超点是一个主机,它在测量周期内链接了至少给定数目的不同目的主机或源主机。随着网络的发展,网络入侵现象越来越严重,如端口扫描、分布式拒绝服务攻击、蠕虫病毒等。这些事件严重地影响了网络安全,甚至导致了网络瘫痪。这些攻击的特征是在短时间内源主机(宿主机)发送或接收来自大量不同宿主机(源主机)的数据包,检测超点可以识别出这些攻击。因此,识别超点对网络安全有重要作用。本文从超点的行为特征和检测算法两个方面进行研究。超点行为特征包括流量特征和端口特征两个方面。流量特征符合重尾分布规律,短流的数量远大于长流的数量；超点中连接使用的端口包括服务端口和攻击端口,并且使用服务端口的数量比较多,短流的端口的数量多于长流的端口的数量。为了提高超点检测算法的准确性,提出了基于计数器共享的超点检测算法(Detecting Superpoints based on Counter Sharing,简称DSCS算法),将计数器共享的思想应用到算法中,减少了内存消耗。该算法包括在线数据处理模块和离线数据处理模块两部分。在线数据处理模块负责存储相关的流信息。当报文到达时,首先判断该报文是否属于新流,如果属于新流,就将该报文分别存储到三个计数器数组中；如果不属于新流,则丢弃该报文。离线数据处理模块主要负责统计源主机的主机基数。如果估计的主机基数大于预设的阈值,则判定该源主机是超点。本文利用采集于不同网络的数据并选定不同的阈值进行实验。实验结果表明,本文提出的DSCS算法能够有效准确地识别出超点。