| 发明名称 | 基于指纹多重哈希布隆过滤器的网络取证内容溯源方法 | ||
| 摘要 | 本发明涉及一种基于指纹多重哈希布隆过滤器的网络取证内容溯源方法。该方法对捕获的原始网络流量数据包进行重组并构建应用层的会话;在每一个时间间隔内,将会话内容分块存储到增强版指纹多重哈希布隆过滤器中,并保存会话索引表,每一个分块不仅存储到基本布隆过滤器中,还串联会话索引存储到带会话索引的布隆过滤器中;收到查询请求后,使用相同的方法对所查询的摘录进行分块,然后在可能的时间间隔内的所有存档单元中检索,首先将得到的分块在基本布隆过滤器中查询,若能够查询到这些分块,则将得到的分块串联候选的会话索引,并在带会话索引的布隆过滤器中查询,得到传输该摘录的应用层信息。本发明能够提高网络取证内容溯源能力和准确性。 | ||
| 申请公布号 | CN104794170A | 申请公布日期 | 2015.07.22 |
| 申请号 | CN201510147426.4 | 申请日期 | 2015.03.30 |
| 申请人 | 中国科学院信息工程研究所 | 发明人 | 陈小军;时金桥;蒲以国;郭莉;徐菲;陈雁;于晓杰;文新;徐睿 |
| 分类号 | G06F17/30(2006.01)I;H04L29/06(2006.01)I | 主分类号 | G06F17/30(2006.01)I |
| 代理机构 | 北京君尚知识产权代理事务所(普通合伙) 11200 | 代理人 | 余长江 |
| 主权项 | 一种网络取证内容溯源方法,其步骤包括:1)从网关上捕获原始网络流量数据包,对其进行重组并构建应用层的会话,然后将所获得的会话内容和会话信息进行存储;2)在每一个时间间隔内,将会话内容分块存储到增强版指纹多重哈希布隆过滤器中,并保存会话索引表;所述增强版指纹多重哈希布隆过滤器包含基本布隆过滤器和带会话索引的布隆过滤器,每一个分块不仅存储到基本布隆过滤器中,还串联会话索引存储到带会话索引的布隆过滤器中;3)收到查询请求后,使用与步骤2)相同的方法对所查询的摘录进行分块,然后在可能的时间间隔内的所有存档单元中检索,首先将得到的分块在基本布隆过滤器中进行查询,若能够查询到这些分块,则将得到的分块串联候选的会话索引,并在带会话索引的布隆过滤器中进行查询,从而得到传输该摘录的应用层信息。 | ||
| 地址 | 100093 北京市海淀区闵庄路甲89号 | ||