在Internet环境下广泛应用的网络安全技术,例如防火墙、入侵检测、网络监控、安全审计、虚拟专用网等,这些核心技术都是以包拦截包分类为基础的。数据包分类的正确性、准确性、快速性将直接影响安全产品的性能与效率。目前,现有包分类算法中,一维、二维分类算法比较成熟应用广泛,而对于多维包分类算法的研究还很不成熟,存在许多急需解决的问题。比如,包分类的速度无法满足高速网络的应用需求,丢包的现象普遍存在;数据包分类的准确性有待提高,由于协议的复杂性往往导致数据包不能正常识别;随着规则库的扩大,内存空间过大无法满足低成本的要求;规则库难于更新等。本人基于Hash函数快速查找、快速定位的思想,提出了一种基于Hash函数的五元一维包分类算法,该算法是基于包头的五元组分类的,但是由于进行了一次比较运算和一次Hash运算,从五元组降到了一维,最终存在规则库中的只有外地IP地址。因此,不但提高了查找速度,而且减小了存储空间,提高了网络数据包的分类效率。并给出该算法准确性、快速性的理论分析。本文深入分析了Windows平台下各种数据包拦截技术,并且给出了各自的优缺点。采用NDIS中间层驱动程序实现数据包的拦截,因为NDIS中间层驱动程序工作在数据链路层与网络层之间,可以彻底的拦截所有进出主机的数据包。最后实现一个数据包分类系统,采用本人提出的基于Hash函数的五元一维包分类算法对拦截的数据包进行分类处理,实验结果与理论分析基本一致。