1 绪论 1
1.1 本书的目的意义 1
1.2 本书内容 1
1.3 抽样方法 2
1.3.1 分组抽样 3
1.3.2 流抽样 4
1.4 数据流方法 5
1.4.1 熵估计 5
1.4.2 流量与流矩阵估计 6
1.4.3 连接度估计 7
1.4.4 数据结构 7
1.5 基于抽样与数据流方法的应用 12
1.5.1 大流识别 12
1.5.2 流长分布估计 14
1.5.3 异常检测 16
1.5.4 超点检测 18
1.6 讨论 18
1.6.1 主要问题 18
1.6.2 未来方向 19
1.7 本章小结 19
参考文献 20
2 基于报文抽样的流量统计推断方法 25
2.1 引言 25
2.1.1 基于报文抽样的报文数和字节数估计方法 25
2.1.2 基于报文抽样的流数估计方法 25
2.2 基于TCP序号的报文数及字节数估计 26
2.2.1 常规估计方法存在的问题 26
2.2.2 利用TCP序号估计 27
2.2.3 TCP序号估计问题分析 28
2.2.4 TCP序号估计程序修正 30
2.3 流的报文数及字节数估计算法 31
2.3.1 流的报文数估计算法 31
2.3.2 流的字节数估计算法 34
2.4 基于报文抽样的流数估计方法 35
2.4.1 流数统计相关研究 35
2.4.2 积分推断法 36
2.4.3 迭代算法 37
2.4.4 算法参数 39
2.5 实验结果分析 42
2.5.1 实验数据 42
2.5.2 报文数估计结果分析 43
2.5.3 字节数估计结果分析 45
2.5.4 流数估计算法之间的比较 47
2.5.5 性能对比 49
2.6 本章小结 49
参考文献 50
3 网络流量聚合方法 52
3.1 问题定义 52
3.1.1 概述 52
3.1.2 聚合点研究现状 53
3.1.3 概念定义 53
3.1.4 本章内容 55
3.2 一维流量聚合 56
3.2.1 简单一维聚合算法 56
3.2.2 简单聚合算法实验分析 57
3.2.3 快速一维聚合算法 59
3.2.4 一维流量聚合的扩展 64
3.3 多维流量聚合 69
3.3.1 算法难点 69
3.3.2 索引排序 70
3.3 3 计算多维聚合点流量 70
3.3.4 搜索空间裁剪 72
3.3.5 多维流量聚合算法 73
3.4 重聚合点压缩算法 75
3.4.1 压缩概念 75
3.4.2 一维压缩算法 76
3.4.3 多维压缩算法 78
3.5 实验分析 81
3.5.1 数据来源 81
3.5.2 一维算法性能分析 82
3.5.3 多维聚合算法性能分析 82
3.6 应用实例 86
3.6.1 基于Web的视频服务 86
3.6.2 优酷视频流量 87
3.6.3 土豆视频流量 89
3.6.4 数据对比 89
3.7 本章小结 90
参考文献 90
4 高速网络活跃节点检测与分类方法 92
4.1 问题定义 92
4.1.1 概述 92
4.1.2 活跃节点检测 92
4.1.3 活跃节点分类 93
4.1.4 背景技术 93
4.1.5 本章内容 96
4.2 活跃节点检测方法 97
4.2.1 算法概述 97
4.2.2 抽样过程 98
4.2.3 活跃节点判断方法 100
4.2.4 自适应调整过程 102
4.2.5 淘汰机制 104
4.2.6 新抽样参数的设置 105
4.2.7 算法空间分析 106
4.3 活跃节点分类方法 107
4.3.1 端口通信测度定义 107
4.3.2 异常端口通信模式 108
4.3.3 正常端口通信模式 109
4.4 基于通信模式的端口角色区间 111
4.4.1 端口通信差异性测度定义 111
4.4.2 端口角色区间划分 112
4.4.3 两类分布的EM算法 113
4.4.4 端口角色区间分类算法 115
4.5 实验结果分析 116
4.5.1 实验数据 116
4.5.2 检测算法准确性 117
4.5.3 端口聚类 119
4.5.4 时空性能 120
4.6 本章小结 120
参考文献 121
5 基于会话模式的网络流量分类方法 123
5.1 背景技术 123
5.1.1 流量识别的意义 123
5.1.2 基于端口号的识别方法 123
5.1.3 基于深度包检测技术的流量识别方法 124
5.1.4 基于流量统计特征的流量识别方法 125
5.1.6 基于地址关联的流量识别方法 126
5.1.7 基于传输层中主机交互特征的流量识别方法 127
5.1.8 本章内容 128
5.2 主机端口并发连接数的分析 128
5.2.1 并发连接数的定义 129
5.2.2 客户端和服务器间的并发连接数分布 129
5.2.3 识别方法 132
5.3 基于会话模式和并发连接数的流量识别技术 133
5.3.1 连接模式的定义 133
5.3.2 连接模式图的建立方法 134
5.3.3 连接模式图的常见分类 134
5.4 包含服务器间交互行为的会话模式图 136
5.4.1 Mail 136
5.4.2 Web 137
5.4.3 BT(μtorrent) 138
5.4.4 P2P(PPLive) 139
5.4.5 DNS 140
5.4.6 SSH/Telnet 140
5.4.7 FTP 141
5.4.8 QQ 142
5.5 特殊报文类型 144
5.5.1 空载荷报文 144
5.5.2 重发报文 145
5.6 基于端口的流统计特征的识别算法 147
5.6.1 端口的统计特征测度的选取 147
5.6.2 测度分界值的计算方法 148
5.6.3 会话模式分类 148
5.6.4 识别算法 151
5.7 方法测试 153
5.7.1 实验数据 153
5.7.2 测试准确性 153
5.7.3 测试识别能力 155
5.8 本章小结 155
参考文献 156
6 基于HTTP的网络应用分类方法 159
6.1 引言 159
6.1.1 HTTP的背景 159
6.1.2 研究意义 160
6.1.3 相关研究 161
6.1.4 现有工作的不足 162
6.1.5 本章内容 162
6.2 基于HTTP网络应用的特征 163
6.2.1 基于HTTP网络应用特征串的特点 163
6.2.2 特征串自动提取算法 165
6.2.3 会话内连接数特征分析 166
6.2.4 POST相关特征分析 170
6.2.5 测度的提取方法 171
6.3 实际数据分析 174
6.3.1 全报文数据 174
6.3.2 分类依据 175
6.3.3 使用的测度和分类算法 175
6.3.4 筛选特征串以提高精度 175
6.3.5 数据集大小对分类结果的影响 177
6.3.6 使用纯化特征串和大样本得到的结果 177
6.4 热门应用的统计分析 178
6.4.1 网络视频应用统计分析 178
6.4.2 微博应用统计分析 182
6.4.3 网络游戏使用统计分析 184
6.4.4 三种应用对比 186
6.5 本章小结 187
参考文献 187
7 基于TCP流的网络性能评估 189
7.1 研究背景 189
7.1.1 网络的精细化管理需求 189
7.1.2 研究目标 194
7.1.3 基本条件设定 195
7.2 网络路径延迟测度分析 199
7.2.1 报文RTT和路径拥塞状态关系 199
7.2.2 子网间延迟测度Path_RTT的定义 201
7.2.3 基于BDTRS的派生测度的定义与应用 203
7.2.4 分析实例 207
7.3 网络路径丢包测度分析 209
7.3.1 子网间网络路径丢包测度定义 211
7.3.2 丢包平台基本性质分析及其和TCP流丢包的关系 212
7.3.3 基于TCP平行流的Path_Loss估计 214
7.3.4 基于平行TCP流估计Path_Loss的算法验证 217
7.4 本章小结 219
参考文献 220
8 基于Google Earth的网络可视化 222
8.1 可视化概述 222
8.1.1 信息可视化 222
8.1.2 Google Earth 223
8.1.3 网络可视化现状 223
8.1.4 Google Earth的应用 229
8.1.5 本章内容 230
8.2 网络地理位置的可视化 232
8.2.1 数据组织 232
8.2.2 地址到经纬度 232
8.2.3 地标显示 233
7.2.4 连线显示 237
8.3 可视化整体的优化 239
8.3.1 Google Maps与Google Earth综合 239
8.3.2 多地标的可视方法 240
8.3.3 通过网段获取位置 242
8.4 网络状态的可视化 243
8.4.1 检测网络可达性 243
8.4.2 数据显示方法 244
8.5 可视化实例 247
8.5.1 网段地理位置显示 247
8.5.2 网络状态显示 249
8.5.3 校园网子网可视化 250
8.6 本章小结 252
参考文献 253