[发明专利]基于布隆过滤器的网络取证载荷归属方法及系统

说明书

本发明提出了一种基于布隆过滤器的网络取证载荷归属方法及系统，包括：抓取预备取证的网络数据流，对网络数据流进行预处理；并对载荷进行分块，将分块内容代入指定的哈希函数中，得到的哈希函数的结果为对应的布隆过滤器的编号，将分块内容根据布隆过滤器的编号分别存储至对应的布隆过滤器中；获取预备查询的字段，对预备查询字段中的所有分块逐个进行哈希运算，判断预备查询的字段的所有分块是否均映射到对应的布隆过滤器的位置，如果是则判断载荷包括预备查询的字段。本发明能够较好地支持通配符的查询，不仅解决了首块偏移问题、对齐问题和连续性问题，而且在可接受的数据压缩比率下，减小了假阳性误报比率，提高了查询速度和验证准确度。

技术领域

本发明涉及网络取证技术领域，特别涉及一种基于布隆过滤器的网络取证载荷归属方法及系统。

背景技术

随着信息技术的飞速发展，网络上的犯罪行为日益猖獗，由于网络犯罪的复杂性、不确定性以及多样性，无法从技术上完全遏制网络犯罪的发生，因此，网络取证技术逐渐成为研究的热点，网络犯罪事件发生之后的溯源、追踪与处置发挥着越来越重要的作用。于是，对于数据流量的高效存储并提供事后的精确查询成为值得研究的方向。

载荷归属是识别出现在网络上的和包含特定字段的所有包的源和目的的一个过程。载荷归属结构对网络流量进行相应的处理存储以便事后的识别分析，在帮助判定网络事件的攻击者和受害者并分析安全事件方面是一个极其有价值的工具。

在载荷归属的研究中，最重要的是载荷的收集、存储和字段的查询。解决这些问题的最直观的方法就是对网络数据流量进行分块。最经典的一个数据结构就是布隆过滤器(Bloom Filter，BF)。

传统的Bloom Filter用于判断集合中的元素是否存在，它是一个大小为m的位数组，带有k个随机选取的哈希函数。但是由于其结构的原因，存在着假阳性误报的可能。在Bloom Filter的基础上，又提出了基于分块的布隆过滤器(BBF)、分层布隆过滤器(HBF)结构、旋转布隆过滤器(RBF)结构、固定分块重叠(FBS)、可变分块重叠(VBS)、高级可变分块重叠(EVBS)、多哈希(MH)、高级多哈希(EMH)、Winnowing分块重叠(WBS)、Winnowing多哈希(WMH)等结构。这些分块方法可以按照不同的分类方法进行分类，如表1所示。

表1

但是，上述这些方法均存在着一些问题，例如：首块偏移问题、对齐问题、连续性问题，而且大多不支持通配符的查询。

通配符是一种替代字符，可以用“？”和“*”两种符号来表示，仅用于占位而不具体指代某一个或某一些字符，表示出现该符号的位置可以是任何一个或多个字符。通常情况下，“？”用于匹配1个字符，“*”则用于匹配0个或以上的任意字符。现有的技术限制于自身能够响应的查询类型，导致不能够很好地支持通配符查询。

发明内容

本发明的目的旨在至少解决所述技术缺陷之一。

为此，本发明的目的在于提出一种基于布隆过滤器的网络取证载荷归属方法及系统，能够较好地支持通配符的查询，不仅解决了首块偏移问题、对齐问题和连续性问题，而且在可接受的数据压缩比率下，减小了假阳性误报比率，提高了查询速度和验证准确度。

为了实现上述目的，本发明一方面的实施例提供一种基于布隆过滤器的网络取证载荷归属方法，包括如下步骤：

步骤S1，抓取预备取证的网络数据流，并对所述网络数据流进行预处理，得到预处理后的网络数据流作为载荷；

步骤S2，对所述载荷进行分块，并将分块内容代入指定的哈希函数中，得到的哈希函数的结果为对应的布隆过滤器的编号，将所述分块内容根据所述布隆过滤器的编号分别存储至对应的布隆过滤器中，在所述步骤S2中，对所述载荷进行分块，包括如下步骤：