计算机网络近些年来得到迅猛发展,网络上的信息量也是逐年递增。随着信息量的扩大,网络上的安全问题也越来越严重,如木马,病毒,网络攻击等恶意行为时常发生,还有些人利用网络传播反动,色情等不良信息。为了维护网络的健康,安全,出现了如防火墙,入侵检测系统等一系列网络安全产品,能够对数据包和网络运行状况进行一定程度的监控。但是网络的发展的同时,恶意行为也在发生着变化,主要表现为攻击行为复杂多样化,攻击方式更加隐秘,传统的防御手段已经显得力不从心,需要引入新的分析方法来处理当前面临的问题。传统的网络设备通常使用通用CPU或者ASIC作为处理核心,在网络发展的早期取得了不错的效果,但是在面对高速的网络速度和复杂的网络应用时,通过CPU的处理速度,ASIC的灵活性制约了它们的发展,而网络处理器兼顾了两者的优点,能对网络数据进行线速处理,又具有完全的可编程性。Intel IXA是Intel公司开发的针对网络应用的交换架构,硬件支持快速的数据包处理,软件使系统具有灵活的可编程性,能够满足各种网络应用的需求。本文论述了一种基于IXA的网络信息流分析系统,能够对连接网络的数据按照事先拟定的规则,实现第三层以上数据的过滤,综合了防火墙,入侵检测系统,内容过滤等系统的特点,这种具有深包分析特性的系统能够提供为网络信息的健康安全提供更大的保障。文章共有三个主要部分:首先是介绍了目前常用的网络安全系统,分析各自的优缺点,并引出IXA在这方的优势所在;接下来介绍了IXA交换架构的硬件和软件构成,分析了其主要构成部分以及每部分的功能特点,并简单介绍了IXA的软件开发工具包;最后部分也是文章的重点部分,首先分析了网络信息流分析系统的系统需求和所需实现的功能,然后将它们划分成几个独立的功能模块,对每个模块依据IXA的设计原则进行设计实现,并列出了重要的数据结构和流程图加以解释,并对网络应用程序中所使用的一些技巧加以阐述,最后是在模拟环境下对系统功能进行了测试,验证了系统的可行性。文章的末尾,总结了系统设计中使用的技术要点,并分析了目前系统还存在的一些问题,提出了改进的设想。