本论文通过对TCP协议交互的过程分析,定义了评价TCP宏观平衡性的测度体系,这些测度集从TCP的连接建立、拆除和数据传输三个过程对TCP的宏观平衡性进行了刻画。通过分析几种典型的TCP宏观异常行为对测度的影响,证明了这些测度可以作为评价TCP宏观行为的有效工具。论文通过对TCP交互的长度分布模型和到达模型等的分析,得到了TCP宏观平衡性在不同时间粒度下的测量误差模型,发现时间粒度的选择与测量误差间近似符合对数线性关系,另外误差模型还与网络里TCP流的RTT分布和流内报文到达延时有关。对误差模型的理论分析、模拟、仿真表明,选择5-10min作为测量的时间粒度对于大多数测量的精度而言是可以接受的。根据上述测量误差模型,选择恰当的时间粒度,以TCP协议标准规定的超时上限作为正常TCP交互的RTT和流内报文到达延时的极限,可以得到各种TCP宏观平衡性测度的正常取值的极限,并以此可确定用于评价TCP宏观平衡性的测度及其正常/异常判断的阈值。论文针对交互的次数一般不大于2的短流情形,例如路由循环发生时TCP的工作状态,基于TCP的大规模扫描,DDoS攻击和蠕虫扩散等,定义了对应的短流模型来确定时间粒度和正常/异常判断的标准。给出的实例分析表明,TCP宏观平衡性能够从TCP连接建立到拆除的各个不同的阶段宏观地评价TCP的工作状态,并能检测TCP宏观异常行为的发生时间。论文通过对hash函数聚类特征的分析,给出了利用hash函数聚类后TCP宏观平衡性,发现对不同的TCP控制报文进行相同的聚类变换后,TCP宏观平衡性保持不变。特别地,在使用Bloom Filter对TCP五元组进行聚类后,不同TCP控制报文在相同hash函数的同一hash串的命中率之间也应该遵循TCP宏观平衡性,此即TCP宏观平衡性的聚类不变性。论文通过对Bloom Filter的误差分析,放宽hash函数对映射均匀性的要求,使得hash函数可以使用任意类型的映射。选择源串的部分比特位作为hash函数的过程让hash函数带有源串的语义特征;这种直接比特映射的hash函数(DBSM)由于其hash串的比特来自于源串的比特,从hash串逆向推导源串的过程很直观。在确定两个由不同hash函数产生的hash串来自于同一个源串后,这两个hash串可以组成更长的hash串,反映了源串更多的信息。利用DBSM在hash串间重复上面的过程,可得到源串的所有比特。