超点是指在一个测量周期内基数超过指定阈值的源主机或目的主机,它反映网络中端到端应用的问题,是评价网络性能的一个非常重要的指标。随着互联网的发展,网络入侵事件也频繁发生,日常生活中,比较常见的网络入侵就有蠕虫病毒、垃圾邮件的传播、僵尸网络、分布式拒绝服务攻击等等。这几种攻击存在一个共同的特点,它们会在短时间内向目的主机(源主机)发送(接收)大量的数据报,检测这些攻击属于超点检测的一种。因此,超点检测对于网络安全有着非常重要的意义。本文在总结分析现有超点检测算法的优缺点的基础上,提出了基于bit位共享的超点检测算法,使用共享的bit位数组存储网络流信息,减少测量算法的内存消耗。该算法包括两个测量模块：在线测量过程和离线统计过程。为了提高超点检测的准确度,在线测量过程使用3个共享的bit位数组存储源主机链接的目的信息,当一个报文到达时,首先判读该报文是否属于一个新流,如果是则对其进行映射,如果不是则将其抛弃不做任何处理；离线统计过程参照在线统计过程中三个bit位数组记录的网络报文信息,对数组中各个源主机的基数进行估计,然后将基数值大于阈值的主机判定为超点。为了更好地掌握超点的特征,研究其对网络异常造成的影响。本文根据超点链接的不同目的IP数目和不同端口数目的比值,将超点大致分为三类：水平扫描超点定义为不同目的IP数远大于不同端口数的超点；垂直扫描超点定义为不同目的IP数远小于不同端口数的超点；块扫描型超点是水平扫描型超点和垂直扫描型超点的结合。利用基于bit位共享的超点检测算法,针对不同类型的超点进行检测,研究各类型超点的特征,分析不同类型超点与网络异常的关系。最后使用不同地区采集到的真实的网络Trace进行实验,实验结果表明了该超点检测算法的准确性。