[发明专利]基于指纹多重哈希布隆过滤器的网络取证内容溯源方法和系统

权利要求书

1.一种网络取证内容溯源方法，其步骤包括：

1)从网关上捕获原始网络流量数据包，对其进行重组并构建应用层的会话，然后将所获得的会话内容和会话信息进行存储；所述会话内容是指通信传输的实体，所述会话信息是指会话内容所对应的应用层会话原信息；

2)在每一个时间间隔内，将会话内容分块存储到增强版指纹多重哈希布隆过滤器中，并保存会话索引表；所述增强版指纹多重哈希布隆过滤器包含基本布隆过滤器和带会话索引的布隆过滤器，每一个分块不仅存储到基本布隆过滤器中，还串联会话索引存储到带会话索引的布隆过滤器中；

3)收到查询请求后，使用与步骤2)相同的方法对所查询的摘录进行分块，然后在可能的时间间隔内的所有存档单元中检索，首先将得到的分块在基本布隆过滤器中进行查询，若能够查询到这些分块，则将得到的分块串联候选的会话索引，并在带会话索引的布隆过滤器中进行查询，从而得到传输该摘录的应用层信息。

2.如权利要求1所述的方法，其特征在于：步骤2)将会话内容分块存储到增强版指纹多重哈希布隆过滤器中的方法是：

a)在每一个指纹哈希布隆过滤器中，使用winnowing指纹方法设置两个不同大小的窗口，通过该两个不同大小的窗口在会话内容中滑动来选择块边界；

b)由每两个块边界之间的部分和下一个块的前缀组成分块；

c)对分块大小小于预先设定的阈值的块和下一个块进行合并，直到分块大小大于阈值；

d)使用过滤器中的哈希算法将最终的分块插入到过滤器中。

3.如权利要求1或2所述的方法，其特征在于：步骤1)所述应用层的会话包括http会话，邮件会话，以及网络电话会话。

4.如权利要求1或2所述的方法，其特征在于：步骤1)所述会话内容包括邮件中的文档、图片，以及网络聊天中的聊天记录。

5.如权利要求1或2所述的方法，其特征在于：每过一个时间间隔对当前的布隆过滤器进行存档，以方便进行时间索引。

6.一种采用权利要求1所述方法的网络取证内容溯源系统，其特征在于，包括：

数据重组模块，用于对原始网络流量数据包进行重组，构建应用层的会话，并将所获得的会话内容和会话信息进行存储；所述会话内容是指通信传输的实体，所述会话信息是指会话内容所对应的应用层会话原信息；

内容处理模块，用于在每一个时间间隔内，将会话内容分块存储到增强版指纹多重哈希布隆过滤器中，并保存会话索引表；所述增强版指纹多重哈希布隆过滤器包含基本布隆过滤器和带会话索引的布隆过滤器，每一个分块不仅存储到基本布隆过滤器中，还串联会话索引存储到带会话索引的布隆过滤器中；

查询处理模块，用于对查询请求进行处理，首先将所查询的摘录分块存储到增强版指纹多重哈希布隆过滤器中，然后将得到的分块在基本布隆过滤器中进行查询，若能够查询到这些分块，则将得到的分块串联候选的会话索引，并在带会话索引的布隆过滤器中进行查询，从而得到传输该摘录的应用层信息。

7.如权利要求6所述的系统，其特征在于：所述内容处理模块将会话内容分块存储到增强版指纹多重哈希布隆过滤器中的方法是：

a)在每一个指纹哈希布隆过滤器中，使用winnowing指纹方法设置两个不同大小的窗口，通过该两个不同大小的窗口在会话内容中滑动来选择块边界；

b)由每两个块边界之间的部分和下一个块的前缀组成分块；

c)对分块大小小于预先设定的阈值的块和下一个块进行合并，直到分块大小大于阈值；

d)使用过滤器中的哈希算法将最终的分块插入到过滤器中。