随着互联网技术的发展,人们对网络安全的问题越来越重视。目前的安全系统如防火墙、入侵检测等一般只能对网络入侵进行发现与隔离,难以对网络攻击的真实来源进行准确定位。如果能溯源到网络攻击的发起者,则能从源头上切断网络入侵,保障信息安全。基于网络流关联的溯源技术因能适应跳板攻击、匿名系统等多种网络环境而受到溯源研究者的广泛关注。本文对当前的流关联技术做了详细研究,并针对流关联技术目前还存在鲁棒性差和存储开销大的问题提出了三个解决方案。(1)针对流关联中存在的关联匹配算法复杂、计算量大的问题,提出了基于时序特征的网络流溯源算法。该算法通过提取网络流中稳定时隙内同一偏移位置的流速率差异值和关键数据包之间的时间间隔作为特征,然后应用感知哈希函数,将不同的网络流映射成长度固定、区分度高的感知哈希序列。仿真实验表明,该算法在保证溯源精度的同时加快了溯源匹配的效率。(2)为了解决流关联在较大范围抖动时鲁棒性低的问题,提出了基于时频特征的网络流溯源算法。算法采用短时傅里叶变换将网络流映射到高维的时频矩阵上,通过对时频特征矩阵进行多个方向的积分变换获取方向系数特征。最后利用DCT变换在系数符号上的鲁棒性将方向系数编码成唯一流量标识符。仿真实验表明该算法对网络流的抖动,丢包等干扰具有较高的鲁棒性。(3)针对在流关联过程中,发送端和接收端捕获的网络流难以同步的问题,提出了基于尺度不变特征变换(SIFT)网络流溯源算法。该算法利用SIFT算法来提取网络流量中的局部感知关键点,然后使用局部关键点与其邻域的梯度关系编码成感知向量,实现对网络流的摘要性编码。仿真实验表明该算法在进行溯源时能较好的应对流合并和流分割带来的干扰。上述三个算法的基本思路在于通过对网络流量进行特性提取或信号变换得到不易被攻击者篡改的综合特征,并根据这些特征提出相应的匹配算法以实现溯源。本研究通过采用CAIDA数据集进行了模拟实验,以验证本文所提出算法的有效性。仿真实验表明,本论文中所提出的网络流溯源算法比目前已有的溯源算法的溯源精度更高,鲁棒性更好。