入侵检测系统中网数据截获模块分析.docVIP

入侵检测系统中网络数据截获模块分析 [日期：2006-05-20] 来源：? 作者： [字体：大 中 小] 祝小伟? 张学平 摘? 要：介绍了入侵检测系统在不同的操作系统中实现网络数据截获模块的技术基础，在对BPF 和Libpcap分析的基础上，分析了在UNIX和Linux系统下基于BPF包截获技术和Libpcap函数库的网络数据截获模块，然后给出了在WIN9x系统中采用虚拟驱动程序VPacket.vxd和Winpcap实现数据截获的方法，并介绍了Win2000系统中捕获数据包的一些方法。 关键词：入侵检测；数据截获；虚拟设备驱动 网络数据截获模块是实现整个入侵检测系统高效工作的基石，为整个系统提供数据来源。因此，在设计整个入侵检测系统时，必须保证网络数据截获模块工作稳定可靠，为整个入侵检测模块稳定可靠地提供数据。现在比较流行的有两种方法,一种网络数据截获方法是在BPF 模型的基础上，利用一些流行的函数库进行开发;另外一种是在Windows的驱动程序的基础上进行的开发。 1? 基于UNIX/Linux系统的网络数据截获 网络上数据的截获主要依赖于所使用的操作系统，不同的操作系统一般有不同的实现途径。在UNIX或Linux系统中，一般采用由美国洛伦兹伯克利国家实验室所编写的专用于数据包捕获功能的API函数库Libpcap来实现。Libpcap实质上是一个系统独立的API函数接口，