技術領域

本發明涉及網絡技術領域，尤其涉及一種網絡流量審計方法及一種網絡流量審計系統。

背景技術

隨著網絡上各種新應用的不斷出現，在促進網絡發展的同時也給網絡監管帶來越來越多的挑戰。現有技術中，為了維護安全、保障網民的根本利益，涌現出了一大批針對不同類型防御對象的類IDS(Intrusion?detection?system，入侵檢測系統)，這些網絡流量審計系統大多部署在Linux系列下基于Linux?libpcap接口，通過libpcap接口捕獲數據包，然后針對數據包做不同的處理。網絡流量審計系統這種部署在Linux系統上基于libpcap接口捕獲數據包的方式有明顯的缺點。因為Linux系統的網絡協議棧的實現的是TCP/IP協議族，數據包到達網卡后，要經過接口層-＞數據鏈路層-＞IP層-＞TCP層-＞應用層最后到達應用程序；然而用于以太網的設計中主要關注的是傳輸可靠性，因此數據包在這一過程中要經過大量的檢查和內存的拷貝，最后由于Linux系統內存管理的要求，再從網絡協議棧所處的內核空間，拷貝到應用程序所處的用戶空間。在此過程中數據包的大量檢查及由內核空間向用戶空間的拷貝開銷是巨大的。

由于上述技術的缺陷，為提高效率，減少不必要的資源占用，于是在網絡流量審計系統中提出了一種零拷貝驅動技術，其通過在用戶空間開辟一個共享內存區，利用內存映射這一機制，將網卡得到的數據直接放入用戶空間里去，這樣即避免了層層協議檢測同時又避免了數據包從內核空間向用戶空間的拷貝。由于零拷貝驅動需要繞過內核中的協議棧而直接將數據包交與應用程序的機制，所以設計了單獨的接入模塊，獨立實現對接入流量的解析與分流工作。零拷貝驅動將接入流量在同源同宿的前提下盡量平均分為N份以支持上層業務軟件多線程(例如N個線程)處理的需要，同源同宿是指保證同一個連接的所有數據包被同一個線程處理，目的是保持處理狀態的連續性。現有這種零拷貝驅動技術將設計好的分流策略直接寫入到驅動程序中，用戶不能修改，但實際情況是網絡環境不同，流量分布也不相同，不存在一個分流策略適合所有的網絡環境。實際上，當網絡環境變化時可能會導致分流不均衡，從而降低整體處理效率。

零拷貝驅動程序設計之初網絡上主要是IPv4數據包流量，具有VLAN(Virtual?Local?Area?Network，虛擬局域網)標記的數據包流量和IPv6數據包流量總量很小，故當時的流量審計系統只對IPv4數據包流量進行檢測，所以當初的零拷貝驅動只設計了對IPv4數據包流量的接入支持。然而，隨著網絡技術的迅猛發展，在線網絡流量的協議類型和應用種類日益增多，近年來尤其是VLAN標記的數據包流量、IPv6數據包流量在主干網上迅速增多，如果不加入對這部分流量的接入支持將不能使得網絡流量審計系統充分發揮作用，并且流量審計系統也會因為處理流量的不完全而達不到預期的效果。

針對相關技術中的問題，目前尚未提出有效的解決方案。

發明內容

針對相關技術中的問題，本發明提出一種網絡流量審計方法及審計系統，能夠對不同類型的數據包流量進行分流，完善對網絡流量的處理能力以及提高對網絡流量的整體處理效率。

本發明的技術方案是這樣實現的：

根據本發明一實施例的一種網絡流量審計方法包括：

對接收到的數據包進行判斷；

當判斷出所述接收到的數據包為IPv6數據包時，根據設定的IPv6數據包分流策略將所述數據包分配到相應的緩沖區以便網絡流量審計系統處理。

在進一步的實施方式中，所述方法還包括：當判斷出所述接收到的數據包為IPv4數據包時，根據設定的IPv4數據包分流策略將所述IPv4數據包分配到相應的緩沖區以便所述網絡流量審計系統處理。

在可選實施方式中，所述方法還包括：通過分流策略接口設定IPv4數據包分流策略和/或IPv6數據包分流策略。

在可選實施方式中，所述方法中的對接收到的數據包進行判斷包括：

判斷接收到的數據包是否是VLAN數據包；當判斷為是時進一步判斷作為所述接收到的VLAN數據包的載荷部分的數據包是否為IPv6數據包或者IPv4數據包；當判斷為否時直接判斷所述接收到的數據包是否為IPv6數據包或者IPv4數據包。

根據本發明另一實施例的一種網絡流量審計方法包括：

通過分流策略接口設定IPv4數據包分流策略；

對接收到的數據包進行判斷；