随着计算机网络的发展与普及,内部网的安全性越来越受到人们的关注,加强对内部网主机行为的监控和控制是解决问题的关键。本文通过分析Win32平台下的数据包捕获和解码技术,提出了一种基于C/S模型的解决方案--主机行为实时分析系统,并对实现过程中的网络协议模型、网络监控模块和程序监控模块等关键技术和功能实现进行了研究。　　 本文通过讨论论文的研究意义和系统需求分析,给出了系统的总体结构,介绍了系统实现过程中用到的网络模型和协议栈,详细描述了TCP/IP分层模型中的传输数据单元格式。　　 文章在分析Sniffer工作原理的基础上,阐述了有关Sniffer设计的一般流程及在交换式网络中实现网络监听的技术和应用,对基于WinPcap的网络监听技术进行了深入的剖析,介绍了WinPcap的体系结构及其主要的API函数,通过调用库函数捕获本地网络上的所有数据包,然后对数据包进行协议解码,从而实现对网络的实时监控。　　 程序监控模块采用C/S分布式结构,通过对实现过程中关键技术的研究,提出了程序监控模块的设计和实现方法,最后探讨了数据挖掘技术在分析系统中的可能应用。　　 主机行为实时分析系统提出了一种主动的安全管理和监控的方法,它将内部网的所有软硬件资源都纳入管理范围,用网络监控结合程序监控的方式,对内部网内每一个主机用户行为进行监控及记录,主动、有效地防止了内部网的安全隐患,进一步提高了内部网的安全性。