網(wǎng)絡傳輸層異常報文溯源方法研究.pdf

1、隨著網(wǎng)絡安全問題的日益突出，數(shù)字取證技術(shù)逐漸成為對網(wǎng)絡犯罪進行法律制裁的關(guān)鍵所在。由于網(wǎng)絡中約有90%的流量為TCP（Transfer Control Protocol）流，使得TCP 流的行為在很大程度上主導了網(wǎng)絡流量的變化。現(xiàn)有的TCP 流異常行為研究對攻擊類型、攻擊行為發(fā)起主機IP（Internet Protocol）地址等與網(wǎng)絡犯罪相關(guān)的數(shù)字證據(jù)關(guān)注較少，因此，探索出一種行之有效的TCP 異常報文溯源方法具有重要的理論意義和實用

2、價值。
　　 從報文數(shù)量關(guān)系和報文聚類的角度分別描述了幾種常見的TCP 流異常行為，包括掃描、拒絕服務攻擊，側(cè)重于描述每一類異常行為獨有的報文數(shù)量關(guān)系以及報文聚類特征，便于在異常報文溯源研究中通過這些獨有特征對異常行為進行有效區(qū)分和深入挖掘。提出了對標準Bloom Filter方法的一種改進——可逆的布魯姆過濾器RBF（Reversible Bloom Filter）方法，該方法以采用可逆哈希函數(shù)以及獨立哈希存儲空間的Bloom

3、 Filter 為基礎，結(jié)合網(wǎng)絡中活躍IP 地址分布的長尾特性，通過挖掘數(shù)據(jù)流中最活躍的五元組及其主要成分的聚類信息，使用少量的運算來完成對TCP 報文頭部信息的分析。
　　 在基于RBF的TCP 報文頭部信息分析的基礎上，闡述了TCP 異常報文溯源的基本方法并通過實驗進行了驗證。該方法通過報文在數(shù)量上的相關(guān)關(guān)系特征區(qū)分TCP流異常行為并判斷異常報文的類型，結(jié)合異常發(fā)生時間段內(nèi)異常報文的五元組及其主要成分的聚類信息綜合分析，成功