一个网络要保护起来分3个阶段：事前、事中和事后。事前就是发现网络已经潜在的安全问题或者是潜在的弱点、隐患并弥补，常用的产品是扫描系统；事中是对正在运行的系统防止黑客攻击，包括用得最多、最普遍、最成熟的是防火墙和入侵检测技术；而事后的取证，就必须用到审计系统。网络内容审计能够帮助我们对网络进行动态实时监控，可通过寻找入侵和违规行为，记录网络上发生的一切，为用户提供取证手段。

    目前，公司内部员工对机密文件、敏感信息的窃取和泄漏，以及在工作时间，利用公司网络资源进行与工作无关的活动，严重损害了公司的利益。随着我国电子政务系统的实施和建设，政府、企事业单位对安全提出了更高的要求，本文对基于协议还原的内容审计做了较深入的探讨。

    2 网络内容审计

    内容审计记录用户使用计算机网络资源访问的所有资源和所有访问过程。完整地记录审计追踪数据是事故后调查取证的基础。通过对一些重要的事件进行记录，从而在系统发现错误或受到攻击时能定位错误和找到攻击成功的原因。审计记录应具有防止攻击删除和修改的措施。在cc准则(信息技术安全评估通用准则2．0版)中，对信息系统安全审计的功能有一个完整的定义：信息系统安全审计主要指对与安全有关的活动的相关信息进行识别、记录、存储和分析；审计记录的结果用于检查网络上发生了哪些与安全有关的活动，谁(哪个用户)对这个活动负责，主要功能包括：安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件选择、安全审计事件存储等。基于网络内容审计的系统，其原始审计数据来自于网络上的数据包。

    2．1 网络内容审计的系统模型

    根据内容审计的功能要求，设计了一个相应的网络内容审计模型如图1所示，主要是分析审计网络用户的活动。

    (1)原始审计数据是指用户在网络中进行活动的所有数据，通常是网络数据包。获得这些数据是进行网络审计的基础。

    (2)会话重建，网络行为一般都不是孤立的，通常是由多个动作形成的一个有序的活动。会话重建是在原始审计数据的基础上，对某一个网络活动进行重建，恢复其本来面目，并重现。如常见ftp网络文件访问行为，一般都包含了口令认证、上传或下载文件等动作所构成的一个完整网络文件访问活动。不能仅从单个数据包或单个操作动作中审计用户的行为，因为这样会忽视各种事件之间的关联性。

    (3)根据事先定义的违规行为集，可以有效地审计会话中的违规行为。

    (4)一旦发现违规行为，记录违规行为，作为今后事故追踪、犯罪取证的重要证据。

    2．3 会话重建及协议还原设计

    基于上述模型，给出了审计系统的主要部分——会话重建及协议还原的设计方案，其逻辑如图2所示。

    截包引擎用专门的网络探针技术来替代传统的网络嗅探器。采集到的数据包在网络探针上只做简单的ip重组，并通过socket技术传递到协议还原器。这样的网络探针功能相对专一，具有截包性能高、丢包率低的特点。在完整的审计记录和高性能的基础上，多协议的分析还原成为可能。

    3关键技术分析

    3．1 高效截包技术

    libcalp是网络截包最通用的函数库，适合于多种操作系统平台。目前有许多著名的截包分析程序都建立在libpcap的基础上，如tcpdump，ethereal，snort等。但在高速的网络中，特别是当应用程序需要截取大量完整的网络数据时，以libcap为架构的截包技术往往是不可行的。这是因为截包和包分析，特别是包分析消耗大量的cpu周期，可能导致数据包丢失。cpu周期也称为机器周期。通常用内存中读取一个指令字的最短时间来规定cpu周期。一个cpu周期时间又包含有若干个时钟周期。

    这种基于网络数据包的审计系统，如果丢包率太高，后面的会话重建、协议分析将无法进行，系统将失去意义。所以，是否能高效截取所有数据包是整个审计的基石。采用linux作为截包的操作系统，其内核是可以定制、修改的。

    在linux一2．4．x以后的版本中，libpcap是通过内核中pf-packet模块实现其截包和包过滤功能的。数据包直接从内核接收