(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210631403.0 (22)申请日 2022.06.06 (71)申请人 西安电子科技大 学 地址 710071 陕西省西安市太白南路2号 (72)发明人 靖旭阳　闫峥　王普　 (74)专利代理 机构 西安智大知识产权代理事务 所 61215 专利代理师 贺建斌 (51)Int.Cl. H04L 9/40(2022.01) G06F 9/50(2006.01) (54)发明名称 一种用于网络安全监测的内存高效范围基 数测量方法 (57)摘要 一种用于网络安全监测的内存高效范围基 数测量方法， 通过聚合键消除重复基数信息来提 高范围基数估计精度， 利用自适应计数器通过网 络流分布情况动态调整内存使用， 实现内存的最 优分配， 满足资源受限场景中对网络的高效高精 度安全监测； 本发明解决了单主机基数累加带来 的误差问题， 同时解决了网络流中数据分布不均 衡的带来的内存冗余问题， 可以识别、 追踪网络 中的异常范围， 实现不同粒度的网络安全监测。 权利要求书3页 说明书7页 附图1页 CN 115085985 A 2022.09.20 CN 115085985 A 1.一种用于网络安全监测的内存高效范围基数测量方法， 其特征在于： 通过聚合键消 除重复基数信息来提高范围基数估计精度， 利用自适应计数器通过网络流分布情况动态调 整内存使用， 实现内存的最优分配， 满足资源受限场景中对网络的高效高精度安全监测。 2.根据权利要求1所述的一种用于网络安全监测的内存高效范围基数测量方法， 其特 征在于， 运 算功能包括： (1)函数f(k)的功能是聚合预定义范围内的键到 同一个桶中； 局部敏感哈希函数将原 始高维数据根据数据相似性映射到独立的桶中， 内存高效范围基数测量方法采用相似操作 将预定义范围内的键视为相似数据， 使用标量版本的局部敏感哈希函数实现键的聚合； 具 体是给定预先设定的测量范围r， 数据流的域 为D， 哈希函数为： 其中l＝D/r表示局部敏感哈希函数的分桶数， b～U(0， l)， 以上公式可知l/a个连续的 键都会被映射到一个桶中， 故a＝ l/r； (2)函数hi(f(k))(1≤j≤d )为d个相互独立的哈希函数， 为hi(f(k))＝(f(k)+ci)mod  w， 其中是ci集合(0， 1， ...， w ‑1)中的随机值， 数据经过处理即得到其在范围基数测 量算法 结构每一行的索引位置； (3)函数g(u)将元素编码为长度 为且每一位服从几何分布参数为1/2的二进制序列； 使 用Murmur3哈希函数来实现均匀的独立比特位分布， 此外， 函数ρx(g(v))将右侧的前x个比 特位进行截断并返回其十进制值。 3.根据权利要求2所述的一种用于网络安全监测的内存高效范围基数测量方法， 其特 征在于， 功能模块包括： 基数计数器SCij： 基数计数器采用位图结构记录范围基数信息并提供范围基数的近似 估计， 由位初始值为0的比特组成， 记作Bij[1]，…， Bij[m]； SCij的大小将根据网络流量的变 化进行自适应拓展来 提高基数估计的上限； 拥塞程度CDij： 它表示中位被置 “1”的比例， 大的代表着SCij中有着更多的元素， 即当前 单元格存储着大的基数信息； 拓展次数ETij： 它记录着SCij拓展的次数， 每一次的拓展都使得SCij的空间扩大为原来 的两倍； 异常范围地址IDij： IDij记录了单元格中的异常范围地址， 地址会根据UTij的值被概率 替换； 更新次数UTij： 记录了引发SCij更新的次数， 即比特位由0被设置为1； 由于哈希函数g均 匀的映射每 个待测量元 素， 因此具有多个不同元 素的异常范围会引起SCij多次更新。 4.根据权利要求3所述的一种用于网络安全监测的内存高效范围基数测量方法， 其特 征在于， 包括以下步骤： 1)网络流采集： 利用范围基数测量算法采集多个网络节点的网络流信息； 随着网络流 的动态变化， 范围基数测量 算法动态调整内存使用， 满足多节点 不同环境的最优内存使用； 2)网络流融合： 采集结束后， 利用范围基数测量算法的可融合性将各个节点的基数信 息融合， 以此来获得全网基数信息， 确保全方位的网络安全监测； 3)网络流分析： 利用范围基数测量算法的估计操作， 查询多范围基数信息， 通过比对基权　利　要　求　书 1/3 页 2 CN 115085985 A 2数信息与安全规则， 检测网络中的异常范围， 进行安全监测； 根据记录的异常范围实际地 址， 完成异常溯源， 采集相应的安全防御措施。 5.根据权利要求4所述的一种用于网络安全监测的内存高效范围基数测量方法， 其特 征在于： 所述的内存高效范围基数测量方法包含d*w个单元格， 第i行j列的单元格记为L(i， j)， 其中的取值范围分别是1≤i≤d和1≤j≤w。 6.根据权利要求4所述的一种用于网络安全监测的内存高效范围基数测量方法， 其特 征在于， 所述的步骤1)中网络流采集的具体过程 为： 初始化阶段， 范围基数测量结构中所有单元格为0； 当网络流＜k， v＞到达时， 首先使用 函数f(k)对k进行键聚合， 得到该网络流所在的范围； 其次， 计算函数hi(f(k))得到该网络 流在每一行i(1≤i≤ d)的单元格索引； 最后， 使用函数g( υ )得到v的二进制表示； 给定拥挤 度∈和位图长度m＝2c， 每个单元格的更新情况有以下两种可能： 情况一： 时， 无需任何操作； 情况二： 时， 首先设置 并且更新拥塞计数器 然后执行以下操作： 检查条件CDij＝∈是否成立； 如果成立， 则表示计数器SCij的空间已经被不同的元素填 充， 为了得到更大 的估计上限， 需要对执行计数器拓展操作； 位图的拓展过程如下， 首先将 原始的长度从 拓展为 ETij加1； 然后， 执行数据转移操作； 由于缺少每个位中 元素的具体哈希值， 无法精确的转移中的基数信息， 所以， 范围基数测量结构使用等概哈希 函数p(·)将行号随机地映射为0或者1； 如果p(i)＝1， 原始位图中每一位的信息将保存在 拓展前的位置， 即 否则， 原始位图中每一位的信息将移动到拓展后的序 列， 即 检查条件IDij＝f(k)是否成立； 若成立， 执行UTij+＝1； 否则， 以 的概率减少UTij， 其中b为预 先设置的常数； 如果U Tij变为0， 将IDij替换为并设置U Tij为1。 7.根据权利要求4所述的一种用于网络安全监测的内存高效范围基数测量方法， 其特 征在于， 所述的步骤2)中网络流融合的具体过程 为： 多个范围基数测量结构通过合并操作融合为一个范围基数测量结构结构， 给定一组具 有相同参数的范围基数测量结构， 记作 {LS1， ...， LSY}， 单元格L(i， j)的合并步骤如下： 基数计数器融合： 对多个范围基数测量结构的位图 进行逐桶的按位或操 作， 即为 其中符号 表示按位或； 需要注意的是， 在位图合并前首先 应该对不同单 元的位图长度进行规范化处 理； 拥塞程度计数器融合： CDij的值由最终合并的位图计算得到； 拓展次数计数器融合： Eij的值为 的最大值， 即 裁判计数器融合： Uij为 ID记录更新： IDij为有着最大 范围的地址 。 8.根据权利要求4所述的一种用于网络安全监测的内存高效范围基数测量方法， 其特 征在于， 所述的步骤3)中网络流估计的具体过程 为： 查询操作返回指定范围基数信息 的估计值， 假定数据域为D， 范围大小为 则数据流权　利　要　求　书 2/3 页 3 CN 115085985 A 3