呂偉澤

（大慶油田信息技術(shù)公司北京分公司，北京 100043）

在信息時代之下，人們的生活和工作都開始融入大量數(shù)據(jù)。數(shù)據(jù)一方面使得整個社會的運行效率大幅度提升，另一個方面，其所必然帶來的整個社會對于數(shù)據(jù)的依賴，進一步加劇了數(shù)據(jù)安全問題的緊迫性。并且隨著整個網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)傳輸需求的不斷增加，網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)安全問題和安全信息過濾需求也日漸突出，這種需求特征在企業(yè)環(huán)境中尤其突出，如何打造安全可靠的內(nèi)部網(wǎng)絡(luò)環(huán)境，并且實現(xiàn)面向外網(wǎng)的流暢訪問，是目前的突出問題。

1 數(shù)據(jù)報文捕獲技術(shù)概念與特征

對于目前的網(wǎng)絡(luò)安全需求而言，網(wǎng)絡(luò)帶寬不斷提升，數(shù)據(jù)傳輸速率和容量都有了質(zhì)的飛躍，對應(yīng)的萬兆網(wǎng)絡(luò)防火墻系統(tǒng)、入侵檢測/防御系統(tǒng)、高性能路由器、千兆級網(wǎng)絡(luò)實時監(jiān)控系統(tǒng)、高帶寬的網(wǎng)絡(luò)審計系統(tǒng)等技術(shù)層出不窮，本身成為當(dāng)前網(wǎng)絡(luò)安全體系中重要的支持框架，尤其是在面對大流量網(wǎng)絡(luò)環(huán)境的時候，其價值尤其得到體現(xiàn)。但是諸多安全技術(shù)的基礎(chǔ)，都在于網(wǎng)絡(luò)數(shù)據(jù)報文捕獲技術(shù)網(wǎng)絡(luò)應(yīng)用，作為當(dāng)前網(wǎng)絡(luò)安全應(yīng)用最基本的功能模塊之一，網(wǎng)絡(luò)數(shù)據(jù)報文捕獲技術(shù)的成熟與發(fā)展?fàn)顟B(tài)，直接關(guān)系到網(wǎng)絡(luò)安全環(huán)境上層的諸多應(yīng)用有效性，因此必須引起重視。

綜合當(dāng)前網(wǎng)絡(luò)環(huán)境的發(fā)展特征，隨著光纖造價成本的降低以及相關(guān)技術(shù)的不斷成熟，傳統(tǒng)的10Mbps共享局域網(wǎng)環(huán)境已經(jīng)在近年來迅速升級到100 Mbps乃至于1 000 Mbps數(shù)據(jù)傳輸環(huán)境，對應(yīng)地網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)流量同樣有大幅提升，甚至于在骨干網(wǎng)絡(luò)中，Gbit傳輸速率已經(jīng)不足為奇。這些都為數(shù)據(jù)報文捕獲技術(shù)提出了新的挑戰(zhàn)。

從應(yīng)用層面看，對于網(wǎng)絡(luò)安全應(yīng)用系統(tǒng)的工作方式，可以依據(jù)其對于現(xiàn)有網(wǎng)絡(luò)的參與狀況分為監(jiān)聽模式和過濾模式兩類。其中監(jiān)聽模式也稱為并聯(lián)工作模式，其網(wǎng)絡(luò)應(yīng)用系統(tǒng)并不完全參與既有網(wǎng)絡(luò)環(huán)境的工作，而是在一個旁觀者的位置上對數(shù)據(jù)展開抓取和處理。此種工作方式本身不會對網(wǎng)絡(luò)環(huán)境的工作狀態(tài)有所影響，但是數(shù)據(jù)是直接從公網(wǎng)進入到局域網(wǎng)環(huán)境中的，因此此種工作方式對于報文的檢測，相對而言存在一定的滯后特征，但是卻不會對網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)傳輸造成任何效率方面的影響。而過濾模式又稱為串聯(lián)工作模式，從外網(wǎng)進來的數(shù)據(jù)首先要進入到網(wǎng)絡(luò)安全應(yīng)用系統(tǒng)中展開檢查和過濾，而后才能進一步發(fā)送給內(nèi)部局域網(wǎng)使用和傳輸。常規(guī)而言的防火墻、代理網(wǎng)關(guān)、路由器等均是采用這一工作模式，此種模式安全性能要優(yōu)于前者，但是在數(shù)據(jù)量增加的環(huán)境之下，其相關(guān)安全應(yīng)用系統(tǒng)自身的運算處理能力將成為整個網(wǎng)絡(luò)傳輸環(huán)境的瓶頸存在。

相比之下，監(jiān)聽模型式不占用網(wǎng)絡(luò)資源，數(shù)據(jù)報文的捕獲和后續(xù)操作不會對網(wǎng)絡(luò)正常通訊產(chǎn)生任何影響；而過濾工作模型中，網(wǎng)絡(luò)安全應(yīng)用必須能夠做到快速大量地面向數(shù)據(jù)包展開處理和過濾，否則就會面臨數(shù)據(jù)包丟失乃至于系統(tǒng)鎖死的尷尬局面。鑒于當(dāng)前過濾模型是主要的應(yīng)用方式，因此數(shù)據(jù)報文捕獲技術(shù)作為網(wǎng)絡(luò)安全應(yīng)用系統(tǒng)的關(guān)鍵環(huán)節(jié)，其工作效率和可靠程度成為當(dāng)前行業(yè)內(nèi)部關(guān)注的重點。

2 數(shù)據(jù)報文捕獲技術(shù)的主要應(yīng)用與發(fā)展方向分析

在Unix系統(tǒng)環(huán)境下，數(shù)據(jù)報文捕獲技術(shù)存在于數(shù)據(jù)鏈路層，就當(dāng)前的應(yīng)用狀況看，常見的報文處理技術(shù)包括三種，即BSD分組過濾器（BPF，Berkeley Packet Filter）、SVR4的數(shù)據(jù)鏈路提供者接口（DLPI，Data Link Provider Interface），以及Linux的SOCK-PACKET接口。三種技術(shù)均有不同的應(yīng)用特征。

首先對于BPF技術(shù)而言，其工作在整個系統(tǒng)的內(nèi)核層面，在內(nèi)核環(huán)境中展開了過濾器的設(shè)置，在對數(shù)據(jù)包展開對應(yīng)的過濾之后，將用戶需要的數(shù)據(jù)提交給用戶進程。在相應(yīng)的工作系統(tǒng)中，每一個數(shù)據(jù)鏈路的對應(yīng)驅(qū)動程序在展開對于一個分組的處理時，都首先調(diào)用BPF。為了提升效率，BPF采用循環(huán)緩存工作機制，兩個緩存交替展開工作，并且采用基于寄存器的過濾器，這對于當(dāng)前內(nèi)存系統(tǒng)已然成為整個系統(tǒng)性能核心瓶頸問題，無疑是一種緩解。其次，SVR4的DLPI展開工作時，其本身會保持對于協(xié)議的相對獨立狀態(tài)，并且其本身時訪問數(shù)據(jù)鏈路層所提供服務(wù)的接口，通過發(fā)送和接受信息來實現(xiàn)具體功能。DLPI接口定義了數(shù)據(jù)鏈路層面向網(wǎng)絡(luò)層提供服務(wù)的具體規(guī)則，其使用者既可以是面向用戶的應(yīng)用程序，也可以是訪問數(shù)據(jù)鏈路層的高層協(xié)議，相對于BPF技術(shù)而言，該項技術(shù)的表現(xiàn)從整體效率方面比較低。而最后的SOCK-PACKET接口技術(shù)則主要通過設(shè)置套接字類型以及數(shù)據(jù)類型來展開工作，但是它沒有類似于BPF的強緩沖區(qū)，在內(nèi)核過濾器方面也有所欠缺，因此整體效率都受到極大制約，對于當(dāng)前相對比較重視網(wǎng)絡(luò)效率的環(huán)境而言，存在顯著不足。

就目前在網(wǎng)絡(luò)數(shù)據(jù)報文捕獲技術(shù)體系中的突出應(yīng)用特征而言，數(shù)據(jù)丟包、用戶態(tài)和內(nèi)核態(tài)之間的數(shù)據(jù)包拷貝以及內(nèi)核中斷處理已經(jīng)成為當(dāng)前的突出不足?；诖朔N問題，當(dāng)前在報文捕獲技術(shù)的相關(guān)發(fā)展領(lǐng)域，其主要方向也都圍繞這些問題展開。

首先，充分利用網(wǎng)絡(luò)處理器，實現(xiàn)對于報文捕獲的加速，是當(dāng)前發(fā)展的突出特征之一。網(wǎng)絡(luò)處理器能夠在工作環(huán)境中切實實現(xiàn)對于網(wǎng)絡(luò)數(shù)據(jù)采集方面的功能效率，在實時的報文捕獲和深入分析方面表現(xiàn)良好，并且并聯(lián)的工作方式出現(xiàn)在被監(jiān)控的網(wǎng)絡(luò)環(huán)境中，也能夠支持其實時特征較強的高效率網(wǎng)絡(luò)環(huán)境。其次，零拷貝技術(shù)也是當(dāng)前發(fā)展的突出特征，對于這一方面而言，其基本思想和實現(xiàn)方式是將數(shù)據(jù)報文的拷貝次數(shù)盡量壓縮和減少，主要是在從網(wǎng)絡(luò)設(shè)備到用戶程序空間傳遞的過程中注重拷貝次數(shù)的縮減，同時注重減少CPU的參與程度，降低其負(fù)載。

3 結(jié)論

網(wǎng)絡(luò)數(shù)據(jù)報文捕獲系統(tǒng)的整體工作狀態(tài)和效率，直接關(guān)系到當(dāng)前網(wǎng)絡(luò)環(huán)境的安全水平，因此必須引起充分重視。作為多種網(wǎng)絡(luò)安全應(yīng)用的基礎(chǔ)，報文捕獲技術(shù)的優(yōu)化以及性能的提升，是大容量網(wǎng)絡(luò)得以深入發(fā)展的基礎(chǔ)，實際工作中應(yīng)當(dāng)以當(dāng)前需求作為依據(jù)展開對于技術(shù)的優(yōu)化，才能切實找到該項技術(shù)的發(fā)展方向。

[1]王佰玲，方濱興，云曉春，等.零拷貝報文捕獲平臺的研究與實現(xiàn)[J].計算機學(xué)報，2005，28（1）.

[2]張承，蔣東興，劉啟，等.新淺析網(wǎng)絡(luò)監(jiān)控系統(tǒng)對網(wǎng)絡(luò)性能的影響[J].小型微型計算機系統(tǒng)，2002，23（09）.