CN104852914B

CN104852914B - 一种基于数据包间隔的水印跳变通信方法

Info

Publication number: CN104852914B
Application number: CN201510217290.XA
Authority: CN
Inventors: 王宝生; 王小峰; 罗跃斌; 胡晓峰; 吴纯青; 陶静; 赵锋; 蔡桂林; 白磊
Original assignee: National University of Defense Technology
Current assignee: National University of Defense Technology
Priority date: 2015-04-30
Filing date: 2015-04-30
Publication date: 2018-07-13
Anticipated expiration: 2035-04-30
Also published as: CN104852914A

Abstract

一种基于数据包间隔的水印跳变通信方法，其步骤为：1)在目的主机端部署水印检测器，源主机端部署水印嵌入器，为合法主机分配水印跳变密钥；2)源主机访问目的主机时，水印嵌入器提取网络流五元组信息，根据己方存储的对称密钥、系统当前时间生成网络流水印；通过数据包发送延时调整数据包间隔分布将该水印信息嵌入网络流中发送给目的主机；3)目的主机接收到网络报文，根据己方存储的水印跳变密钥、系统当前时间以及网络流的五元组生成网络流水印，从接收到的网络流中提取网络流水印，并与自己生成的水印相比较，对网络报文进行流量鉴别和控制。本发明具有实现简单、应用灵活、隐秘性好、抗干扰能力强等优点。

Description

一种基于数据包间隔的水印跳变通信方法

技术领域

本发明主要涉及可信安全网络的基础通信领域，特指一种基于数据包间隔的水印跳变通信方法。

背景技术

随着计算机网络的日益普及，各种新技术和设备的不断出现使得人们可以随时随地接入互联网。互联网在给人们生活、工作、学习带来极大便利的同时，也使接入互联网的用户遭受着比以往更多的网络攻击和威胁。互联网创立时本着开放、共享的思想进行设计，基本没有考虑网络的安全问题，作为互联网通信核心的TCP/IP协议族主要考虑网络互联的可靠性，尽最大能力来传输数据。通信数据流中缺乏标识信息源有效身份的网络属性，导致接收方在收到数据时无法对信息源的合法性进行认证，因此无法对恶意攻击流量进行有效控制。此外，在网络传输过程中也缺乏对数据包的完整性保护机制，攻击者可以在通信路径上截获并修改数据包内容，使得会话劫持、报文篡改、仿冒、欺骗等网络攻击具有广阔的生存空间，现有网络流量也缺少用来识别和关联非法流量的有效信息，互联网安全形势严峻。

在网络流量控制方面，现有技术主要通过身份认证系统和防火墙来对进出受保护网络的流量进行鉴别和控制，身份认证是安全系统的第一道关卡。用户在访问安全系统之前，首先经过身份认证系统识别身份，然后访问监控器根据用户的身份和授权数据库决定用户是否具有对某种资源的访问和使用权限。然而，传统的安全系统通常只在用户登录时进行身份认证，而在实际的服务过程中并不对来自用户的流量进行鉴别，这往往会给系统带来致命的安全隐患。防火墙可以对服务过程中的通信流量实施一定的控制，但防火墙通常采用一种被动的方式，基于管理员预先设置的规则对网络流量进行控制，只能对已知类型的非法流量进行控制，其应用缺乏灵活性且本身是不完备的，无法满足日益提升的网络安全需求。

在网络流量识别和关联方面，通常以五元组{源IP地址、目的IP地址、协议号、源端口、目的端口}来标识一条网络流量，除了网络流五元组，缺乏用于标识网络流合法性的有效信息，而五元组作为一种通用标识和共有网络属性，本身也不具有私密性，无法用来识别、关联和控制非法流量。网络流量识别和关联是入侵检测、僵尸网络检测、跳板主机发现、匿名通信追踪和攻击溯源等研究领域中的关键问题，传统的流量识别和关联技术主要采用两种方式：

一类是被动的方式，通过对流量进行统计分析，提取字符频率、数据包大小分布、流量ON/OFF行为等流量特征对流量进行关联和分析，该类方法提出的前提是假设网络流量具有某种潜在的规律性，即网络流具有自相似性质，研究表明网络流量在大的时间范围内具有一定的自相似性，但某一时刻的网络流量由于受多种因素影响往往会表现出一定的随机性，因此无法基于统计规律对某一时刻的网络流量进行准确分析，因此该类方法实际实施的效果较差。

另一类是主动的方式，如通过对数据包头标志位进行置位或者对数据包载荷进行填充等方法在网络流中主动地嵌入信息，从而对网络流量进行关联，该方法进行网络流关联和分析的准确性较高，但由于要对数据包头或载荷进行修改和填充，嵌入的信息容易被攻击者检测到从而进行修改或移除，同时该方法也不适用于对加密流量进行分析。

综上所述，现有网络流量控制、识别和关联技术普遍存在空间开销大、识别率低，误报率高、实时性差、灵活性欠佳等问题，实用效果较差，且无法适用于对加密流量进行分析和识别。然而，在实际的网络中，网络流量通常是加密的，有效的流关联分析只能依赖于数据包大小、数目、时序等特征来进行，为了对加密流量进行分析，近期研究者基于数字水印思想提出了一种主动的流关联技术，即网络流水印技术，通过主动调制或改变发送端所产生的网络流中的数据包速率、时序等特征，使之隐蔽地携带一些特殊标记信息，即嵌入水印，在接收端对嵌入的水印进行识别，以达到关联发送者和接收者的目的。网络流水印是一种主动的网络流整形与分析技术，具有识别率高，透明性好、适用于加密流量关联等优点，且对包重组、时间扰动等干扰具有一定的鲁棒性。通过引入流水印技术，以一种主动的方式隐蔽地在网络流中嵌入水印信息，可用于对网络流量进行有效识别和关联，进而对网络流进行鉴别和访问控制，从而有效地控制非法流量，提升服务系统安全性。

目前，网络流水印技术主要被应用于进行跳板攻击检测与匿名通信关联，其应用具有一定的局限性，且嵌入的水印通常是固定不变的，使得现有网络流水印技术存在两个不足：

一是只能判断流中是否被嵌入水印，而不能确定嵌入该水印的网络流来自哪个信息源；

二是在多条流中嵌入不变的水印信息，使得嵌入的水印信息具有相同的攻击面，攻击者可以对多条流量进行分析识别并移除水印，即难以抵御多流攻击。

发明内容

本发明要解决的技术问题就在于：针对现有技术存在的技术问题，本发明提供一种实现简单、应用灵活、隐秘性好、抗干扰能力强的基于数据包间隔的水印跳变通信方法，可广泛适用于跳板主机发现，僵尸网络检测、匿名通信追踪、攻击溯源以及通信过程中流量合法性验证的主动流量关联和分析方法

为解决上述技术问题，本发明采用以下技术方案：

一种基于数据包间隔的水印跳变通信方法，其步骤为：

1)在目的主机端部署水印检测器，源主机端部署水印嵌入器，为合法主机分配水印跳变密钥；

2)源主机访问目的主机时，源主机正常封装和收发网络流数据报文，水印嵌入器提取网络流五元组信息，根据己方存储的对称密钥、系统当前时间生成网络流水印；然后，通过数据包发送延时调整数据包间隔分布将该水印信息嵌入网络流中发送给目的主机；

3)目的主机接收到网络报文，水印检测器记录数据包到达时间，提取网络流五元组信息，根据己方存储的水印跳变密钥、系统当前时间以及网络流的五元组生成网络流水印，进而从接收到的网络流中提取网络流水印，并与自己生成的水印相比较，对网络报文进行流量鉴别和控制。

作为本发明的进一步改进：所述水印跳变密钥包括水印生成密钥和水印编解码密钥，所述水印生成密钥和水印编解码密钥由所述水印跳变密钥的不同部分分别与网络流五元组和系统时间连接并采用哈希算法计算得到。

作为本发明的进一步改进：在水印跳变通信过程中，各通信实体的水印嵌入器和水印检测器与网络标准时间服务器维持粗粒度的时间同步。

作为本发明的进一步改进：所述步骤2)的步骤如下：

2.1)源主机访问目的主机时，正常封装和收发网络流数据报文，水印嵌入器提取网络流五元组信息，获取系统当前时间，然后根据水印跳变密钥计算得到水印生成密钥和水印编解码密钥，转入执行步骤2.2)；

2.2)水印嵌入器中的水印生成单元根据水印生成密钥生成网络流水印，转入执行步骤2.3)；

2.3)水印嵌入器中的水印编码单元利用水印编解码密钥将生成的网络流水印通过数据包发送延时调整数据包间隔分布嵌入网络流中发送给目的主机。

作为本发明的进一步改进：所述步骤3)的具体步骤如下：

3.1)目的主机接收到网络报文，水印检测器记录数据包到达时间，提取网络流五元组信息，获取系统当前时间，然后根据水印跳变密钥计算得到水印生成密钥和水印编解码密钥，转入执行步骤3.2)；

3.2)水印检测器中的水印解码单元根据水印生成密钥生成网络流水印，并利用水印编解码密钥从接收到的网络流中提取网络流水印，转入执行步骤3.3)；

3.3)水印检测器中的水印判别单元将从网络流中提取的网络流水印与水印解码单元自己生成的水印信息相比较，对网络报文进行认证并给出判别结果，转入执行步骤3.4)；

3.4)水印检测器中的访问控制单元根据步骤3.3)的反馈结果进行访问控制，判别结果若为是，允许网络流数据包以及后续报文进入目的主机应用程序；判别结果若为否，将缓存的网络流数据包丢弃并设置访问控制列表，拒绝来自该源主机的后续访问。

与现有技术相比，本发明的优点在于：

1、本发明为一种主动的服务过程中的认证和访问控制方法，发送数据时，主动地对网络流数据包进行延时嵌入水印，接收数据时，提取网络流水印并通过对水印信息进行鉴别来认证会话的合法性，进而对会话进行有效的访问控制，弥补当前安全系统缺乏服务过程中对用户身份进行鉴别的缺陷，有效提升服务系统的安全性能。

2、本发明采用基于数据包间隔延时IPD(Inter-Packet Delay)的水印嵌入方法，通过对网络流数据包的发送时间进行轻微调整，从而对数据包间隔延时进行调制来嵌入水印，水印嵌入过程中对每个数据包的延时操作仅引入几个毫秒的延时，该方法隐秘性好，不需要修改数据包内容，适用于加密流量，且对数据包丢包、时间扰动等干扰具有一定鲁棒性。

3、本发明在网络中进行水印跳变通信时，通信双方根据己方存储的水印跳变密钥生成水印生成密钥和水印编解码密钥，水印生成过程通过引入流五元组和时间参数提供两种粒度的水印跳变频率，即低频跳变和高频跳变，低频跳变通过粗粒度的时间同步进行控制，每隔T时间跳变一次；高频跳变通过五元组进行控制，对于不同的网络流而言，网络流五元组不同，因此生成的水印信息随不同流而跳变，从而有效提升水印跳变通信的安全性。

4、本发明不需要开辟额外的通信过程中的流量鉴别通道，也不需要发送额外的数据包，减少了连接的开销；水印信息同网络流数据包一同发送和接收，且在网络流水印嵌入过程中不需要修改数据包内容，实现灵活、高效；此外，本发明方法能够兼容不具备水印检测功能的主机系统，该类型系统能正常进行网络通信，只是不能在通信过程中对接收到的流量进行鉴别和控制，部署方便且能向后兼容。

5、在非法流量控制方面，本发明的方法以一种主动的方式在网络流量中嵌入随时间动态变化的水印信息，水印信息具有隐蔽性，对攻击者而言不可见的水印信息为实施非法流量控制提供了有效的网络属性；在流量关联和识别方面，该方法通过引入网络流五元组和时间信息提供了两种水印跳变频率，使得在不同时间不同的网络流中嵌入的是不同的水印信息，从而有效提升了嵌入水印信息的动态性和多样性，接收方可以通过提取水印信息，进而对网络流量进行准确的识别和关联。

附图说明

图1是本发明在具体应用实施中的流程示意图。

图2是本发明在具体应用实施中步骤2)具体流程示意图。

图3是本发明在具体应用实施中步骤3)具体流程示意图。

图4是本发明在具体应用实施中时间量化示意图。

图5是本发明在具体应用实施中嵌入水印前后数据包间隔延时分布示意图。

具体实施方式

以下将结合说明书附图和具体实施例对本发明做进一步详细说明。

本发明的基于数据包间隔的水印跳变通信方法，其核心思想是结合网络流水印技术，通过数据包发送延时调整数据包间隔分布从而隐蔽地在通信流量中嵌入水印信息，水印跳变通信过程中，通过引入网络流五元组和时间参数提供两种粒度的水印跳变频率，使得在不同时间、不同的网络流中嵌入的是不同的水印信息，使用水印跳变密钥控制通信双方的水印生成和水印编解码过程，从而提供一种服务过程中的流量鉴别和控制方法，提升服务系统的安全性。

如图1所示，本发明的基于数据包间隔的水印跳变通信方法，具体步骤为：

2)源主机访问目的主机时，源主机正常封装和收发网络流数据报文，水印嵌入器提取网络流五元组信息，根据己方存储的对称密钥，系统当前时间生成网络流水印，然后通过数据包发送延时调整数据包间隔分布将该水印信息嵌入网络流中发送给目的主机；

3)目的主机接收到网络报文，水印检测器记录数据包到达时间，提取网络流五元组信息，根据己方存储的水印跳变密钥，系统当前时间以及网络流的五元组生成网络流水印，进而从接收到的网络流中提取网络流水印，并与自己生成的水印相比较，对网络报文进行流量鉴别和控制。

在上述步骤1)中，为网络中的合法主机分配水印跳变密钥K，水印跳变密钥包含水印生成密钥K_w和水印编解码密钥K_e。所述水印生成密钥K_w和水印编解码密钥K_e由所述水印跳变密钥K生成。具体应用时，主机接入网络后需要进行认证和授权，通过认证获取水印跳变密钥K，本实施例中，主机采用水印跳变密钥K的不同部分结合网络流五元组信息、系统当前时间并采用哈希算法计算得到水印生成密钥K_w和水印编解码密钥K_e。

具体应用时，上述水印生成密钥和水印编解码密钥由所述水印跳变密钥的不同部分分别与网络流五元组和系统时间连接并采用哈希算法计算得到。

在水印跳变通信过程中，水印嵌入器和水印检测器与网络标准时间服务器维持粗粒度的时间同步。具体应用时，可以将水印嵌入器和水印检测器设置为自动与网络标准时间服务器同步，如：time.nist.gov。

如图2所示，在上述步骤2)中，具体步骤如下：

2.1)源主机正常封装和收发网络流数据报文F_i＝<P₁，P₂，…>，其中，P_n，(n＝1，2，…)表示构成流F_i的数据包，水印嵌入器提取网络流五元组信息FI_i＝{源IP地址、目的IP地址、协议号、源端口、目的端口}，获取系统当前时间time_i，然后根据水印跳变密钥K计算得到水印生成密钥K_w和水印编解码密钥K_e；

2.2)水印嵌入器中的水印生成单元根据水印生成密钥K_w生成网络流水印w_i；

2.3)水印嵌入器中的水印编码单元利用水印编解码密钥K_e，将生成的网络流水印w_i的每个水印位通过调整数据包发送延时嵌入网络流F_i中，然后将嵌入水印信息的网络流发送给目的主机。

本实施例中，步骤2.1)根据水印跳变密钥K计算得到水印生成密钥K_w和水印编解码密钥K_e，具体步骤如下：

2.1.1)系统时间以时间戳方式表示，获取系统当前时间戳time_i，对该时间戳按跳变周期T进行量化操作q(time_i，T)，即对时间time_i进行取整运算，定义

q(time_i，T)＝time_i/T (1)

如图4所示，当时，对time_i的量化结果为k，其中周期T可以根据通信安全需求进行设定，如T＝60，表明在水印跳变通信过程中，水印低频跳变的时间周期为60秒。

2.1.2)利用水印跳变密钥K，将水印跳变密钥K的左半部分K_L和右半部分K_R分别与所提取的网络流五元组信息FI_i和系统时间time_i的量化结果q(time_i，T)进行连接，采用哈希算法(如SHA1算法)计算得到对称水印生成密钥K_w、水印编解码密钥K_e，计算公式如下所示：

K_w＝SHA1(K_L||：FI_i||：q(time_i，T)) (2)

K_e＝SHA1(K_R||：FI_i||：q(time_i，T)) (3)

其中||：表示字符串连接操作，本实施例中哈希算法采用SHA1算法，在其他实施例中还可以采用其他哈希算法。

本实施例中，步骤2.2)中网络流水印w_i采用伪随机数生成函数PRF计算得到，具体方法如下：

利用伪随机数生成函数PRF，以水印生成密钥K_w作为伪随机数生成函数的种子，生成网络流水印w_i，计算公式如下所示：

w_i＝PRF(K_w，l) (4)

其中，l表示生成的网络流水印的长度为l位，即w_i＝<w_i1，w_i2，…，w_il>，其中w_ik(1≤k≤l)表示网络流水印w_i中的第k个水印位。

本实施例中，步骤2.3)通过调整数据包发送延时将步骤2.2)生成的网络流水印w_i嵌入网络流F_i中，具体步骤如下：

2.3.1)对于网络流F_i＝<P₁，P₂，…，P_n>，其中数据包P₁，P₂，…，P_n到达水印嵌入器的时间为t₁，t₂，…，t_n，嵌入1位水印位时，独立且随机地从流F_i中选取2r个数据包，其中r表示嵌入1位水印位时采用的冗余编码个数，选取过程如下：(1)顺序地依次查看流F_i的前n-d个数据包，其中d为计算IPD时的数据包间隔个数；(2)以相互独立且相同的概率决定每个数据包是否被选取，利用水印编解码密钥K_e作为伪随机数生成函数的种子，控制数据包的随机选取过程，使得每个数据包被选取的概率为

2.3.2)假设嵌入网络流水印w_i的第k个水印位w_ik(1≤k≤l)时由步骤2.3.2)选取得到的数据包为其中1≤k_j≤n-d，1≤j≤2r。从而得到2r个数据包对：

数据包和数据包之间的间隔延时IPD定义为：

由于所有数据包的选取是相互独立且随机的，因此(j＝1，2，…，2r)独立且同分布，利用水印编解码密钥K_e控制伪随机数生成函数将2r个IPD伪随机地分成两组，分别表示为和(m＝1，2，…，r)。由于独立且同分布，因此，和也独立且同分布，则两组IPD具有相等的数学期望和方差，即

2.3.3)定义

由于和(m＝1，2，…，r)的数学期望相等，所以Y_m，d的数学期望E(Y_m，d)＝0，表明Y_m，d的分布对称于0轴，我们将r个Y_m，d的均值表示为

因为E(Y_m，d)＝0(m＝1，2，…，r)，所以即的分布也对称于0轴。

2.3.4)嵌入水印位‘1’时，我们通过调整数据包延时，使得式(9)中Y_m，d(m＝1，2，…，r)的值增加α，这样使得数据包到达目的主机时，计算得到的概率大于0.5，具体操作为：将(m＝1，2，…，r)中的每一个都增加α，同时将(m＝1，2，…，r)中的每一个都减小α；

嵌入水印位‘0’时，我们通过调整数据包延时，使得式(9)中Y_m，d(m＝1，2，…，r)的值减小α，这样使得数据包到达目的主机时，计算得到的概率大于0.5，具体操作为：将(m＝1，2，…，r)中的每一个都减小α，同时将(m＝1，2，…，r)中的每一个都增加α。

如图5所示，原始网络流中的分布对称于0轴，嵌入水印位‘0’后，的分布向左偏移α，对称于-α轴；嵌入水印位‘1’后，的分布向右偏移α，对称于+α轴。其中，α表示水印嵌入强度，α越大，水印嵌入成功率越高，但是，α的增加不可避免的会使得水印嵌入的隐秘性减弱，一般地，对于任意小的α，可以通过调整冗余编码数r的大小来达到几乎100％的嵌入成功率。

2.3.5)重复步骤2.3.1)到步骤2.3.4)的过程，直至w_i的l位水印位全部嵌入完成，得到嵌入水印w_i的流然后将发送给目的主机。

如图3所示，本实施例中，上述步骤3)的具体步骤为：

3.1)网络流的数据报文到达目的主机，水印检测器记录数据包到达时间，提取网络流五元组信息FI_i，获取系统当前时间time_i，然后根据水印跳变密钥K计算得到水印生成密钥K_w和水印编解码密钥K_e；

本实施例中，步骤3.1)根据水印跳变密钥K计算得到水印生成密钥K_w和水印编解码密钥K_e，具体步骤同步骤2.1.1)到步骤2.1.2)一致。

3.2)水印检测器中的水印解码单元根据水印生成密钥K_w生成网络流水印w_i，并利用水印编解码密钥K_e从接收到的网络流中提取得到网络流水印

本实施例中，步骤3.2)中网络流水印w_i采用伪随机数生成算法计算得到，具体方法同步骤2.2一致。步骤3.2)中利用水印编解码密钥K从接收到的网络流中提取得到网络流水印具体步骤如下：

3.2.1)提取1位水印位时，利用水印编解码密钥K_e作为伪随机数生成函数的种子，控制数据包的随机选取过程，独立且随机地从流中选取2r个数据包，计算数据包间隔延时IPD，进而计算得到具体过程同步骤2.3.2)到步骤2.3.4)一致。

3.2.2)定义μ为水印位检测阈值，如果由步骤3.2.1)计算得到的则该水印位的值为1，如果则该水印位的值为0；

3.2.3)重复步骤3.2.1)到步骤3.2.2的过程直到的所有l位水印位全部提取完成。

3.3)水印检测器中的水印判别单元将从网络流中提取的网络流水印与水印解码单元自己生成的水印信息w_i相比较，对网络流量的合法性进行鉴别并给出判别结果；

步骤3.3)中，定义η为水印检测阈值(1≤η≤l)，将从网络流中提取的网络流水印与水印解码单元自己生成的水印信息w_i相比较，如果与w_i相同的位数大于η，则认为水印判别单元输出判别结果为是，否则，认为水印判别单元输出判定结果为否。

以上仅是本发明的优选实施方式，本发明的保护范围并不仅局限于上述实施例，凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理前提下的若干改进和润饰，应视为本发明的保护范围。

Claims

1.一种基于数据包间隔的水印跳变通信方法，其特征在于，步骤为：

1）在目的主机端部署水印检测器，源主机端部署水印嵌入器，为合法主机分配水印跳变密钥；

2）源主机访问目的主机时，源主机正常封装和收发网络流数据报文，水印嵌入器提取网络流五元组信息，根据己方存储的对称密钥、系统当前时间生成网络流水印；然后，通过数据包发送延时调整数据包间隔分布将该水印信息嵌入网络流中发送给目的主机；

3）目的主机接收到网络报文，水印检测器记录数据包到达时间，提取网络流五元组信息，根据己方存储的水印跳变密钥、系统当前时间以及网络流的五元组生成网络流水印，进而从接收到的网络流中提取网络流水印，并与自己生成的水印相比较，对网络报文进行流量鉴别和控制；

所述步骤2）的步骤如下：

2.1）源主机访问目的主机时，正常封装和收发网络流数据报文，水印嵌入器提取网络流五元组信息，获取系统当前时间，然后根据水印跳变密钥计算得到水印生成密钥和水印编解码密钥，转入执行步骤2.2）；

2.2）水印嵌入器中的水印生成单元根据水印生成密钥生成网络流水印，转入执行步骤2.3）；

2.3）水印嵌入器中的水印编码单元利用水印编解码密钥将生成的网络流水印通过数据包发送延时调整数据包间隔分布嵌入网络流中发送给目的主机。

2.根据权利要求1所述的基于数据包间隔的水印跳变通信方法，其特征在于，所述水印跳变密钥包括水印生成密钥和水印编解码密钥，所述水印生成密钥和水印编解码密钥由所述水印跳变密钥的不同部分分别与网络流五元组和系统时间连接并采用哈希算法计算得到。

3.根据权利要求1所述的基于数据包间隔的水印跳变通信方法，其特征在于，在水印跳变通信过程中，各通信实体的水印嵌入器和水印检测器与网络标准时间服务器维持粗粒度的时间同步。

4.根据权利要求1或2或3所述的基于数据包间隔的水印跳变通信方法，其特征在于，所述步骤3）的具体步骤如下：

3.1）目的主机接收到网络报文，水印检测器记录数据包到达时间，提取网络流五元组信息，获取系统当前时间，然后根据水印跳变密钥计算得到水印生成密钥和水印编解码密钥，转入执行步骤3.2）；

3.2）水印检测器中的水印解码单元根据水印生成密钥生成网络流水印，并利用水印编解码密钥从接收到的网络流中提取网络流水印，转入执行步骤3.3）；

3.3）水印检测器中的水印判别单元将从网络流中提取的网络流水印与水印解码单元自己生成的水印信息相比较，对网络报文进行认证并给出判别结果，转入执行步骤3.4）；

3.4）水印检测器中的访问控制单元根据步骤3.3）的反馈结果进行访问控制，判别结果若为是，允许网络流数据包以及后续报文进入目的主机应用程序；判别结果若为否，将缓存的网络流数据包丢弃并设置访问控制列表，拒绝来自该源主机的后续访问。