公开(公告)号：CN104794170A

公开(公告)日：2015-07-22

申请号：CN201510147426.4

申请日：2015-03-30

Applicant: 中国科学院信息工程研究所

Inventor： 陈小军 ,  时金桥 ,  蒲以国 ,  郭莉 ,  徐菲 ,  陈雁 ,  于晓杰 ,  文新 ,  徐睿

IPC: G06F17/30 ,  H04L29/06

Abstract: 本发明涉及一种基于指纹多重哈希布隆过滤器的网络取证内容溯源方法。该方法对捕获的原始网络流量数据包进行重组并构建应用层的会话；在每一个时间间隔内，将会话内容分块存储到增强版指纹多重哈希布隆过滤器中，并保存会话索引表，每一个分块不仅存储到基本布隆过滤器中，还串联会话索引存储到带会话索引的布隆过滤器中；收到查询请求后，使用相同的方法对所查询的摘录进行分块，然后在可能的时间间隔内的所有存档单元中检索，首先将得到的分块在基本布隆过滤器中查询，若能够查询到这些分块，则将得到的分块串联候选的会话索引，并在带会话索引的布隆过滤器中查询，得到传输该摘录的应用层信息。本发明能够提高网络取证内容溯源能力和准确性。

公开(公告)号：CN104794170B

公开(公告)日：2018-05-01

申请号：CN201510147426.4

申请日：2015-03-30

Applicant: 中国科学院信息工程研究所

Inventor： 陈小军 ,  时金桥 ,  蒲以国 ,  郭莉 ,  徐菲 ,  陈雁 ,  于晓杰 ,  文新 ,  徐睿

IPC: G06F17/30 ,  H04L29/06

Abstract: 本发明涉及一种基于指纹多重哈希布隆过滤器的网络取证内容溯源方法。该方法对捕获的原始网络流量数据包进行重组并构建应用层的会话；在每一个时间间隔内，将会话内容分块存储到增强版指纹多重哈希布隆过滤器中，并保存会话索引表，每一个分块不仅存储到基本布隆过滤器中，还串联会话索引存储到带会话索引的布隆过滤器中；收到查询请求后，使用相同的方法对所查询的摘录进行分块，然后在可能的时间间隔内的所有存档单元中检索，首先将得到的分块在基本布隆过滤器中查询，若能够查询到这些分块，则将得到的分块串联候选的会话索引，并在带会话索引的布隆过滤器中查询，得到传输该摘录的应用层信息。本发明能够提高网络取证内容溯源能力和准确性。