网络技术的快速发展和网络应用环境的不断普及,加大了人们对网络的依赖性,同时也带来了日益突出的信息安全问题。过去采用的传统的加密和防火墙技术己经不能完全满足安全需求,入侵检测技术作为一种主动预防的安全手段,越来越显示出重要性。同时,高速局域网和光纤通信等新技术的应用给网络性能和流量带宽带来了巨大的增长。从最初以K为单位的网络速度到10M/100M网络,到现在千兆网络,这些变革对IDS的处理性能提出了更高的要求。高速网络下的实时入侵检测己经成为入侵检测研究领域的一个热点和难点,而如何实现千兆环境下的实时报文监测是提高入侵检测能力的一个普遍问题,因此对于高速网络环境入侵检测数据采集的研究是非常有意义的。本文首先对IDS、数据采集技术、大规模网络环境下数据采集的要求等方面的知识进行了介绍与分析。根据现有的入侵检测中数据采集技术面对大规模网络所存在的不足,参考了相关领域的知识,提出了基于Linux平台的高速网络数据采集器,阐述了数据采集器的体系结构、关键技术实现、过滤及预处理功能的实现。依据Linux的开源性及良好的网络特性、Linux内核网络协议栈的设计思想、并借鉴了清华大学以CERNET网络管理与流量计费为背景开发的Linuxflow高性能可扩展的网络被动测量系统的实现,本文建立了一套专用于高速网络数据包采集的协议栈。在此基础上,分析了Linux平台下数据采集影响系统性能的因素,提出了提高系统性能的方案。同时,作为IDS的数据采集模块,还提供了对原始网络报文进行过滤、预处理等功能,提高了检测模块检测效率。