CN1744532A - 按流业务量的估计 - Google Patents
按流业务量的估计 Download PDFInfo
- Publication number
- CN1744532A CN1744532A CNA2005100760320A CN200510076032A CN1744532A CN 1744532 A CN1744532 A CN 1744532A CN A2005100760320 A CNA2005100760320 A CN A2005100760320A CN 200510076032 A CN200510076032 A CN 200510076032A CN 1744532 A CN1744532 A CN 1744532A
- Authority
- CN
- China
- Prior art keywords
- stream
- ratio
- sampling interval
- flow
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
估计由链路互连的节点网络中按流业务量的方法采样到达节点的业务量流。基于希望的精确等级导出采样间隔。在采样流中跟踪每个流的两行程发生数量。然后,两行程按流数量被用于产生对流业务量的估计。
Description
技术领域
本发明涉及通信网络中节点之间的数据传送,尤其涉及产生对通过网络的按流(per-flow)业务量的估计。
背景技术
分组网络中业务量的准确测量是业务量管理、计费、拒绝服务(DoS)检测、以及业务量工程的重要部分。网络中的业务量可以被分入网络流中,在按流的基础上执行业务量测量。根据应用的不同,网络流的定义也不同。例如,流的特征可能是IP分组首标中5元组(例如源/目的地端口/地址),或者是特定目的地(例如特征为目的地地址前缀的节点或网络),或者是源网络。对于病毒或恶意程序检测,流可能也被定义为包含特定恶意程序特征标记的分组。对于流的这种扩展定义,检查分组是否属于一个具体流对于网络资源来说是很昂贵的操作。因此,希望避免执行对每个分组的这个用于流速率测量的操作。
一种用于测量业务量的现有技术方法是采样到达节点的业务量(例如在节点的路由器处),维持在按流基础上到达的业务量计数,然后基于这个业务量到达计数估计按流的业务量。但是,对于大量的流,这个现有技术方法需要相当多的存储器和处理资源,以维持按流业务量到达计数。在一些情况下,在基干分组网络中可能出现多达0.5-1.0百万个流。由于按流业务量的测量在实时业务量管理、计费、以及网络安全中具有很多应用,所以应该有效地获得准确的按流速率信息,而不需为所有经过路由器或网络链路的流维持按流状态。
一些特别重要的测量应用是用于DoS、活动队列管理、以及病毒/恶意程序检测。对于DoS应用,向给定目的地的业务量流的突然增加可能表示DoS攻击的开始。可以使用估计来确定网络节点出的业务量反常,触发报警并启动对可疑流(业务量流)更详细的监控。对于活动队列管理,按流测量允许网络中排队公平性。隔离行为失常源的大的流减少它们对网络中其余流的影响,尤其是对于开环用户数据协议(UDP)源的无约束流或者在往返行程时间中表现很大非奇偶性的传输控制协议(TCP)。但是,不希望从行为失常的源中识别和跟踪相对很少的流,因为它可能需要也跟踪大量(几万到几十万)小的源。
对于病毒/恶意程序检测应用,分组有效负荷可能被视为流,以便检测网络中的病毒/恶意程序。具有相同有效负荷的多个分组可能表示病毒/恶意程序在网络上扩散的开始。共同的负荷,例如包含流行网址的那些,不应该触发警报,而应该识别具有相似但不相同有效负荷的多态恶意程序。测量具有相同或相似有效负荷的分组允许区别希望和不希望的分组有效负荷。
其他应用包括跟踪消耗过多存储器或处理资源的流(heavyhitter)。识别和跟踪这些重击手的一个方法采样具有假定概率密度的流的分组,并且,如果分组所属于的流还不在存储器中,那么将流添加到存储器中。从那点起,计数所有到达节点并属于这个流的分组。由于计数每个分组,所以被采样的流被保持在散列表中,并且,在每个分组到达时,分组流id被散列到散列表中,以便增加合适的计数器。因此,与随机采样相比,在每个分组到达时存在增加的处理,但是该方法相对容易实现,因为减小了存储器大小。
但是,用于流估计的现有技术中大多数方法仍然需要大的采样尺寸,具有相应的大存储器要求。另外,这样的处理可能需要很多处理资源和大量时间来完成。
发明内容
估计由链路互连的节点的网络中按流业务量的方法采样到达节点的业务量流。基于希望的精确级别得到采样间隔。在采样流中跟踪每个流的两行程(two-run)发生的数量。然后使用每个流的两行程数量来产生流的业务量估计。
根据本发明的示例性实施例,通过以下步骤提供网络节点中流的业务量的比例:(i)基于给定的精确级别产生采样间隔;(ii)在采样间隔期间测量每个流的大量行程;以及(iii)基于相应的行程数量产生每个流的流比例。
附图说明
根据以下详细的描述、权利要求书以及附图,将跟完整地了解本发明的其他方面、特征以及优点,其中:
图1表示按流估计的第一示例性实施例的流程图;
图2表示图1的按流估计的示例性实现;
图3表示根据按流估计的第二示例性实施例的分组流处理的流程图;以及
图4表示根据第二示例性实施例的按流估计的示例性实现。
具体实施方式
为了帮助理解本发明,介绍以下定义。本发明涉及通过测量网络流测量的业务量测量,该流是基于业务量测量应用而预定义的。流的组F出现在节点,例如路由器处。每个分组(也被称为到达)属于组F的一个流f(即f∈F)。到流f∈F的到达的速率被表示为a(f),并且到节点的总到达速率(单位为分组/秒)被表示为λ,其中λ=∑f∈Fa(f)。到属于流f∈F的节点的业务量的比例表示为p(f),其中p(f)=(a(f)/λ)。
根据本发明的示例性实施例,为每一个f∈F产生对a(f)的估计(f)。特别地,由于可能相对容易测量λ,所以为每个f∈F的p(f)确定估计
p(f)的值与到达的分组属于流f的概率相关,并且p(f)在执行估计的时间段(估计或采样周期)上可能相对固定。到达的分组属于给定流f的概率可能取决于所有其他分组到达概率。甚至如果到给定节点的到达是倚赖的(即,如果到达节点的下一个分组的流id取决于当前分组的流id),那么随机采样到达的流去除或减轻了这个依赖性。
例如,对采样的要求可能如下:在采样周期的结束点,给定任何流f,在 的误差 之内并且以大于99.99%的概率α确定p(f)。这个要求翻译为β=0.0001以及α=0.9999。N(a,b)表示平均值为a、方差为b的正态分布,而Zα表示单位正态分布的α百分点。如果α=99.99%,则Zα=4.0。
将所有流估计到希望的精确等级所需要的时间量是估计时间,也被称为采样间隔。对于这里所描述的实施例,根据希望的精确等级的采样数量给出估计时间,采样数量对于恒定的分组到达速率被直接翻译为时间量度。
根据第一示例性实施例,基于行程的业务量估计器(RATE:runs-based trafficc estimator)方法确定每个流所发送的业务量的比例。RATE方法只采样节点处到达的业务量的子集,但是选择这个子集,使得更频繁地采样发送业务量较大比例的流。利用两行程采样使能这样的选择采样。如果两个连续采样属于同一流f,则流f∈F被定义为具有两行程。由于以非常低的概率采样产生相对较少分组的流源,所以由两行程采样所检测到的流源的列表可能相对很小。因为这个列表很小,所以RATE的给定实现可能表示相对高的存储器效率。
RATE通过维持以下信息来检测和测量两行程。两行程(检测)寄存器(TRR)只保持一个流标识(流id),其典型地是最后所接收到的采样的流id。如果当前流的采样的流id与寄存器的内容(值)相同,那么检测到两行程。两行程计数表(以下描述)被更新,并且TRR的值被设置为零。如果当前采样的流id与TRR的值不同,那么TRR被设置为当前采样的流id。
两行程计数表(TCT)维持已经具有检测到的两行程的每个流的两行程数量的计数。当为特定流检测两行程时,并且如果该流已经被包括TCT中,那么对流的两行程计数加1。如果已经被检测到两行程的流没有被包括在TCT中,那么将其流id添加到TCT,并且将其计数初始化为1。
尽管这里针对两行程计数描述了实施例,但是实施例并不因此受到限制。本领域技术人员可能这里的技术扩展到更长的行程,例如N行程计数,N是大于2的正整数(例如3行程),或者例如不同采样组中的发生,例如三个连续采样中的两个发生。因此,如这里所使用的那样,术语行程包括所有这样的变体。
图1表示按流估计的RATE方法的第一示例性实施例的流程图。RATE方法通过以下方式估计由于流f的业务量的比例。步骤101中,假设希望的估计精确度为置信间隔(误差)参数β和概率α,RATE方法首先确定采样数量TR(上标“R”表示这是RATE方法所需要的间隔中采样数量)。步骤102中,在这个采样间隔期TR间,RATE方法测量每个流f∈F的两行程N2(f)的数量。步骤103中,由N2(f)估计由于每个流f的业务量的比例。
对于步骤101和103,以下用于标准正态分布的例子说明如何产生采样间隔以及如何由采样间隔期间的两行程数量估计业务量的比例。变量N2(f)是TR个采样中流f的两行程数量以及函数 于是,等式(2)为真:
并且,因此估计
如等式(3):
对于等式(2)和(3),p(f)的标准差σ(f)(或者,如果使用估计的比例
则是其估计
如等式(4):
如果α百分点置信间隔不应该比β宽,那么对于p(f)的所有值,σ(f)≤0.345。因此,置信间隔不大于等式(6)的量:
等式(6)的量被设定为小于β,并且为TR解不等式,以确定达到α百分点置信间隔小于β的目标的采样时间长度。最小采样时间Tmin R由等式(7)给出:
对于以下描述,对于作为流id i的函数的给定的变量“v”(例如p(i)或a(i)),符号vi也被使用,并等于v(i)。
图2表示图1的方法的示例性实现的框图。步骤201中,输入置信间隔被定义为输入置信间隔宽度β以及误差概率α。步骤202中,计算采样间隔TR,例如由等式(7)给出,并且T设为零,其中T是接收到的采样的总数的计数器。步骤203中,两行程计数表TCT被初始化为空集,并且两行程寄存器TRR被初始化为零。
步骤204中,为每个到达开始叠代过程。步骤204中,检索当前到达的流id i,并且增加T。步骤205中,测试确定流id i是否等于TRR的值。如果步骤205的测试确定流id i等于TRR的值,那么,步骤206中,TRR被置零。
步骤207中,测试确定i是否是TCT的单元(即,流id i当前是否是两行程计数表TCT中的条目)。如果步骤207的测试确定流id i不是TCT的单元,那么,在步骤208中,将流id i添加到TCT。如果步骤207的测试确定流id i是TCT的单元,那么方法前进到步骤209。步骤209中,对流id i的TCT中计数值加1。方法从步骤209前进到步骤211。
如果步骤205的测试确定流id i不等于TRR的值,那么在步骤210中,TRR的值被设定为当前流id i。方法从步骤210前进到步骤211。步骤211中,方法测试是否已经达到采样间隔TR。如果步骤211的测试确定还没有达到采样间隔TR,那么方法返回到步骤204,用于下一个到达。
如果步骤211的测试确定已经达到采样间隔TR,那么在步骤212中,为每个i,方法计算到节点的流id i的业务量的比例pi的估计
对于示例性正态分布,在步骤212中,方法根据等式(3)计算估计
在步骤213中,对于每个i,方法计算到节点的流idi的业务量标准差σi的估计
对于示例性正态分布,在步骤213中,方法根据等式(4)计算估计
在步骤214中,对于每个i,方法为流idi计算置信间隔。对于示例性正态分布,在步骤214中,方法根据等式(5)计算流id i的置信间隔。
根据第二示例性实施例,按流业务量估计方法,也被称为加速RATE(ACCEL-RATE)均匀地将到来的流散列到k个子流或存储段(bucket)中,并且维持分配给每个存储段的每个流id的两行程计数。这样的ACCEL-RATE方法可能通过根据例如仿真或实验适当选择k值来减少RATE方法的估计时间。图3表示根据ACCEL-RATE方法的分组流处理的框图。
如图3所示,用于ACCEL-RATE方法的分组流处理包括散列模块301,其对到来的业务量流施加散列函数。对到来的业务量流施加散列函数,通过为子流分配流id,将业务量分为k个子流,302(1)到302(k)。子流302(1)到302(k)的每一个具有相应的两行程寄存器TRR 303(j),1≤j≤k,其以与以上为RATE方法描述的相似的方式工作。两行程计数表(TCT)304维持每个流id的检测到的两行程事件的计数。
将到来的业务量流分割提供了以下优点。与子流相关的每个流构成总子流业务量的较大片段,并且,因此获得两行程的概率比RATE方法的原始未分割的到来的业务量流中更高。
首先散列到来的流的流id(或病毒/恶意程序检测的可能有效负荷)。组F是可能的流的组,分组具有流idf,其中f∈F,并且h(f)表示将流id“f”映射到组{1,2,...,k}中的散列函数(即,散列函数h(f)发送具有流idf的分组到子流(h(f)))。由TA给出达到希望的精确级别的、采样周期上分组数量,其中上标“A”表示ACCEL-RATE方法。在这个采样间隔TA期间,散列函数为子流j分配T[j]个分组。因此,
穿过子流j的总业务量与业务量总量的比r[j]由等式(8)给出:
变量φ(f)表示属于流f的子流(h(f))中业务量的片段。因此,到达节点的流f的业务量的比例p(f)由等式(9)给出:
以与以上为RATE方法描述的相似的方式,所导出和估计的比例、所导出和估计的用于比例的方差、以及所估计的流f的业务量的比例的置信间隔如下。利用关系
以及N2(f)是T[h(f)]分组中流f的两行程数量,于是等式(10)为真:
对于等式(9)和(10),在等式(12)中给出p(f)的方差δ(f):
点估计的α百分点置信间隔计算如下:如果Zα表示标准正态分布N[0,δ]的α百分点,则等式(14)中给出了p(f)估计的α百分点置信间隔:
与RATE不同,动态地确定ACCEL-RATE方法的估计时间(作为采样间隔、采样大小、以及采样周期)。对于由等式(14)的α百分点置信间隔给出的示例性正态分布,如果α百分点置信间隔不应该大于β,则
并且意味着等式(15):
其对于与被散列到哪个子流无关的任何流f为真。如等式(16)定义rmax,
rmax=max1≤j≤kr[h(f)=j],j=1,2,...,k (16)则等式(15)可以变形为等式(17):
如果散列函数是均匀的,那么rmax=(1/k),并且等式(17)可以变形为等式(18):
其中
因此,保持α和β的最小采样间隔TR得到TA=TRrmax。由于采样间隔取决于rmax,所以由ACCEL-RATE方法动态地跟踪rmax。但是,可选实施例可以跟踪接收表示为Tmxax的最多业务量的子流,其中rmax=(Tmax/T),并且T是处理的分组总量。ACCEL-RATE方法跟踪被散列到第j个子流的分组数量T[j],1≤j≤k。ACCEL-RATE方法将这个变量Tmax初始化为0,每次分组被散列到第i个子流时增加T[j],比较T[j]与Tmax,并且,如果T[j]大于Tmax,则增加Tmax。于是,计算出量 并且如果T大于这个量,则采样间隔完成。
图4表示根据ACCEL-RATE方法的按流估计的示例性实施方式。步骤401中,两行程计数表TCT的条目以及两行程寄存器TRR[j],1≤j≤k,被设置为空。用于i)到子流j的到达数量T[j]、ii)处理的分组总量T、以及iii)发送到任何单一子流的分组的最大数量Tmax被初始化为0。
步骤402中,检查当前到达的流id f,并且对T加1。步骤403中,对f应用散列函数,以得到子流数量h(f)。步骤404中,对值T[h(f)]加1。步骤405中,测试确定T[h(f)]是否大于Tmax。如果步骤405的测试确定T[h(f)]大于Tmax,则在步骤406中,对Tmax加1,并且方法前进到步骤407。如果步骤405的测试确定T[h(f)]不大于Tmax,则方法直接前进到步骤407。
步骤407中,测试比较当前分组的流idf与存储在TRR[h(f)]中的值。如果步骤407的测试确定当前分组的流idf等于存储在TRR[h(f)]中的值,那么在步骤408中,TRR[h(f)]被设置为空。在步骤409中,测试确定流idf是否是TCC的单元。如果步骤409的测试确定流idf不是TCT的单元,那么在步骤410中,流idf被添加到TCT,并且初始化相应的计数器(N2(f))。步骤411中,增加相应的计数器(N2(f))。如果步骤409的测试确定流idf是TCT的单元,则在步骤411中,对TCT中相应的计数器(N2(f))加1。方法从步骤411前进到步骤413。
如果步骤407的测试确定当前分组的流idf不等于TRR[h(f)]中的值,则在步骤412中,TRR[h(f)]被设置为流idf。方法从步骤412前进到步骤413。
步骤415中,方法为每个子流计算r[h(f)]=T[h(f)]/T。步骤416中,方法为每个流f计算流f业务量的估计比例
的估计的方差以及用于估计的置信间隔。对于一些实施例,方法可以在步骤416使用等式(11)、(13)、以及(14)的关系。
根据一个或多个实施例的按流业务量估计可以提供以下优点。在节点处估计流业务量的比例允许相对快的估计时间,而没有相对大的存储器要求。另外,可以跟踪业务量中快速瞬态增加,允许增强的病毒/恶意程序检测或排队公平性的业务量工程干涉以及隔离行为失常的流。
本发明可以在处理器中,例如网络控制器、陆游器、或计算机中实现,并且处理器可以耦合到网络或网络数据库,以接收这里所描述的方法所使用的网络信息。另外,本发明可以用于有线、无线、光学、或非光学网络,并且可以用于同步或异步网络。
如本领域技术人员所明白的那样,按流业务量估计的不同功能可以用电路单元,或者也可以在数字域中作为软件程序中的处理步骤被实现。这样的软件可以被用在例如数字信号处理器、微控制器、或通用计算机中。因此,按流业务量估计器的不同功能可以作为处理器的不同模块、用以任意多现有技术中的实施方式实现的每个模块来实现。
本发明可以以方法和实现那些方法的装置的形式实现。本发明也可以以在有形介质,例如软盘、CD-ROM、硬盘驱动器、或任何其他机器可度存储介质中实现的程序代码的形式实现,其中当程序代码被加载到机器,例如计算机中并由机器执行时,机器成为实现本发明的装置。本发明也可以以例如存储在存储介质中、装载到机器中并/或由机器执行、或在某种传输介质上,例如在电线或电缆上、通过光纤、或经由电磁辐射传输程序代码的形式实现,其中当程序被加载到机器,例如计算机中并由机器执行时,机器成为实现本发明的装置。当在通用处理器上实现时,程序代码段与处理器结合,以提供与特定逻辑电路类似工作的独特设备。
将进一步理解的是,本领域技术人员可以对为了解释本发明的本质而描述和说明的细节、材料、以及部件组织进行多种改变,而不会背离权利要求书所表达的本发明的原理和范围。
Claims (10)
1、一种在网络节点中生成流的业务量的比例的方法,所述方法包括以下步骤:
(a)基于给定的精确等级生成采样间隔;
(b)在所述采样间隔期间测量每个流的多个行程;以及
(c)基于相应的行程数量产生每个流的流比例。
2、根据权利要求1的方法,还包括步骤:产生每个流比例的方差。
3、根据权利要求2的方法,其中产生每个流f的每个比例p(f)的方差σ(f)的步骤具体如下:
4、根据权利要求1的方法,还包括步骤:产生每个流的置信间隔。
5、根据权利要求1的方法,其中步骤(c)产生每个流f的每个比例p(f)如下:
其中TR是采样间隔,而N2(f)是流f的行程数量。
6、根据权利要求1的方法,其中对于步骤(b),行程数量是多个N行程,其中N是大于1的正整数。
7、根据权利要求6的方法,其中N是2。
8、根据权利要求1的方法,其中在节点的网络控制器的处理器中实现本方法。
9、一种具有至少一个节点的互连节点网络,包括处理器,用于在网络节点中产生流的业务量的比例,所述处理器包括:
第一处理模块,用于基于给定精确等级产生采样间隔;
第二处理模块,用于在所述采样间隔期间测量每个流的行程;以及
第三处理模块,用于基于相应的行程数量,产生每个流的流比例。
10、一种计算机可读介质,具有存储在其上的多个指令,所述多个指令包括在由处理器执行时使所述处理器实现在网络节点中产生流的业务量的比例的方法,所述方法包括以下步骤:
(a)基于给定的精确等级产生采样间隔;
(b)在所述采样间隔期间测量每个流的多个行程;以及
(c)基于对应的行程数量产生每个流的流比例。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US57727904P | 2004-06-04 | 2004-06-04 | |
US60/577,279 | 2004-06-04 | ||
US10/947,070 | 2004-09-22 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN1744532A true CN1744532A (zh) | 2006-03-08 |
Family
ID=35581674
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2005100760320A Pending CN1744532A (zh) | 2004-06-04 | 2005-06-03 | 按流业务量的估计 |
CNA2005100755534A Pending CN1708013A (zh) | 2004-06-04 | 2005-06-03 | 加速进行的每一个流的业务量估算 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2005100755534A Pending CN1708013A (zh) | 2004-06-04 | 2005-06-03 | 加速进行的每一个流的业务量估算 |
Country Status (1)
Country | Link |
---|---|
CN (2) | CN1744532A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100466622C (zh) * | 2006-07-21 | 2009-03-04 | 华为技术有限公司 | 一种网络上随机包间隔采样的方法和系统 |
WO2010088861A1 (en) * | 2009-02-06 | 2010-08-12 | The Chinese University Of Hong Kong | System and method for catching top hosts |
CN109997335A (zh) * | 2016-10-20 | 2019-07-09 | 意大利电信股份公司 | 分组交换通信网络中的性能测量 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103929492B (zh) | 2014-04-28 | 2017-08-29 | 华为技术有限公司 | 业务链负载均衡方法及其装置、系统 |
-
2005
- 2005-06-03 CN CNA2005100760320A patent/CN1744532A/zh active Pending
- 2005-06-03 CN CNA2005100755534A patent/CN1708013A/zh active Pending
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100466622C (zh) * | 2006-07-21 | 2009-03-04 | 华为技术有限公司 | 一种网络上随机包间隔采样的方法和系统 |
WO2010088861A1 (en) * | 2009-02-06 | 2010-08-12 | The Chinese University Of Hong Kong | System and method for catching top hosts |
CN102308554A (zh) * | 2009-02-06 | 2012-01-04 | 香港中文大学 | 捕获具有最大数量小流的主机的系统和方法 |
CN102308554B (zh) * | 2009-02-06 | 2014-03-12 | 香港中文大学 | 捕获具有最大数量小流的主机的系统和方法 |
US9112771B2 (en) | 2009-02-06 | 2015-08-18 | The Chinese University Of Hong Kong | System and method for catching top hosts |
CN109997335A (zh) * | 2016-10-20 | 2019-07-09 | 意大利电信股份公司 | 分组交换通信网络中的性能测量 |
CN109997335B (zh) * | 2016-10-20 | 2022-10-18 | 意大利电信股份公司 | 分组交换通信网络中的性能测量 |
Also Published As
Publication number | Publication date |
---|---|
CN1708013A (zh) | 2005-12-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2021227322A1 (zh) | 一种SDN环境DDoS攻击检测防御方法 | |
US8345575B2 (en) | Traffic analysis apparatus and analysis method | |
JP2005348415A (ja) | 加速されたフロー単位トラフィック推定 | |
JP2005348416A (ja) | フロー単位のトラフィック推定 | |
WO2019024623A1 (zh) | 一种流量测量方法、设备及系统 | |
WO2011119436A1 (en) | Adaptive distinct counting for network-traffic monitoring and other applications | |
WO2000052904A1 (en) | A high performance network interface | |
CN1941716A (zh) | 应用流量统计方法及装置和应用流量统计系统 | |
US20100161791A1 (en) | System and method for sampling network traffic | |
Xu et al. | ELDA: Towards efficient and lightweight detection of cache pollution attacks in NDN | |
CN1881943A (zh) | 用于区分包丢失类型的方法和设备 | |
CN1744532A (zh) | 按流业务量的估计 | |
US20070211635A1 (en) | Method and apparatus for coincidence counting for estimating flow statistics | |
Zhang et al. | Identifying heavy hitters in high-speed network monitoring | |
CN101388848A (zh) | 网络处理器结合通用处理器的流量识别方法 | |
KR100608541B1 (ko) | 샘플링과 시그너쳐 검색 기능을 구비한 인터넷 프로토콜패킷 수집 장치 및 그 방법 | |
Singhal et al. | State of the art review of network traffic classification based on machine learning approach | |
Zhang et al. | Identifying high-rate flows based on bayesian single sampling | |
Matsumoto et al. | Adaptive Bloom filter: A space-efficient counting algorithm for unpredictable network traffic | |
CN1968135A (zh) | 流量分发系统和方法 | |
Qian et al. | ReFeR: Resource critical flow monitoring in software-defined networks | |
CN110620785B (zh) | 一种基于报文标记数据流的并行检测方法、系统及存储介质 | |
CN112511449B (zh) | 一种报文流乱序检测方法、报文处理方法及装置 | |
CN113360532A (zh) | 基于略图结构的网络流基数在线实时估算方法 | |
CN112165492B (zh) | 基于排队论的分布式入侵检测系统成本优化方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |