摘要：随着网络流量近年来的迅速增长,互联网逐渐成为通信的主要工具。越来越多的不法分子通过IP网络通信进行犯罪,传统对固网、无线等语音网络的合法监听已经不能满足有效打击犯罪行为需求,在运营商核心网加强对数据通信网络的合法监听势在必行。本文基于合法监听的标准和需求,在H3C路由设备的框架上设计了对IP数据报文合法监听模型,通过模块化设计实现控制平面接收执法机构配置信息,统计监听情况,并通过使能操作调用驱动接口实现监听规则的下发；数据平面完成对报文的解析、监听规则匹配和利用监听网关信息封装转发的功能,其查找方法通过对双链表数据结构的遍历实现,独立撰写3000余行C语言代码,目前该功能已经通过SmartBits组网测试验证成功,并合入H3C公司b73以上主线版本。实际应用中的合法监听功能随着网络环境流量的增大,转发处理性能下降明显。本文分析合法监听的特点,得出其动作和报文分类模型的相似性较强的结论,并通过对决策树思想的探索和HiCuts等树状报文分类算法的研究改进合法监听模型的数据平面结构。此方案应用报文分类算法对精确匹配代价的快速处理,针对规则空间大小不均的问题提出建立可分决策树的思想分别讨论,提高大概率监听规则的优先级之后基于合法监听之同一监听网关按照相同动作处理的特点求同一网关下配置的规则合集,依据维度次序比对报文的合法性,实现一个报文“一次”匹配的快速处理方案,提高单个报文的处理速度,从而减小合法监听功能对路由转发性能的影响。利用MATLAB仿真对比原H3C合法监听功能模块和基于决策树的合法监听模型的处理时间,后者缩短了75%以上；按照H3C路由组网图利用SmartBits网络测试工具搭建实测网络模型。对报文匹配监听规则和无报文匹配监听规则两种极限情况分别对比测试,相对原H3C合法监听模型分别提高处理效率达到25%和45%。本文共有图55个,表格8个,参考文献22个