随着计算机互联网的蓬勃发展,网络攻击频繁发生,如蠕虫病毒、分布式拒绝服务攻击(DDoS)、端口扫描等。这些攻击事件在短时间内产生大量的网络链接,导致网络堵塞甚至瘫痪。如扫描式蠕虫在进行传播时,其被感染主机通常在短时间内向大量的其它主机发送报文。DDoS则是在短时间内大量不同的主机向同一被攻击主机发送报文。超点是在一段测量时间内链接了大量不同目的主机的源主机。因此,实时识别超点对于网络安全和管理有重要的意义。本文将Flajolet-Martin(FM) Sketch和IP地址捣碎技术应用于超点检测。FM Sketch是一随机化计数结构,而IP地址捣碎使用一个哈希函数将32位的IP地址映射到长度为32位的比特位串中,并且该哈希函数是可逆的。以此为基础提出了两种超点检测算法。第一种检测算法使用5个二维位数组和6个哈希函数,前四个哈希函数选取源IP字符串的部分比特位作为哈希值,根据哈希函数的映射特性,利用选择的哈希短串的重叠比特位还原出源IP字符串,不需要单独的空间存储源IP,减少了读取内存的次数。该算法分为在线报文处理模块和离线统计模块。在线报文处理模块使用哈希函数处理报文并更新位数组,离线统计模块重建源IP字符串,使用FM Sketch估计超点基数并输出超点信息。第二种超点检测算法在第一种算法的基础上加入IP地址捣碎技术,该算法的在线报文处理模块首先捣碎报文的源IP地址,离线统计模块使用捣碎技术将重建的源IP进行可逆变换。在实验中,使用从不同网络中收集到的报文Trace进行实验,使用错误否定率、错误肯定率作为评估标准,将本文的算法和相关的超点检测算法进行对比。实验结果表明,本文提出的算法能够更准确有效地检测出超点。