超点是在一个测量区间内链接了大量源IP(宿IP)的宿IP(源IP),实时超点检测对网络安全和管理具有重要意义。网络中的许多安全事件,如分布式拒绝服务攻击(DDoS)、蠕虫病毒、端口扫描等都具有类似的行为特征,这些攻击的共同特点是源IP(宿IP)发送或接收到大量来自不同宿IP(源IP)的链接,这些事件都属于超点检测问题。尽管已有一些超点检测的算法,但它们存在内存空间消耗较大或测量精度不高的问题。本文提出了一种新的检测超点的算法SuperpointTrap,它最根本的特点是内存消耗少,可以在速度快容量小的内存中运行(如SRAM)。它的有效性来自于一个新的存储数据的结构Cache。对于每个流,在Cache中只用一个比特位来记录它的信息,这个比特所在行位置由此流的源IP确定,列位置由此流的目的IP确定。当Cache中存储的流数目超过阈值时,判定该主机为超点,输出该主机的源IP,并清空它所在Cache中的信息,这样方便存储后到的报文,而且还节省了内存空间。为了进一步降低算法的错误否定率,本文还提出了两种改进算法：P-SuperpointTrap算法和BF-SuperpointTrap算法,并对以上三种算法进行了理论分析。本文对这三种算法采用不同数据源的Trace进行实验。实验结果表明,SuperpointTrap超点检测算法不仅节省了内存空间,还可以准确、高效地检测出超点的信息。而且通过与SuperpointTrap进行结果对比,两种改进的算法也可以进一步地降低算法的错误否定率。