3.4 系统功能模块介绍
3.4.1 网络数据包的捕获模块
因为网络入侵检测系统的操作对象是网络数据包，那么首先就必须把所有的网络数据包都捕获下来，所以此模块的主要功能就是从以太网中捕获数据包。由于此模块的性能要求很高，又因为网络中的数据包很多，如果捕获不及时，就会有漏包的情况出现，因此要根据需要设置过滤网络上的一些数据包，如特定IP、特定MAC 地址、特定协议的数据包。为提高效率，我们使用为数据监听应用程序设计的开发包Winpcap 来实现该功能，开发包中内置了内核层实现的BPF 过滤机制和许多接口函数，它们不但能够提高监听部分的效率，也降低了开发的难度。
3.4.2 网络协议分析模块
在网络协议分析模块中，必须对捕获到的数据包进行详细的分析，检测出每个数据包的类型和特征。只有等到对网络协议进行了详细正确的分析，才能够检测出入侵行为。由于网络协议非常多，因此就必须分析很多的协议。在本系统中，将分析网络中的大部分协议，包括：ARP/RARP，IP，ICMP，TCP，UDP，HTTP 等。
3.4.3 存储模块
此模块主要是存储网络信息。由于网络数据......