前不久，lake2与大伙儿共享了从数据流量层对于IDS/IPS开展绕过的一些尝试方法研讨，在

其中埋了个坑“谢谢宙斯盾一起检测这一编号007的新项目，后边的流量统计就交给他来跟踪”，

要不然我压力很大。从本科毕业进单位，一直从业DDoS网络攻防抵抗工作中，依次承担安全系

统软件的后台开发和对策设置，近段时间也在根据总流量方面对普通安全工作能力提高开展实

验。借着某一天中午一杯星巴克咖啡的劲，千辛万苦思考（实际上是失眠症）到凌晨三点，理出

一些思绪，也算做下分阶段小结，临时填入这一坑，更以求与业内同行业学习交流。

普通基本安全行业，在通用性商品工作能力上，一般分成三大件：传输层的防DDoS、服务器层

的防入侵和网络层的防安全漏洞。除了防DDoS以外，别的2个行业也给流量统计运用留有充足

的想像空间。


数据流量一般全是传送的海量信息，能够 旁通布署（如端口镜像、路由协议分光仪），还可以

串行连接（如物理学路由协议串连、BGP按需引流），不论是哪样方式都必须一个强劲的计算

后台管理来支撑点，另外对策上融合即时+线下，做到对分析特性和遮盖作用的均衡。在其中

几个重要部件：

1、性能卓越的互联网IO

不论是在业务流程网络服务器层还是计算机机房出入口层开展剖析，都必须处理从网络接口开

展高速收包的难题。中断收包肯定是不能用的、协议栈毫无疑问也是不可以过的。广泛的体制

有Pcap（如网络工程师必备软件tcpdump，但作为性能卓越收包如今已较少了）、Pfring（印

像中是最初提到并操作了零拷贝Zero-Copy核心理念）、DPDK（Intel的解决方法，这几年应

用十分时兴），这种体制要不是根据linux核心的cBPF开展hook、要不是直接清除协议栈。而

从3.18版本号刚开始，核心导入了全新升级的eBPF（与老的cBPF对比，真是是鸟枪换炮，作

用强大得不好），从而问世出了一个新的互联网解决模块XDP，近些年被业内甚为赞叹。与

DPDK不一样，XDP并不清除协议栈，只是工作中在网络接口收包与协议栈中间，乃至因此在

核心分派skb以前。也就是历经XDP剖析解决以后，数据文件能够 直接丢掉、直接推送，或是

是再次送至协议栈解决。这对根据业务流程网络服务器层的卸载掉加快、总流量监管、安全过

虑拥有更强的挑选，现阶段海外大型厂用的还比较多。

2、特点匹配模块

流量统计能够分成二种种类，一种是DFI（深层流检验）、一种是DPI（深层包检验），前面

一种重视量的统计分析、后面一种重视內容的剖析。而特点匹配是评析很重要的构成部分，尽

管业内常说当今的防御抵抗已升级、普通根据黑客特征的检验防御力会如数无效，但从具体现

网看来，根据黑特点還是能处理挺大一部分的实用性进攻威协。纯软件的计划方案终究会共消

耗和同用设备CPU，因而也是有根据显卡加速的计划方案，例如多插一张FPGA卡，用于专业

做匹配搜索计算；此外同样有MellonaxBlueField直接在网络接口上添一个解决集成ic（工业物

联网卡），做协议书卸载掉和匹配加快。

3、流资产重组

许多安全风险都产生在TCP协议类的业务流程协议书上（如Web安全漏洞、高风险端口对外公

开），黑客除开在业务流程解决逻辑性方面对安全防护措施开展绕过，也会在更最底层的数据

传输开展试着，例如lake2文章内容里所提及的一些创作方法。因而针对TCP的按段传送特点

，流资产重组对提高安全抵抗的检验遮盖工作能力具有关键功效。具体落地式上，业内小有现

有的开源系统计划方案，自研完成上需考虑到对运行内存的有效高效率应用、对优化算法的用

心优化，而现网应用中，则必须均衡特性和作用，太考虑到特性则一些情景覆盖不上、太考虑

到作用则会造成解决性能降低，必须依据实际业务场景而定。