[发明专利]基于指纹多重哈希布隆过滤器的网络取证内容溯源方法和系统

说明书

技术领域

本发明涉及网络取证领域，是一个基于增强版指纹多重哈希布隆过滤器(EWMB)数据结构进行会话内容溯源的网络取证方法和系统。

背景技术

计算机和网络的普及给本发明带来了极大的便利，而与此同时也产生了大量的信息安全威胁。其中引人关注的是如今网络犯罪日益猖獗，无论在范围上还是所使用的技术手段上都日新月异。在防止网络犯罪方面已经有一些出色的工作对其进行研究，然而在帮助执法机关或者安全专家进行网络犯罪的调查取证方面却鲜有成果，需要一种可以对网络上传输过的内容进行溯源的系统。

最直接的方法是捕获并且存储原始的网络流量，但是由于网络规模的日益扩大，即使利用先进的存储技术将这些流量包全部收集起来，对这些数据进行分析查找也是极其不现实的。那么，为了减少存储和计算能力的需求并且提供一些隐私保护，对其稍加改进的方法是存储这些原始网络流量的哈希值。这种方法(例如：SHA-1哈希方法)可以对每个原始的网络流量包减少大概20字节的存储需求，但由于哈希碰撞存在一定的误报率，显而易见该方法只能对整个包的内容进行溯源，而不能对通信内容的某一摘录进行溯源。

对此，Shanmugasundaram等人(Shanmugasundaram K,H,Memon N.Payload attribution via hierarchical bloom filters[C]//Proceedings of the 11th ACM conference on Computer and communications security.ACM,2004:31-41.)提出一种存储有效负载哈希值的数据结构——分层布隆过滤器(HBF)，然后基于HBF设计了有效负载溯源系统(PAS)作为网络取证分布式系统ForNet的核心模块。该系统监控网络流量，创建基于哈希的有效负载摘录并定期的对其存档，可以对有效负载的某一摘录进行溯源。纵观溯源系统的发展，该系统的提出可以说是一次质的飞越，使得对摘录的溯源成为可能。随后，大量的研究集中在对有效负载溯源系统进行改进上，改进方法可以分为两大类：1)对有效负载的块划分方法进行改进，例如：固定块覆盖(FBS)、可变块覆盖(VBS)；2)实现更复杂的有效负载溯源查询，例如带通配符的查询。虽然该方法具有一定的溯源取证能力，但是它的缺点是只能对有效负载进行溯源，并且只能获取到源端和目的端的四元组。在网络安全事件中为了判断受害者或者犯罪者进行取证，该系统的溯源能力是远远不够的。

发明内容

当前的有效负载溯源系统(PAS，Payload Attribution System)均是工作在网络层，只能对有效负载的摘录进行溯源，如要对通信的具体内容进行溯源还要进行一些变换处理，除此只能溯源到源端和目的端的四元组。随着网络安全事件的层出不穷，为了能够在事件中判断受害者或者犯罪者进行取证，想进一步获得一些应用层信息，例如：HTTP会话的URL、cookies，该系统溯源能力的不足越来越引起重视。基于此，本发明旨在提高溯源能力和准确性，提出了一种基于增强版指纹多重哈希布隆过滤器(EWMB，Enhanced Winnowing Multihashing Bloom Filter)的数据结构和基于此工作在应用层的网络取证内容溯源方法和系统。

具体来说，本发明采用的技术方案如下：

一种网络取证内容溯源方法，其步骤包括：

1)从网关上捕获原始网络流量数据包，对其进行重组并构建应用层的会话，然后将所获得的会话内容和会话信息进行存储；

2)在每一个时间间隔内，将会话内容分块存储到增强版指纹多重哈希布隆过滤器中，并保存会话索引表；所述增强版指纹多重哈希布隆过滤器是基于当前效果最好的指纹多重哈希布隆过滤器所提出的改进，它包含基本布隆过滤器和带会话索引的布隆过滤器，每一个分块不仅存储到基本布隆过滤器中，还串联会话索引存储到带会话索引的布隆过滤器中；

3)收到查询请求后，使用与步骤2)相同的方法对所查询的摘录进行分块，然后在可能的时间间隔内的所有存档单元中检索，首先将得到的分块在基本布隆过滤器中进行查询，若能够查询到这些分块，则将得到的分块串联候选的会话索引，并在带会话索引的布隆过滤器中进行查询，从而得到传输该摘录的应用层信息。

进一步地，步骤2)将会话内容分块存储到增强版指纹多重哈希布隆过滤器中的方法是：

a)在每一个指纹哈希布隆过滤器中，使用winnowing指纹方法设置两个不同大小的窗口，通过该两个不同大小的窗口在会话内容中滑动来选择块边界；