替换算法选择一个旧的流替换,丢弃被替换的流。LRU-Size 替换算法是我们在传统LRU替换算法基础上的改进。单纯的LRU淘汰最长时间没有报文到达的流,这样会导致暂时处于低速期的大流被错误地淘汰。LRU-Size 替换算法引入一个动态调整因子M,并为每一个流引入一个尺寸因子S,当有属于该流的FGF到达时,FGF中的报文数量累加到尺寸因子S;当流因长时间没有FGF到达而被LRU机制选中作为淘汰对象时,则检查S的值,如果S=0,则淘汰该流;如果S>0, 则S=S-M,继续检查链表中前一个流。这样,已经有较多报文的流即使最近一段时间没有报文到达,也可以避免被淘汰,从而解决了误淘汰大流的问题。
在测量时间段的最后,把第一层中保留下来的FGF分别加入n层中相应的流中,并向网络监控服务器输出报文数量或字节数量超过阀值的流,即大流.
TS-LRU处理步骤(见流程图3):
1. 从网络接口捕获一个报文,提交给TS-LRU
2. 把该报文加入L1中的FGF (新建或已有的FGF),具体步骤(见流程图4)为:
2.1 根据FGF的定义,取报文相关字段,计算哈希(Hash)值;
2.2 根据哈希值在L1中定位FGF,如果存在对应的FGF,则更新相应的FGF,并将其移动到L1的头部;如果不存在,则新建一个FGF,并将其加到L1的头部;
2.3如果L1的存储单元数量超过预先设的的长度,则用LRU策略淘汰链表最后的FGF
3. 如果有FGF从L1被淘汰,则将其分别加入LS1~LSn,以加入LS1为例,具体步骤(见流程图5)为:
3.1根据流的定义,取相关字段,计算哈希值;
3.2根据哈希值在LS1中定位流,如果存在对应的流,则更新相应的流,并将其移动到L1的头部;;
3.3 如果LS1中不存在相应的流,则从LS1的尾部开始检查流状态,用LRU-Size策略选择一个流淘汰,并把新的流放入腾空的存储单元。然后把所有检查过的单元一起移动到LS1的头部,并更新其中的流状态值。
4. 如果测量时间段还没结束,则转到步骤1,处理新的报文;如果已经结束,则把L1中的FGF分别归并到LS1~LSn,向监控服务器报告测量结果,即保存在LS1~LSn中的不同类型的流,最后清空所有存储单元,转到步骤1,开始新的测量时间段。
Claims (3)
1.一种高速网络环境下多类型大流并行测量方法,其特征是,它的步骤为:
1)在路由器或交换机类网络设备上设置端口镜像,使流经该网络设备的所有网络报文被复制发送到网络监控前置机;
2)前置机采用TS-LRU算法,该算法采用1+n 的层次结构,每一层包含固定数量的存储单元;其中第一层用于保存细粒度流,其余的n层则保存需要测量的流类型,每一层保存一种类型的流;LRU-Size 替换算法引入一个动态调整因子M,并为每一个流引入一个尺寸因子S,当有属于该流的细粒度流到达时,细粒度流中的报文数量累加到尺寸因子S;当一个流因长时间没有细粒度流到达而被LRU机制选中作为淘汰对象时,则检查S的值,如果S=0,则淘汰该流;如果S>0,则S=S-M,继续检查链表中前一个流;其中动态调整因子M的值初始为1,当为了淘汰一个对象而检查的距离过长时,将其值增加1;
2.1)当网络报文到达时,首先在第一层聚合为不同的细粒度流,每个细粒度流占用一个存储单元,当存储单元被占满时,新到达的细粒度流用LRU替换算法替换一个旧的细粒度流;
2.2)替换下来的细粒度流被同时归并到其余n层中,n层中的处理方法相同:首先根据所在层的流定义字段集合查找相应的流,如果存在,则归并到该流中,如果不存在,则创建新的流;当数量有限的存储单元被占满时,则用LRU-Size 替换算法选择一个旧的流替换,丢弃被替换的流;
2.3)如果测量时间段未结束,则继续处理新的报文;否则,把第一层中的细粒度流全部归并到其它n层中相应的流;
3)在每一个测量时间段结束时,TS-LRU向网络监控设备报告流经该节点的大流,以及其中包含的报文数量或字节数量。
2.如权利要求1所述的高速网络环境下多类型大流并行测量方法,其特征是,所述步骤2)中,细粒度流的定义字段集合是所要测量的多种流定义字段集合的并集,典型情况下,细粒度流的定义字段为五元组集合,即:
<源地址, 目的地址, 源端口, 目的端口, 协议>。
3.如权利要求1所述的高速网络环境下多类型大流并行测量方法,其特征是,所述步骤2)TS-LRU算法具体的处理流程为:
a从网络接口捕获一个报文,提交给TS-LRU;
b把该报文加入第一层中的细粒度流,细粒度流为新建或已有的细粒度流,具体步骤为:
b1根据细粒度流的定义,取报文相关字段,计算哈希值;
b2根据哈希值在第一层中定位细粒度流,如果存在对应的细粒度流,则更新相应的细粒度流,并将其移动到第一层的头部;如果不存在,则新建一个细粒度流,并将其加到第一层的头部;
b3如果第一层的存储单元数量超过预先设的长度,则用LRU策略淘汰链表最后的细粒度流;
c如果有细粒度流从第一层被淘汰,则将其分别加入其他层,具体步骤为:
c1根据流的定义,取相关字段,计算哈希值;
c2根据哈希值在第一层中定位流,如果存在对应的流,则更新相应的流,并将其移动到第一层的头部;
c3如果第一层中不存在相应的流,则从第一层的尾部开始检查流状态,用LRU-Size策略选择一个流淘汰,并把新的流放入腾空的存储单元;然后把所有检查过的单元一起移动到第一层的头部,并更新其中的流状态值;
d如果测量时间段尚未结束,则转到步骤a,处理新的报文;如果已经结束,则把第一层中的细粒度流分别归并到其他各层,向网络监控设备报告测量结果,即保存在n层中的不同类型的流,最后清空1+n层的所有存储单元,转到步骤a,开始新的测量时间段。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010102032738A CN101834763B (zh) | 2010-06-25 | 2010-06-25 | 高速网络环境下多类型大流并行测量方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010102032738A CN101834763B (zh) | 2010-06-25 | 2010-06-25 | 高速网络环境下多类型大流并行测量方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101834763A CN101834763A (zh) | 2010-09-15 |
| CN101834763B true CN101834763B (zh) | 2011-11-09 |
Family
ID=42718699
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010102032738A Expired - Fee Related CN101834763B (zh) | 2010-06-25 | 2010-06-25 | 高速网络环境下多类型大流并行测量方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101834763B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104734905B (zh) * | 2013-12-24 | 2018-05-11 | 华为技术有限公司 | 检测数据流的方法及装置 |
| CN103888321B (zh) * | 2014-04-14 | 2017-05-24 | 中国人民解放军信息工程大学 | 一种数据流检测方法及多核处理设备 |
| CN104539549B (zh) * | 2014-12-30 | 2018-01-02 | 天津市锦标科技有限公司 | 一种基于高密度网络流量的数据报文处理方法 |
| CN110545217B (zh) * | 2019-08-30 | 2022-07-05 | 西南交通大学 | 一种事件驱动的细粒度tcp流量测量方法 |
| CN110572332B (zh) * | 2019-08-30 | 2022-08-26 | 西南交通大学 | 网络设备报文观测数据采集任务划分方法 |
| CN111200542B (zh) * | 2020-01-03 | 2022-04-05 | 国网山东省电力公司电力科学研究院 | 一种基于确定性替换策略的网络流量管理方法及系统 |
| CN112968814A (zh) * | 2021-03-08 | 2021-06-15 | 洪璐 | 一种物联网数据报文分发方法及设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1258723C (zh) * | 1999-06-30 | 2006-06-07 | 倾向探测公司 | 用于监控网络流量的方法和设备 |
| US7424489B1 (en) * | 2004-01-23 | 2008-09-09 | At&T Corp. | Methods and apparatus for space efficient adaptive detection of multidimensional hierarchical heavy hitters |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050131946A1 (en) * | 2003-04-09 | 2005-06-16 | Philip Korn | Method and apparatus for identifying hierarchical heavy hitters in a data stream |
-
2010
- 2010-06-25 CN CN2010102032738A patent/CN101834763B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1258723C (zh) * | 1999-06-30 | 2006-06-07 | 倾向探测公司 | 用于监控网络流量的方法和设备 |
| US7424489B1 (en) * | 2004-01-23 | 2008-09-09 | At&T Corp. | Methods and apparatus for space efficient adaptive detection of multidimensional hierarchical heavy hitters |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101834763A (zh) | 2010-09-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101834763B (zh) | 高速网络环境下多类型大流并行测量方法 | |
| CN109861881A (zh) | 一种基于三层Sketch架构的大象流检测方法 | |
| CN101267313A (zh) | 泛洪攻击检测方法及检测装置 | |
| JP2005295562A (ja) | 高速トラヒック測定および解析の方法論とプロトコル | |
| US9992081B2 (en) | Scalable generation of inter-autonomous system traffic relations | |
| Zadnik et al. | Evolution of cache replacement policies to track heavy-hitter flows | |
| CN111782700B (zh) | 基于双层结构的数据流频次估计方法、系统及介质 | |
| Zhang et al. | Identifying elephant flows in internet backbone traffic with bloom filters and LRU | |
| Canini et al. | Per flow packet sampling for high-speed network monitoring | |
| Zhang et al. | Identifying heavy hitters in high-speed network monitoring | |
| Huang et al. | ChainSketch: An efficient and accurate sketch for heavy flow detection | |
| Fan et al. | Pisketch: finding persistent and infrequent flows | |
| Wang et al. | FlexMon: A flexible and fine-grained traffic monitor for programmable networks | |
| Cheng et al. | Line speed accurate superspreader identification using dynamic error compensation | |
| Wang et al. | DAP-Sketch: An accurate and effective network measurement sketch with Deterministic Admission Policy | |
| Wang et al. | Virtual indexing based methods for estimating node connection degrees | |
| CN116055362A (zh) | 基于时间窗口的两级哈希-Sketch网络流量测量方法 | |
| Ye et al. | UA-Sketch: An Accurate Approach to Detect Heavy Flow based on Uninterrupted Arrival | |
| Li et al. | SteadySketch: Finding Steady Flows in Data Streams | |
| Wen et al. | Traffic identification algorithm based on improved LRU | |
| Lu et al. | A two-stage heavy hitter detection system based on cpu spikes at cloud-scale gateways | |
| Liu et al. | A hash-based algorithm for measuring cardinality distribution in network traffic | |
| Sun et al. | Hee-sketch: an efficient sketch for sliding-window frequency estimation over skewed data streams | |
| Zhao et al. | HBL-Sketch: A new three-tier sketch for accurate network measurement | |
| Zhu et al. | A Sketch Algorithm to Monitor High Packet Delay in Network Traffic |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20111109 Termination date: 20130625 |