随着网络安全问题的日益突出,数字取证技术逐渐成为对网络犯罪进行法律制裁的关键所在。由于网络中约有90%的流量为TCP(Transfer Control Protocol)流,使得TCP流的行为在很大程度上主导了网络流量的变化。现有的TCP流异常行为研究对攻击类型、攻击行为发起主机IP(Internet Protocol)地址等与网络犯罪相关的数字证据关注较少,因此,探索出一种行之有效的TCP异常报文溯源方法具有重要的理论意义和实用价值。从报文数量关系和报文聚类的角度分别描述了几种常见的TCP流异常行为,包括扫描、拒绝服务攻击,侧重于描述每一类异常行为独有的报文数量关系以及报文聚类特征,便于在异常报文溯源研究中通过这些独有特征对异常行为进行有效区分和深入挖掘。提出了对标准Bloom Filter方法的一种改进——可逆的布鲁姆过滤器RBF(Reversible Bloom Filter)方法,该方法以采用可逆哈希函数以及独立哈希存储空间的Bloom Filter为基础,结合网络中活跃IP地址分布的长尾特性,通过挖掘数据流中最活跃的五元组及其主要成分的聚类信息,使用少量的运算来完成对TCP报文头部信息的分析。在基于RBF的TCP报文头部信息分析的基础上,阐述了TCP异常报文溯源的基本方法并通过实验进行了验证。该方法通过报文在数量上的相关关系特征区分TCP流异常行为并判断异常报文的类型,结合异常发生时间段内异常报文的五元组及其主要成分的聚类信息综合分析,成功分析出一些与异常报文溯源相关的信息。实验结果表明,TCP异常报文溯源方法在可以允许的误差范围内,较好地实现了TCP异常报文溯源。