一種稱為“delay coordinates”的分析方法

　　在動態系統和非線性系統中，經常使用一種叫做“delay coordinates”的分析法，這種方法使我們可以通過對以前的數據的采樣分析來推想以后的數據。

　　我們試圖以建立一個三維空間（x,y,z）來觀察ISN值（seq[t]）的變化，其中t取0,1,2, ……

(圖6)

　　方程組（E1）

　　現在，對采樣了的50000個ISN序列seq[t] 按照上面的三個方程式來構建空間模型A。這樣，就可以通過A的圖像特征來分析這個PNRG生成的ISN值的規律。Ａ呈現的空間模型的３D特性越強，它的可分析性就越好。

　　接著，我們根據這個模型，去分析下一個ISN值seq[t],為此，我們用一個集合K(5000個)去猜測seq[t]。

　　如果我們知道seq[t-1],要求seq[t],那么，可以通過在這個三維空間中找出一個有良好特性的節點P(x,y,z)，將P.x+seq[t-1],我們就可以得到seq[t]。現在，我們將注意力放到怎樣在這個三維空間中選擇一些點來構成Spoofing集合，也就是怎樣通過seq[t-1],seq[t-2],sea[t-3]來推知seq[t]。

　　由于seq[t-1],seq[t-2],seq[t-3]都可以很容易地在遠程主機上探測到，于是，P.y和P.z可以通過以下的公式求出

(圖7)

　　而對于P.x=seq[t]-seq[t-1], 由于seq[t-1]已知，所以，我們可以把它當作是空間的一條直線。如果，在對以前的ISN的采樣，通過上面提到的構成的空間模型A呈現某種很強的特征，我們就可以大膽地假設，seq[t]在直線與A的交點上,或者在交點的附近。這樣，seq[t]就這樣確定了，于是，seq[t+1],seq[t+2]……,我們都可以推斷出來。

(圖8)

　　于是，我們大致將構造Spoofing集合分成3個步驟：　

　　先選取L與A交點之間的所有點。如果，L與A沒有交點，我們則選取離L最近的A的部分點。

　　假設現在 seq[t-1]=25

　　 seq[t-2]=50

　　 seq[t-3]=88

　　 于是，我們可以計算出

　　 y = seq[t-1] - seq[t-2]=25

　　 z = seq[t-2] - seq[t-3]=33

　　而我們在集合A中找不到滿足y=25,z=33這個點，但是，我們找到y=24,z=34和y=27,z=35這兩個點，所以，我們要把它們加入Spoofing集合。

　　我們按照上面的方法，把在A附近（半徑<=R1的空間范圍內）點集M找出來，然后，我們根據這些點的相應的x值去推導相應的seq[t]（按照一定的算法，后面會提到）,于是，我們就得到很多的seq[t]。

　　根據點集M(j),我們在一定的變化浮動范圍U里（-R2<=U<=+R2）處理其x值，得出以下的集合K：

　　M(j).x+1 M(j).x-1 M(j).x+2 M(j).x-2 M(j).x+3 M(j).x-3 …… M(j).x+R2 M(j)-R2

　　接著我們確定R1和R2的值

　　　　　　R1值的選取的原則：使M不為空集，一般為1-500個。

　　　　　　R2值的選取的原則：使K的個數為5000。

　　 對TCP ISN的PRNG分析的總體流程：

(圖9)

　　相關系數的意義：

　　R1 radius: 影響搜索速度。

　　R2 radius: 影響猜測ISN的成功率， R2越大，成功率越高，但代價越大。

　　Average error: 反映了在3.3.2中找出的點集的平均距離。一個過分大的平均距離是不需要的。可以通過是否有足夠的正確的猜測值來計算Average error。