網(wǎng)絡(luò)傳輸層異常報(bào)文溯源方法研究.pdf

1、隨著網(wǎng)絡(luò)安全問題的日益突出，數(shù)字取證技術(shù)逐漸成為對(duì)網(wǎng)絡(luò)犯罪進(jìn)行法律制裁的關(guān)鍵所在。由于網(wǎng)絡(luò)中約有90%的流量為TCP（Transfer Control Protocol）流，使得TCP 流的行為在很大程度上主導(dǎo)了網(wǎng)絡(luò)流量的變化。現(xiàn)有的TCP 流異常行為研究對(duì)攻擊類型、攻擊行為發(fā)起主機(jī)IP（Internet Protocol）地址等與網(wǎng)絡(luò)犯罪相關(guān)的數(shù)字證據(jù)關(guān)注較少，因此，探索出一種行之有效的TCP 異常報(bào)文溯源方法具有重要的理論意義和實(shí)用

2、價(jià)值。
　　 從報(bào)文數(shù)量關(guān)系和報(bào)文聚類的角度分別描述了幾種常見的TCP 流異常行為，包括掃描、拒絕服務(wù)攻擊，側(cè)重于描述每一類異常行為獨(dú)有的報(bào)文數(shù)量關(guān)系以及報(bào)文聚類特征，便于在異常報(bào)文溯源研究中通過這些獨(dú)有特征對(duì)異常行為進(jìn)行有效區(qū)分和深入挖掘。提出了對(duì)標(biāo)準(zhǔn)Bloom Filter方法的一種改進(jìn)——可逆的布魯姆過濾器RBF（Reversible Bloom Filter）方法，該方法以采用可逆哈希函數(shù)以及獨(dú)立哈希存儲(chǔ)空間的Bloom

3、 Filter 為基礎(chǔ)，結(jié)合網(wǎng)絡(luò)中活躍IP 地址分布的長尾特性，通過挖掘數(shù)據(jù)流中最活躍的五元組及其主要成分的聚類信息，使用少量的運(yùn)算來完成對(duì)TCP 報(bào)文頭部信息的分析。
　　 在基于RBF的TCP 報(bào)文頭部信息分析的基礎(chǔ)上，闡述了TCP 異常報(bào)文溯源的基本方法并通過實(shí)驗(yàn)進(jìn)行了驗(yàn)證。該方法通過報(bào)文在數(shù)量上的相關(guān)關(guān)系特征區(qū)分TCP流異常行為并判斷異常報(bào)文的類型，結(jié)合異常發(fā)生時(shí)間段內(nèi)異常報(bào)文的五元組及其主要成分的聚類信息綜合分析，成功